[[418367]]

所謂，無規(guī)矩不成方圓。

作為信息安全服務(wù)提供方，是不是手里有兩把刷子，就可以直接去客戶那里提供安全服務(wù)了呢?其實(shí)，要提供一次性服務(wù)，確實(shí)還是可以的。然而，要提供持續(xù)性穩(wěn)定輸出的服務(wù)，僅有兩把刷子，沒有可靠有效的管理是不行的。

可能有些朋友會(huì)說，管理會(huì)造成內(nèi)耗，精力內(nèi)耗最終會(huì)影響效率。其實(shí)，不然。為什么呢?這里只是談一下我粗鄙的見解。我們考慮安全服務(wù)肯定考慮服務(wù)穩(wěn)定持續(xù)輸出，而不是打游擊戰(zhàn)?？茖W(xué)管理可以提升效率，同時(shí)保障服務(wù)質(zhì)量。單槍匹馬式的服務(wù)，質(zhì)量會(huì)波動(dòng)非常大，沒有體系沒有持續(xù)性，為客戶帶來巨量不可以提前預(yù)估的各類風(fēng)險(xiǎn)。在這個(gè)過程中，安全服務(wù)提供方是一個(gè)團(tuán)隊(duì)，而非一人。

團(tuán)隊(duì)講求的是配合，講求的是人與人分工互助之原則。

信息安全服務(wù)提供方管理要求首先需要從三個(gè)大方面考慮，一是信息安全服務(wù)原則，二是信息安全服務(wù)組織級(jí)管理，三是信息安全服務(wù)項(xiàng)目級(jí)管理。

信息安全服務(wù)原則又分合規(guī)性、數(shù)據(jù)和業(yè)務(wù)保護(hù)兩個(gè)層面;

信息安全服務(wù)組織級(jí)管理，即就是服務(wù)提供方公司層面的管理，又需要從制度和體系、人力資源、保密、技術(shù)能力、服務(wù)協(xié)議、服務(wù)組合、供應(yīng)鏈幾個(gè)方面進(jìn)行規(guī)范;

項(xiàng)目級(jí)管理則考慮服務(wù)方案、服務(wù)人員、服務(wù)過程、服務(wù)工具和平臺(tái)、服務(wù)風(fēng)險(xiǎn)、服務(wù)變更、服務(wù)溝通、服務(wù)交付等幾個(gè)方面進(jìn)行規(guī)范。 

合規(guī)性下又需要分若干項(xiàng)進(jìn)行細(xì)化，同理其他的各個(gè)方面也是有具體需要細(xì)化的部分。其中建立管理體系工作時(shí)需要借鑒GB/T 22080和GB/T 24405兩個(gè)標(biāo)準(zhǔn)，所以信息安全有關(guān)標(biāo)準(zhǔn)是環(huán)環(huán)相扣，相輔相成的關(guān)系，脫離其他標(biāo)準(zhǔn)單獨(dú)談一個(gè)標(biāo)準(zhǔn)，其意義不能說沒有，但是會(huì)大打折扣。

所以，作為一個(gè)團(tuán)隊(duì)必然有一個(gè)團(tuán)隊(duì)的目標(biāo)和宗旨，這個(gè)目標(biāo)和宗旨要與需求方是相一致的。一旦形成組織，自然需要一個(gè)組織章程，這樣在自身合規(guī)的前提下，才能為客戶帶來真正的合規(guī)性服務(wù)。社會(huì)本身就是需要分工協(xié)作的，作為安全服務(wù)提供方是社會(huì)一個(gè)組織，每個(gè)組織成員又是團(tuán)隊(duì)的一個(gè)個(gè)體。只有各司其職，做到分工互助才能將工作朝著盡善盡美的方向發(fā)展。

作為信息安全服務(wù)提供方，遵循國(guó)家法律法規(guī)和國(guó)家標(biāo)準(zhǔn)，是自身合規(guī)，持續(xù)提供安全可靠穩(wěn)定的安全服務(wù)，是幫助客戶實(shí)現(xiàn)合規(guī)。合規(guī)，是散漫的無組織無紀(jì)律的雜牌軍向正規(guī)軍邁進(jìn)，是不是正規(guī)軍不在其名，不在其宣傳，就看有制度有管理，是否真實(shí)在用，在促進(jìn)企業(yè)向正規(guī)路上發(fā)展。

參考文件：

《信息安全技術(shù) 信息安全服務(wù) 分類》GB/T 30283

《信息安全技術(shù) 信息安全服務(wù)提供方管理要求》GB/T 32914