最新消息:
    你的位置:Kermit的网站 > 技术相关 > 忽悠体系认证 (zz)

    忽悠体系认证 (zz)

    技术相关 admin 1857浏览

    呵呵,这个可以忽悠的地方太多了,最近刚刚写了篇忽悠的文章,贴出来供参考:?

    最近在体系认证在国内掀起高潮,大有扎堆生孩子的趋势,笔者结合自己的认识,谈点自己的感受。我认为理解体系认证,需要有如下的这些认识:
    1.分类文明。“人类的文明是从分类开始的!”这是我还在读书的时候,讲授CC课程的一位老教授说的,给我的启示很多。面对复杂的东西,最简单的办法就是“分而治之”。其实分类的概念起源也在我国,早在2000年前的春秋战国时期,孙子就在军事中实施这种方法了。把队伍排成方队,看一下余数就得到了总数,2000年后的美国巴顿还在数“one two three….”呢。可惜的是我国的分类用在了对付人身上。分类无处不在,网络结构如此,软件工程如此,风险评估也是如此,就是体系文件结构也是分层的。分类是一种方法学,是马克思的哲学思想,“抓主要矛盾、找矛盾的主要方面”,分类也是一种方法。有了分类,人类就有了解决复杂系统法宝,但是分类的接口就显得很重要了,网络安全的关键点在“飞地”,体系文件的关键点在SOA。
    2.深度防御。美国文明提出的IATF框架,是理解安全的一个高屋建瓴的思想,见下图。

    这个模型给了我如下几点启示:
    (1)“没有绝对的安全”。既然安全是相对的,如何去防御?看看中国的紫禁城就知道了,长城-护城河-外城-内城-禁宫,护林军-大内高手-太监……,要想神不知鬼不觉地通过这些防御,我想只有神了,真不知道吕四娘是如何取下雍正的头颅的。
    (2).安全是技术和管理的结合体。这是众所周知的事情了。人操作技术实现组织目标,同样人也可以通过技术破坏组织计划,不管是有意还是无心。
    (3).安全是个层次结构。这就是分类思想的体现,不多罗嗦了。
    (4).安全需要一个成熟的组织架构。没有一个好的组织架构,就没有一个有效的管理,更谈不上安全了,体系认证更是无从说起。
    (5).安全的木桶原理。安全水平以最短的积木为准。“小问题大隐患”就是这个道理。
    3.“人是危险的”。小的时候看恐怖片,并不害怕鬼神,我看“画皮”的时候没有害怕,可是回家的路上被迎面而来的老太太吓晕了。国外的法律也好,标准也好,出发点就是“人是危险的”,小心枕边人。不管你是“厦大”的还是“电大”的,都要承认这个事实。所以在这个假想敌的前提下,提出体系枷锁。一句话就是“控制+审计=业务连续性+信誉”。
    还是2000年前,中国也发生了儒家和法家之争,最后还是儒家占了上风,统治了中国2000年,我游览孔府的时候,还看到那个用黄布裹着的巨型柱子,听过比紫禁城的还粗,由此可知孔子对中国的影响力有多大。中西文明的碰撞又一次降临到体系认证的身上,请问您站在哪一边?
    4.体系认证是以“风险管理”为核心的。这就是为什么一提安全就讲“风险评估”的原因了。其实这个早在2000年的中国也有这种思想了,“知己知彼百战不殆”。如果都不知道自己要保护什么、威胁是什么、弱点在哪里、风险有多大,怎么搞体系认证呀。这是地球人都知道的道理。
    5.理解企业是关键。赵本山说的小品中有一句很有意思的话:“好人我给他忽悠瘸了”,这就是售前干的事情。很多企业都是在N多的售前忽悠下,把自己的先前目标忘记了,“俺到底要干什么来着?”。有个资深顾问说的好“访谈是最有技术的活!”,还原企业先前愿望,考验着每个顾问的智商。如果连企业的目标都没有搞清楚,那事情就危险了。同样在实施过程中如何理解企业的组织架构、人员角色、业务目标、文化特点等决定着体系认证的成败。
    6.体系认证是知识传递的过程。大家都在讲“授人以渔”,如何授就有难度了。大到企业的管理水平跟不上,组织结构不合理、人员角色分工不明确,小到安全意识的培养、文件体系的建立等等。如果有人跟你说,“认证就是写好文档show给人家看”,那我建议你直接去做个假证给人家看得了,没有什么区别。
    7.体系认证是全员得活动。如果仅仅把体系认证看做是IT部门的事情,那就没有办法做了。全员中最重要得是两端,没有高层得支持,就没有资源,无法协调和沟通;没有底层的执行,就无法落地、实施和运行。
    8.体系认证是个花钱的买卖。不要说咨询费用了,认证费用也挺费银子的。如果是国家认监委能够把体系认证国产化,那能为国家节省多少费用呀。都加入WTO了,这点还是应该容易办的。其次就是企业实施这个认证是否值,如果不能从认证中获取效益,那么认证也只是一纸空文。
    9.多种体系认证齐头并进。以安全为核心,推进企业的IT服务等领域。特别是在中国目前的状况下,外包是个大蛋糕,也是国家发展的重点。所以能够在安全的带领下,同时实现IT服务、等级保护、国内法律法规的合规性等,是个一举多得的好事。
    10.体系认证本身也是有风险的。都说“外来的和尚好念经”,确实如此,毕竟企业自己是“雾里看花”,第三方咨询和认证可以以一个独立性的角色直击企业缺点,但是这有点象红楼梦中的晴雯,是否能承受的了虎狼之药还是个问题,企业是否能经受“僵化、优化、固化”的考验?另外体系实施过程中的信息泄密、评估的风险、安全事件泄漏对企业形象的影响等,都是要仔细考虑的问题。
    有了这些认识,剩下的就是按部就班的去作了,对照标准流程来吧。啰里八嗦的讲了一大堆,俺在讲什么?您是否有被忽悠的感觉呢?!

    转载请注明:Kermit的网站 » 忽悠体系认证 (zz)

    与本文相关的文章