来自http://cisps.org/bbs/viewtopic.php?f=116&t=32444。

一般规划调研包括如下内容:
1、国家经济环境政治环境法律法规的支持
2、本行业信息化建设的行业特点和建设情况
3、本单位信息化的建设背景和特点
4、本单位信息化的详细情况(拓扑、资产清单、基础设施建设情况、应用系统情况、管理机构、运维情况、信息安全建设)
5、本单位信息安全的建设背景及信息安全事故简述
6、信息安全建设的思路框架及可行性分析
7、建设具体规划以及达到的效果效益验证
8、建设周期及概算
9、总结

不一定全部都写:核心是4、6、8,这几条一般都是必须有的。

规划之前,至少要了解组织的基本安全现状和安全需求:
安全现状: 历史安全事件、存在的威胁、当前安全措施、安全组织流程等
安全需求: 总体安全策略、内部业务安全需求、外部环境安全需求等

安全规划是比较高层次的安全工作,离不开至少一个核心的强力人士(如:公司的CSO),他/她对于如何做调研必然有着自己的见解。