[[418367]]

所謂，無規(guī)矩不成方圓。

作為信息安全服務(wù)提供方，是不是手里有兩把刷子，就可以直接去客戶那里提供安全服務(wù)了呢?其實，要提供一次性服務(wù)，確實還是可以的。然而，要提供持續(xù)性穩(wěn)定輸出的服務(wù)，僅有兩把刷子，沒有可靠有效的管理是不行的。

可能有些朋友會說，管理會造成內(nèi)耗，精力內(nèi)耗最終會影響效率。其實，不然。為什么呢?這里只是談一下我粗鄙的見解。我們考慮安全服務(wù)肯定考慮服務(wù)穩(wěn)定持續(xù)輸出，而不是打游擊戰(zhàn)?？茖W管理可以提升效率，同時保障服務(wù)質(zhì)量。單槍匹馬式的服務(wù)，質(zhì)量會波動非常大，沒有體系沒有持續(xù)性，為客戶帶來巨量不可以提前預估的各類風險。在這個過程中，安全服務(wù)提供方是一個團隊，而非一人。

團隊講求的是配合，講求的是人與人分工互助之原則。

信息安全服務(wù)提供方管理要求首先需要從三個大方面考慮，一是信息安全服務(wù)原則，二是信息安全服務(wù)組織級管理，三是信息安全服務(wù)項目級管理。

信息安全服務(wù)原則又分合規(guī)性、數(shù)據(jù)和業(yè)務(wù)保護兩個層面;

信息安全服務(wù)組織級管理，即就是服務(wù)提供方公司層面的管理，又需要從制度和體系、人力資源、保密、技術(shù)能力、服務(wù)協(xié)議、服務(wù)組合、供應(yīng)鏈幾個方面進行規(guī)范;

項目級管理則考慮服務(wù)方案、服務(wù)人員、服務(wù)過程、服務(wù)工具和平臺、服務(wù)風險、服務(wù)變更、服務(wù)溝通、服務(wù)交付等幾個方面進行規(guī)范。 

合規(guī)性下又需要分若干項進行細化，同理其他的各個方面也是有具體需要細化的部分。其中建立管理體系工作時需要借鑒GB/T 22080和GB/T 24405兩個標準，所以信息安全有關(guān)標準是環(huán)環(huán)相扣，相輔相成的關(guān)系，脫離其他標準單獨談一個標準，其意義不能說沒有，但是會大打折扣。

所以，作為一個團隊必然有一個團隊的目標和宗旨，這個目標和宗旨要與需求方是相一致的。一旦形成組織，自然需要一個組織章程，這樣在自身合規(guī)的前提下，才能為客戶帶來真正的合規(guī)性服務(wù)。社會本身就是需要分工協(xié)作的，作為安全服務(wù)提供方是社會一個組織，每個組織成員又是團隊的一個個體。只有各司其職，做到分工互助才能將工作朝著盡善盡美的方向發(fā)展。

作為信息安全服務(wù)提供方，遵循國家法律法規(guī)和國家標準，是自身合規(guī)，持續(xù)提供安全可靠穩(wěn)定的安全服務(wù)，是幫助客戶實現(xiàn)合規(guī)。合規(guī)，是散漫的無組織無紀律的雜牌軍向正規(guī)軍邁進，是不是正規(guī)軍不在其名，不在其宣傳，就看有制度有管理，是否真實在用，在促進企業(yè)向正規(guī)路上發(fā)展。

參考文件：

《信息安全技術(shù) 信息安全服務(wù) 分類》GB/T 30283

《信息安全技術(shù) 信息安全服務(wù)提供方管理要求》GB/T 32914