--2

roby_mp

国内安全咨询与五大们
说到五大们眼中的“信息安全”——实际上他们已经不是信息安全的概念了（解释一下，因为信息安全咨询、IT控制、内部审计等业务各咨询公司和审计公司都会做，所以不再细分big 5,big 4，统一以五大名之；除了统称的五大外，IBM、Capgemini、AtosOrigin、Protiviti等等咨询公司也有对应的业务，所以称为五大们；另外，我自己仅在五大的一家呆过这么短时间、五大中的其它公司也只是通过朋友了解，还远远称不上熟悉。所以，这点看法完全只是个人的一点心得，请大家不吝指教），我觉得应该先给大家拿两张简图出来。
图一 top-down 与down-top
首先要说明一点，这两张图只是我想到这些方面顺手画下来便于自己理解的，逻辑或架构上很可能不够严谨，大家看个意思，方家请勿较真。
如上所示，图一自下向上(down-top)描述的刚好是我从进入安全行当从业以来所从事的安全工作经历。首先在最下端，focus在安全产品/ 安全技术/安全服务方面，内容基本上是传统的狭义“安全”，这个时候的视野只局限在IT的一部分；再往上一步，帮客户实施从IATF框架/13335标准/等级化保护等引领出来的本土化安全管理体系，就属于IT安全范畴了，视野开始开阔到整个组织的IT ；再往上一步，帮助客户在整个组织内实施7799项目，这个时候的视野无疑已经到企业业务这个层面了；再往上，客户需要我们做的已不仅仅是解决与业务紧密相关的信息安全问题，而是企业层面的技术风险（相比较于企业的商业风险而名之）；最后，技术风险与商业风险整体构成了企业的风险管理框架（ERM, Enterprise Risk Management）。（注：整体看起来，这就是我初步理解的风险管理的概念，或许Deloitte将对应的业务部门称为ERS（Enterprise Risk Service），就是这个原因吧。另外，从ERM出发的另一个分支：商业风险，就涉及到商业环境，本文不涉及。图中COSO出发的另外一个分支，就是内部控制了，IT只是其中个内容而已，GCC/PLC/CLC是五大们的业务之一。）
这个down-top的过程，在我个人的体会中，就完全是从信息安全实践中最小的一块地方逐渐向周边摸索，一步步看到更大的范围，最终看到top view——或许，这可能也是我们国内安全咨询所走过的路。
如果说国内安全咨询与五大们的区别，或许不应该谈区别——说他们做的根本就不是一件事情更合适——回想起来，这也是为什么当时我的面试经理很自然对我产生concern的原因吧。
1） top-down高于down-top
作为方法本身，两者没有优劣，但应用于信息安全管理这一领域，有高下之分。（当然，这完全是从安全咨询的角度来看，至于安全产品、安全技术等等其它安全专业领域中的重要分支，国内同仁一直在令人尊敬地奋力前行，与国外有多大区别，是我不了解的）。
五大们从一开始，他们就是top-down 的，他们的解决方案出发点就在于企业风险管理，因为企业的风险（不是信息系统的风险），所以内部控制，所以IT控制，所以信息安全，自然而然，顺理成章。国内的安全咨询方法论，是一步步从安全产品实施、通过一路拾缺补遗发展总结出来的，从业的人员也大多有过从防火墙实施到安全服务到安全集成到安全咨询的经历，可惜由于客户环境（客户需求?)的限制，至今也没到企业风险分析这个层面。
2） 好的客户决定好的解决方案
好的客户决定好的解决方案，很多人或许会觉得这个命题很别扭：通常应该是有了好的解决方案才会有好的客户，要求客户去适合自己的解决方案，无疑缘木求鱼。实际上，我关注的是另外一个方面，或许换个比喻比较容易理解：好的土壤开出好的花，客户就是市场，就是环境与土壤，解决方案就是花。
正如上文提到，国内的安全咨询发展正是扎根于国内客户与市场，吸收国外先进的管理思想并进行裁剪、创新而来，7799、Cobit、ITIL、IATF、COSO无一不是国外土壤开出来的鲜花，为什么同样的东西国内公司实施起来就没有五大们有信心呢？我觉得最大的问题在于五大们有很好的客户，而国内咨询业没有。
或许很多人认为我这种事后聪明式的说法毫无建设意义，最后甚至可能陷于“鸡生蛋、蛋生鸡” 的死循环中。但根据我的个人经历，的确有这个体会，五大们的客户都是适合他们解决方案的好客户，要么是外企、要么是SOx驱动的各行业内大公司，公司的治理环境、管理文化及控制要求与产生7799/Cobit/ITIL/IATF/COSO这些“最佳实践”的环境大体一致或者被之浸墨已久（国内的大行业是不一致，但你一旦想要去美国上市，在他们的SOx制高点要求下，反而最容易compliance），相同环境下结出的花籽自然在类似环境下开出美丽的鲜花。（另外，客户好也不仅仅体现在这些方面。对于咨询实施人员而言，在这样的环境做deliver，心里踏实，觉得自己的确是在为客户创造value：无论是帮客户维护7799证书、提高组织安全管理水平，还是建设安全管理体系、帮助企业遵守SOx合规性。）对国内安全咨询来说，到广大的国内市场去实施解决方案，总是自觉不自觉忘了所有这些最佳实践，那只是别人的最佳实践。
比如，实施7799或COSO内部控制框架，国内的政府、金融、电信行业可能拿“人”这个要素进行风险评估吗？与人相关的一些流程实施得下去吗？ “财经“杂志有篇报道《中国在美上市企业朝向萨班斯法案达标冲刺的目标与现实》有这么一个有趣内容：一位在某国企负责萨班斯法案合规的人士，就是否需要设立反舞弊职能部门提出异议：“我们已经有纪委了。”
如果从这方面出发，换个角度，国内安全咨询在五大们更加水土不服的国内市场应该拥有更大的空间，的确如此——只要他们能将所有这些最佳实践真正变成我们自己的最佳实践。根据我个人呆过的安全公司经历及与朋友们的交流所得，国内公司在这些方面一直有做得很扎实深入的团队和个人，包括这两年国家频频发布的一些标准、指南，也是安全企业与国家专家队伍共同努力的结果，其中等级化保护实施指南就是其一。对这部分，我对标准本身倒没有什么评论，不过从实施角度（我有两个试点项目经验）来说，还是有两处不甚明了，顺便提出来和大家探讨。第一，信息系统的安全保护要求与安全实现要求还是“两张皮”，想要完全match，尚需时日。简单说，某个信息系统被评为四级，对应的安全保护要求也就是四级（达到四级系统保护目标），落实下来的安全实现要求（安全措施）也应该是四级。先不说，这两个要求的等级指标级差如何定义、指标又什么时候出来？即使作为国家标准发布了，不同地方的政府组织差异巨大，安全实现要求又如何裁剪？第二，对象是信息系统。标准及指南所涵盖的资产不包括人员、文件（这种状况的确比较适合政府，或垂直管理行业这种“全国可看成一个组织、各级政府是整个组织的一个部门”单位，人员的风险通过政府组织另行解决，文件风险通过政府保密制度解决），从资产风险分析角度，这种状况不大适合企业这种组织，总不成让企业做了等级化后，再另设一套去管人与文件的安全吧？一旦这个由国信办发起的适合政府机构的标准(包括指南)由公安部作为国家标准发布，将会如何，值得保持关注。
所谓职业规划