所谓,无规矩不成方圆。
作为信息安全服务提供方,是不是手里有两把刷子,就可以直接去客户那里提供安全服务了呢?其实,要提供一次性服务,确实还是可以的。然而,要提供持续性稳定输出的服务,仅有两把刷子,没有可靠有效的管理是不行的。
可能有些朋友会说,管理会造成内耗,精力内耗最终会影响效率。其实,不然。为什么呢?这里只是谈一下我粗鄙的见解。我们考虑安全服务肯定考虑服务稳定持续输出,而不是打游击战。科学管理可以提升效率,同时保障服务质量。单枪匹马式的服务,质量会波动非常大,没有体系没有持续性,为客户带来巨量不可以提前预估的各类风险。在这个过程中,安全服务提供方是一个团队,而非一人。
团队讲求的是配合,讲求的是人与人分工互助之原则。
信息安全服务提供方管理要求首先需要从三个大方面考虑,一是信息安全服务原则,二是信息安全服务组织级管理,三是信息安全服务项目级管理。
信息安全服务原则又分合规性、数据和业务保护两个层面;
信息安全服务组织级管理,即就是服务提供方公司层面的管理,又需要从制度和体系、人力资源、保密、技术能力、服务协议、服务组合、供应链几个方面进行规范;
项目级管理则考虑服务方案、服务人员、服务过程、服务工具和平台、服务风险、服务变更、服务沟通、服务交付等几个方面进行规范。
合规性下又需要分若干项进行细化,同理其他的各个方面也是有具体需要细化的部分。其中建立管理体系工作时需要借鉴GB/T 22080和GB/T 24405两个标准,所以信息安全有关标准是环环相扣,相辅相成的关系,脱离其他标准单独谈一个标准,其意义不能说没有,但是会大打折扣。
所以,作为一个团队必然有一个团队的目标和宗旨,这个目标和宗旨要与需求方是相一致的。一旦形成组织,自然需要一个组织章程,这样在自身合规的前提下,才能为客户带来真正的合规性服务。社会本身就是需要分工协作的,作为安全服务提供方是社会一个组织,每个组织成员又是团队的一个个体。只有各司其职,做到分工互助才能将工作朝着尽善尽美的方向发展。
作为信息安全服务提供方,遵循国家法律法规和国家标准,是自身合规,持续提供安全可靠稳定的安全服务,是帮助客户实现合规。合规,是散漫的无组织无纪律的杂牌军向正规军迈进,是不是正规军不在其名,不在其宣传,就看有制度有管理,是否真实在用,在促进企业向正规路上发展。
参考文件:
《信息安全技术 信息安全服务 分类》GB/T 30283
《信息安全技术 信息安全服务提供方管理要求》GB/T 32914