论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 27 篇帖子 ]  前往页数 1, 2  下一页
作者 内容
 文章标题 : 关于实现信息安全的“瘦”咨询,及未来安全咨询的展望
帖子发表于 : 2011-03-02 15:49 
离线
版主

注册: 2008-05-20 10:40
最近: 2015-07-20 17:49
拥有: 77.50 安全币

奖励: 198 安全币
在线: 2135 点
帖子: 117
关于中国目前的信息安全咨询市场中,我有几句大实话:
1、甲方喜欢花更少的钱来完成目标工作,无论是为了满足预算、留出其他业务运作空间还是让项目运作得好看;

2、乙方平时养着一群顾问可能没项目做,项目稍微多点人又不够用,投标的时候各乙方PK起来,中了标又好像不咋赚钱;

3、由于项目不咋赚钱,人也不咋够用,项目经过外包及采用模版化实施后,咨询项目成果文档大同小异。即使不用模版,很多文档相同的地方也非常多,外包人员写出来东西的质量可能也一般;

4、咨询项目成果的宣贯和落地非常难,难到很多乙方在项目开始的时候,就给甲方洗脑,提出需要逐步宣贯、逐渐落地、强调PDCA等事情,乙方在项目没开始实施的时候就已经找了太多的理由。客观的结果就是大部分乙方写出来的咨询项目成果是不容易进行落地的。

基于以上情况,我们为什么不能改进我们的咨询服务方式,实现以下目标:
1、甲方实际上更省钱,无论省下的钱干啥用了;

2、乙方人力成本更低,用更少的人,更短的时间,赚和以前同样的钱;

3、既然文档本来就大同小异,为啥不做成标准化的模版库。很多外包写出来的制度,还不如以前别人写的呢,何必重新发明轮子;

4、宣贯和落地工作,为啥不通过结合安全产品功能的方式来实现。乙方很多时候搞服务和咨询,就是为了顺便推产品。如果产品能协助管理制度的宣贯和落地,还愁不好推广么?

根据以上的现状和我理想中的目标,我提出我认为更符合目前大众趋势的咨询的实施方案:
1、咨询需求分析阶段:给甲方提供一个标准的咨询产品模块,如等级保护、ISO27001、SOX,根据甲方的单位特点,需要啥,就选啥模块;

2、安全现状评估阶段:弄一个WEB平台,给甲方开好帐号,让他们来自己填写调查表,上传相关文档;部分系统做安全扫描;

3、咨询文档编写阶段:乙方建立好文档库平台,平台可自动生成安全咨询所需要的相关;直接根据甲方前期填写的表格统计结果,在文档库平台中进行配置,由系统生成本次安全咨询所需要的文档;

4、咨询文档审阅阶段:甲乙双方共同对文档库平台系统生成的文档进行审阅,由乙方解释每个文档是干啥的,里面说的啥意思,要改哪个参数,就顺便改哪。顺便实现了乙方对甲方项目组人员的培训和宣贯;

5、成果宣贯培训阶段:安全产品(如SOC)应能够协助乙方,对咨询项目成果的宣贯工作,如扫描评估类设备,在导入策略包后,应能够提示甲方某发现的脆弱点,不符合目前甲方安全管理策略或某安全标准中的某项,并按照甲方的配置手册对甲方运维人员的操作进行提示;使安全人员在工作过程中有据可依,同时让甲方相关人员学习并理解安全规范;

5、文档更新维护阶段:安全产品(如SOC)可考虑提供所有安全咨询文档的下载,并通过对以往安全运维工作过程中的配置参数调整,给甲方的文档修订工作提供参考;乙方可提供安全文档库平台帐号,当甲方应付检查或有其他需求时为甲方提供文档模版。乙方通过长期专业的对文档库平台的升级,来使甲方愿意购买文档库帐号。

未来基于高人力投入的安全咨询工作,将以专家深度咨询的方式,通过高项目费用让乙方获得收益。而我上面提出的“瘦”咨询将以非常低的成本,在部分咨询项目招标中提高中标的筹码,对目前部分乙方的工作方式造成打击。

以上是我个人天马行空的展望,请各位多提意见,我只是想让我们乙方的工作效率更高,服务更好,钱更好赚,让甲方更满意、运维更惬意。

产品与安全制度逐步结合,应该是一个不错的发展方向。

思路过于发散,大家任意拍砖,恭祝大家2011,财源兴旺,身体健康!


