1.6　创建里程碑

里程碑将引你前行，从你所在，至你所往。它们是通往安全环境的道路上的进程标识。这涉及项目经理（PM）的一些职责，但在很多情况下，公司并没有专职的项目经理。里程碑可以分为四级。

第一级：快速成功

　　最先到达的里程碑应当是可以在几小时或几天内取得的快速成功，诸如可以消除的一次性未使用的端点、可以移动到更安全的网络中的老式设备，以及第三方补丁等严重漏洞都属于这一类。我们会提到很多免费的解决方案，因为销售过程可能需要很长时间才能完成。

第二级：当年

　　更严重的漏洞可能需要通过变更管理流程，在流程中创建变更，或者与大量人员进行沟通才能填补，所以这些漏洞可能不会出现在第一级中。主要的路由变更、用户教育实施，以及共享账号、服务和设备的停用，这些都是只需少量预算甚至无须预算就能完成的改进。

第三级：次年

　　需要大量规划或者依赖于其他修复的漏洞和变更属于这一级。域升级、服务器和主要基础设施设备的更换、监控以及认证变更都是很好的例子。

第四级：长期

　　由于项目长度、经费不足、合同续签或者变更难度等原因，很多时候一个里程碑需要花几年的时间才能完成。这可能包括网络重组、更换主要软件或建立新数据中心等。

将里程碑与关键的控制和已识别的风险联系起来有所裨益。虽然从较高的风险和较严重的漏洞开始是一个好主意，但是它们可能不容易修复。在许多情况下，它们不仅需要大量的时间和设计，可能还需要预算（通常很难到位）。创建每一级里程碑的时候，需要考虑所有方面。