最终一个企业形成
信息安全风险管理的结果,它包括符合法律法规、行业规范以及业务需求的组成部分,符合组织构架,包括组织策略和技术构架的管理层的制度,包括面对人员、技术、流程的各种控制点,以及面对事件风险和业务连续性各种管理活动,以及其中的有效度量KPI,另外我们还一定要强调把技术落地,这时候的技术落地已经不是之前只考虑技术,而是从客户自身的需求出发,自己的要求出发,考虑这个技术怎么把它的管理要求继续落实下去的一种强调。在这之后最重要的是运维管理平台,这里强调的就是管理还是需要通过技术落地。
最后一个主题想说一下我们现在业内从客户的眼光来看,他需要得到最好的支持是什么。当前业内的一些形态无外乎以下几种,集成商、厂商、咨询商和审计方,厂商是大家碰到最多的,也是耳熟能详的,今天的品牌发布上林林总总大概有30家厂商,提供了不同的解决方案,作为厂商来说有几个突出的特点,第一他的产品确确实实能解决一些针对性问题;第二他研发的内容一定有一定的方向,甚至可以引领这个市场的发展;同时作为厂商直接的产品销售模式也要符合业内思维习惯。但从客户的角度上来讲,只面对厂商的时候就会碰到一个问题,就是厂商必定限制他自身产品的功能,他对安全的理解往往会被他自己的产品所固化。
第二种和用户贴的比较近的是集成商,集成商在客户需要什么的时候,客户都可以通过集成商来购买,但是集成商有一个比较大的问题就是他不会引领客户的需求发展,只是客户需要什么我提供这方面最好的解决方案,我不限于哪个厂商我把这一领域的技术组织起来向你们提供,对于客户需要什么这个问题想的比较少。
第三种业内形态就是咨询商,咨询商应该说是近三五年才发展起来的,如果以2000年为
信息安全元年来看的话,差不多2005年的时候独立的咨询商才开始出现,这个需求的变化也是来自于客户希望得到中立的、比较客观的一种咨询服务。所以咨询方可以涵盖的领域比较广,因为他自己没有产品,它可以提供中立的角度,管理、技术、流程方方面面向客户提供服务,当然他也有非常致命的缺点,他没有产品,没办法使方案落地。
|
服 务 CIO 推 进 信 息 化 
