好吧，我只引用 Krag Brotby 的话：

为了成功地将飞机或安全部门导航到目的地，必要的信息包括

• 目标（或目的地）
• 当前位置（相对于目的地）
• 方向（朝向目的地）
• 速度（到达目的地需要多长时间）

对于飞行员或安全经理，还需要了解有关

• 干预障碍（可能需要改变路线的限制）
• 运行状况/故障（了解设备是否正常工作）
• 成本/效益（可负担性）

管理和操作飞机或安全计划基本上需要三种根本不同的信息。他们是

导航（战略，定向）：

对于飞机来说，这是一组中央仪器的专属权限，这些仪器与位置、航向和到目的地的距离等信息有关。这是与业务目标的“联系”——即将船舶驶向满足运营航空公司业务目标的目的地。这类似于为信息安全计划设定与业务目标一致的目标，然后制定指标以提供相同的前往目的地的信息以及当前位置的信息。

项目管理（战术、行政）：

对于我们的飞机类比，这是管理实际飞行所需的信息，包括飞机航向、高度、速度等，这些信息由位于飞行员正前方的主要仪表提供。为了管理飞机或信息安全计划，这些信息必须是实时的或接近实时的。正是反馈允许有效的日常管理和行政管理，同时保持将实现目标的航向。

操作（技术、程序）：

在典型的飞机仪表板（称为仪表板）上，有关机械操作的技术信息偏向一侧，偶尔会参考以确保系统在“绿色”中运行并且有足够的资源，例如燃料。这些信息对于确定方向或飞行管理或是否会到达目的地没有任何价值，除非发电厂的故障可以告诉我们我们无法到达目的地。

虽然导航和管理是主要的安全管理组件，但它们依赖于有关“飞行”基本任务的更高级别的战略决策。因此，当“飞行”或安全计划的运营服务于更高级别的组织目的（例如运营航空公司）时，通常提到的战略一致性概念就实现了——换句话说，当信息安全计划提供要素时对组织的成功运作至关重要。

从技术角度来看，指标的操作组件是可用的并且被普遍部署。物理和流程级别的运营指标更加稀缺且自动化程度较低。如果有的话，解决得不好的组件是导航和管理。

以下是按主题分类的安全类比汇编：http: //www.granneman.com/techinfo/security/securityanalogies/。

这就像一个飞行员试图在没有空中交通管制的帮助的情况下驾驶和降落飞机，在一年中最繁忙的一天，在世界上最繁忙的机场，在世界上最大的客机上，满载乘客，都在尖叫，包括工作人员在内，副驾驶对这些问题一无所知，并且对你大喊大叫让这该死的飞机降落，而你所依赖的只是你精心制定的飞行计划（你有这些，对吗？）和你的能力阅读仪器（你知道怎么做，对吗？）。当你降落飞机时，结果发现所有其他飞往附近所有城市的飞行员都很忙，所以现在你必须在一天剩下的时间里来回做同样的事情，而且可能假期的其余时间。每次你得到一架新飞机，它

你知道，每时每刻，整架该死的飞机都可能坠毁。尤其是因为在你周围旋转的所有其他飞行员都喝醉了。