[[418367]]

所謂，無規矩不成方圓。

作為信息安全服務提供方，是不是手里有兩把刷子，就可以直接去客戶那里提供安全服務了呢?其實，要提供一次性服務，確實還是可以的。然而，要提供持續性穩定輸出的服務，僅有兩把刷子，沒有可靠有效的管理是不行的。

可能有些朋友會說，管理會造成內耗，精力內耗最終會影響效率。其實，不然。為什么呢?這里只是談一下我粗鄙的見解。我們考慮安全服務肯定考慮服務穩定持續輸出，而不是打游擊戰。科學管理可以提升效率，同時保障服務質量。單槍匹馬式的服務，質量會波動非常大，沒有體系沒有持續性，為客戶帶來巨量不可以提前預估的各類風險。在這個過程中，安全服務提供方是一個團隊，而非一人。

團隊講求的是配合，講求的是人與人分工互助之原則。

信息安全服務提供方管理要求首先需要從三個大方面考慮，一是信息安全服務原則，二是信息安全服務組織級管理，三是信息安全服務項目級管理。

信息安全服務原則又分合規性、數據和業務保護兩個層面;

信息安全服務組織級管理，即就是服務提供方公司層面的管理，又需要從制度和體系、人力資源、保密、技術能力、服務協議、服務組合、供應鏈幾個方面進行規范;

項目級管理則考慮服務方案、服務人員、服務過程、服務工具和平臺、服務風險、服務變更、服務溝通、服務交付等幾個方面進行規范。 

合規性下又需要分若干項進行細化，同理其他的各個方面也是有具體需要細化的部分。其中建立管理體系工作時需要借鑒GB/T 22080和GB/T 24405兩個標準，所以信息安全有關標準是環環相扣，相輔相成的關系，脫離其他標準單獨談一個標準，其意義不能說沒有，但是會大打折扣。

所以，作為一個團隊必然有一個團隊的目標和宗旨，這個目標和宗旨要與需求方是相一致的。一旦形成組織，自然需要一個組織章程，這樣在自身合規的前提下，才能為客戶帶來真正的合規性服務。社會本身就是需要分工協作的，作為安全服務提供方是社會一個組織，每個組織成員又是團隊的一個個體。只有各司其職，做到分工互助才能將工作朝著盡善盡美的方向發展。

作為信息安全服務提供方，遵循國家法律法規和國家標準，是自身合規，持續提供安全可靠穩定的安全服務，是幫助客戶實現合規。合規，是散漫的無組織無紀律的雜牌軍向正規軍邁進，是不是正規軍不在其名，不在其宣傳，就看有制度有管理，是否真實在用，在促進企業向正規路上發展。

參考文件：

《信息安全技術 信息安全服務 分類》GB/T 30283

《信息安全技術 信息安全服務提供方管理要求》GB/T 32914