--------本帖迄今已累计获得82安全币用户奖励--------


最后由 hao_yi 编辑于 2011-03-02 16:32,总共编辑了 1 次

回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于实现信息安全的“瘦”咨询,及未来安全咨询的展望
帖子发表于 : 2011-03-02 16:01 
离线
版主

注册: 2008-05-20 10:40
最近: 2015-07-20 17:49
拥有: 77.50 安全币

奖励: 198 安全币
在线: 2135 点
帖子: 117
关于理想中的平台:
通过采集、自动导入或手工录入配置参数,生成管理体系中的建议配置参数,认为对建议配置参数进行修订并确认,通过对标准体系文档的剪裁、配置、系统输出一套基本的管理体系文档;

在基本的管理体系文档讨论过程中,将讨论结果录入、编辑到文档管理平台中;

由于参数是存储在平台中的,又通过这个参数生成的管理体系文档,那么参数在落地的时候,就可以直接用平台中存储的参数下发给安全及其他设备,顺便现了制度的落地;

如果上级监管机构来检查,问到管理文档,就直接去平台上打包下载,保证啥都有,而且平台还可以有文档版本管理啥的。

如果检查落地情况,参数都是平台下发的,实现了严格按照管理制度执行。

通过平台去修订编辑制度,更方面,大量人员分工起来更容易。参照WIKI模式。当然可以搞个流程,安全人员审核,领导在线签署发布。

多美好的未来~~~~~~


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于实现信息安全的“瘦”咨询,及未来安全咨询的展望
帖子发表于 : 2011-03-02 16:21 
离线
版主

注册: 2008-05-20 10:40
最近: 2015-07-20 17:49
拥有: 77.50 安全币

奖励: 198 安全币
在线: 2135 点
帖子: 117
安全人员不应该把时间消耗在改页眉页脚,修订文档格式和属性这些事情上来。

安全标准的格式本身是有标准的,页眉页脚配置下,体系文档系统造出来...


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于实现信息安全的“瘦”咨询,及未来安全咨询的展望
帖子发表于 : 2011-03-02 17:32 
离线
超级用户

注册: 2008-04-16 22:45
最近: 2014-11-11 19:10
拥有: 8,436.00 安全币

奖励: 2533 安全币
在线: 8567 点
帖子: 504
地址: ISMS群210674629
想法很好,只不过“实施方案”实现的可能性基本为零。
包括那个“平台”。

认真做几个大项目,就会明白为什么了。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于实现信息安全的“瘦”咨询,及未来安全咨询的展望
帖子发表于 : 2011-03-02 18:54 
离线
版主

注册: 2003-11-12 13:38
最近: 2014-09-26 19:24
拥有: 1,984.20 安全币

奖励: 81 安全币
在线: 4590 点
帖子: 221
地址: Beijing
未必完全不可实现,大的趋势一定是这样的,随着咨询方法和经验的成熟,重复性的工作交给软件去做,顾问做更深入的咨询工作。
感兴趣请关注谷安的ITRM平台,很多项目已经这样做了,只不过还没达到楼主说的完全自动化,这个很难。


--------本帖迄今已累计获得36安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于实现信息安全的“瘦”咨询,及未来安全咨询的展望
帖子发表于 : 2011-03-02 22:43 
离线
顶级用户

关注按钮

注册: 2009-09-09 15:33
最近: 2016-05-03 09:22
拥有: 6,666.00 安全币

奖励: 2109 安全币
在线: 11570 点
帖子: 1116
地址: 上海
楼主是甲方?
这么一搞大家都没钱赚了


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于实现信息安全的“瘦”咨询,及未来安全咨询的展望
帖子发表于 : 2011-03-02 23:06 
离线
版主

注册: 2008-05-20 10:40
最近: 2015-07-20 17:49
拥有: 77.50 安全币

奖励: 198 安全币
在线: 2135 点
帖子: 117
我乙方,如果别人先这么搞,剩下的人就不容易吃饭了。咱们不搞不代表别人不会搞,还是先想着。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于实现信息安全的“瘦”咨询,及未来安全咨询的展望
帖子发表于 : 2011-05-04 12:38 
离线
顶级用户

注册: 2004-07-21 10:43
最近: 2018-01-17 00:18
拥有: 6,009.90 安全币

奖励: 20328 安全币
在线: 16236 点
帖子: 753
地址: beijing
理想是好的,实现起来难。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于实现信息安全的“瘦”咨询,及未来安全咨询的展望
帖子发表于 : 2011-05-04 14:10 
离线
高级用户

注册: 2006-04-16 17:07
最近: 2016-02-25 09:13
拥有: 730.10 安全币

奖励: 0 安全币
在线: 4152 点
帖子: 199
地址: BJ
HAO-YI想法还是不错的。咨询项目要想取得好的结果,关键还是要看甲方。
1、甲方愿意掏钱
2、甲方愿意配合
3、甲方有人配合
4、甲方..........
当然,乙方也很重要。不过如果甲方确实像做好这件事,肯定会找一个水平不错的乙方,而不是...【大家懂的】


--------本帖迄今已累计获得42安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于实现信息安全的“瘦”咨询,及未来安全咨询的展望
帖子发表于 : 2011-05-04 16:55 
离线
初级用户

注册: 2010-09-02 22:50
最近: 2014-04-23 16:59
拥有: 227.00 安全币

奖励: 31 安全币
在线: 137 点
帖子: 35
梦醉 写道:
HAO-YI想法还是不错的。咨询项目要想取得好的结果,关键还是要看甲方。
1、甲方愿意掏钱
2、甲方愿意配合
3、甲方有人配合
4、甲方..........
当然,乙方也很重要。不过如果甲方确实像做好这件事,肯定会找一个水平不错的乙方,而不是...【大家懂的】


同意楼上的,效果好坏,关键看甲方,如果只是想要一套文档,楼主说的可行,可能还麻烦。。。如果要将制度真正落地,甲乙双方都要有心


--------本帖迄今已累计获得2安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于实现信息安全的“瘦”咨询,及未来安全咨询的展望
帖子发表于 : 2011-05-04 22:29 
离线
版主

关注按钮

注册: 2004-08-03 11:20
最近: 2018-02-04 14:11
拥有: 24,453.80 安全币

奖励: 24049 安全币
在线: 13034 点
帖子: 1844
地址: 北京
真能开发一个这样的咨询服务可用的技术平台 成本也不会很瘦


--------本帖迄今已累计获得4安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于实现信息安全的“瘦”咨询,及未来安全咨询的展望
帖子发表于 : 2011-05-05 01:14 
离线
高级用户

注册: 2009-07-13 12:31
最近: 2012-10-26 17:45
拥有: 71.00 安全币

奖励: 255 安全币
在线: 1862 点
帖子: 217
1、首先要理解什么是咨询
2、咨询的目的不是去解决什么还是提出解决建议,换句话就是出主意
3、由此延伸出来的一切工作的开展,调研、风险识别、审计等等
4、拘泥于某个标准或者几个标准来臆造一个模板是不是就能实现咨询的目的
5、未来的咨询是不是就是以IS咨询为发展,为什么不考虑一种融合模式,将Cobit与ISMS的大结合
6、如果不能有效引导客户走向正途,咨询存在还有没有必要
7、一切的市场与商务都是为了生存,杀鸡取卵一定会有人去做,但是不是每个客户都是SB,高品质的客户会允许你这样做吗?你做十个好项目才能赢得的尊重可能就会被这一个项目打的干干净净,业内这种先例很多
8、我们的咨询市场就整个安全行业来讲还是一个起步或者正在发展中,还不到考虑未来的时候,未来很遥远,但是可以说,抛开业务的咨询一定会消亡,虽然他能带来市场的泡沫。
这个问题很好,抽时间可以一篇文章出来。
以上仅属个人意见,请各位大牛指正


--------本帖迄今已累计获得50安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于实现信息安全的“瘦”咨询,及未来安全咨询的展望
帖子发表于 : 2011-05-06 09:33 
离线
中级用户

注册: 2007-08-29 15:00
最近: 2014-10-30 15:12
拥有: 226.00 安全币

奖励: 224 安全币
在线: 1973 点
帖子: 83
梦醉 写道:
HAO-YI想法还是不错的。咨询项目要想取得好的结果,关键还是要看甲方。
1、甲方愿意掏钱
2、甲方愿意配合
3、甲方有人配合
4、甲方..........
当然,乙方也很重要。不过如果甲方确实像做好这件事,肯定会找一个水平不错的乙方,而不是...【大家懂的】

小弟长期呆在甲方,恕我直言,咨询项目的成功与否,这个应该是由甲方来定义的,对不同的甲方成功有不同的含义,有些甲方做咨询项目可能是为了拿证书,有些甲方可能只是为了应付上层单位的政治任务,有些甲方可能只想借助咨询项目的名义推一些自己想做的事情,当然也会有甲方是想通过咨询项目来建立规范的管控,等等。出于不同的目的,甲方会去寻找不同的咨询实施方,在人钱物方面也会有不同的调配,乙方水平不错并不代表可以通吃一切CASE,水平高的丢单也正常不过,如果乙方对于不同的甲方及同一甲方的不同项目没有针对性的考量与调研,没有搞清甲方做咨询的真正目的及关注点,在前期言之凿凿,拍板保证,到了后期遇到问题就把责任推在甲方不配合上,甲方是不会给这样的乙方第二次机会的。
以上纯属个人一时感触,无特殊含义与针对性哈~


--------本帖迄今已累计获得21安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于实现信息安全的“瘦”咨询,及未来安全咨询的展望
帖子发表于 : 2011-05-09 13:22 
离线
中级用户

注册: 2004-12-03 10:52
最近: 2015-01-08 16:15
拥有: 1,179.20 安全币

奖励: 98 安全币
在线: 1772 点
帖子: 60
楼主的想法的方向是挺不错的,我个人也认同这个发展方向。其实这么做不光对甲方有益处,对乙方也是有益处的。

现在的安全咨询现状就是,甲方出了不多也不少的钱,乙方干着技术含量不高但工作量挺大的活,最后项目得到一个很难落地的结果。
与其这么中庸的做下去,不如把低端的模板化咨询和高端咨询区分开。
低端模块化咨询就如楼主所说,标准化、模板化、平台化、降低成本。高端咨询就要确实拿出一些真正有价值的内容来,而不只是改改模板。同时也要和客户明确,咨询服务并不都是高高在上的,也分高中低档,他需要的是哪一档,解决什么问题。

不过,个人认为平台化的实现目前还一些问题。
一是信息收集,不同于访谈方式是有咨询顾问整理信息,如果是让客户直接来填写现状,很可能填写的不完整或存在问题,结果还是要进行访谈。所以尽量让客户填写一些封闭型的问题会比较好。
二是文档输出方面,平台能实现到什么程度现在还很难说。估计还需要经过不断完善在能体现出平台的价值。


--------本帖迄今已累计获得37安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于实现信息安全的“瘦”咨询,及未来安全咨询的展望
帖子发表于 : 2011-05-10 09:56 
离线
超级用户

注册: 2005-08-29 17:37
最近: 2014-10-17 22:41
拥有: 6,979.80 安全币

奖励: 1324 安全币
在线: 4600 点
帖子: 397
chinadoors 写道:
真能开发一个这样的咨询服务可用的技术平台 成本也不会很瘦


不光成本,我有些怀疑能否搞成这么一个平台,或者说搞出这么一个平台,吐出来的文档是否会像计算机翻译的文学作品一样。

第二个困惑,甲方找乙方提供咨询服务,如果是现场文档就有的,专家的经验价值体现在哪里?就好比看专家门诊,楼主设想的这个平台就像目前我们去看医生,先自述病情,然后抽取某些典型症状,对比药厂提供的说明书,再加上一些权重考虑,就给出药方。甲方想要的可不完全是这个样子。


--------本帖迄今已累计获得50安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 27 篇帖子 ]  前往页数 1, 2  下一页

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
cron
华安信达(CISPS.org) ©2003 - 2012