Martin Dion先生是加拿大一家规模不大、但声誉颇佳的技术与安全服务公司副总裁。这家公司给客户提供信息系统安全咨询、解决方案和具体的实施指导。

　　去年以来，Martin和他所在公司的顾问发现一个现象，越来越多的客户开始关注“如何构建安全管理体系”的问题。换句话说，客户除了关注信息系统安全的技术要素之外，更关心“安全管理应该怎么做”的问题。

　　Martin后来了解到，一些重要的客户，比如城市银行、网络服务提供商，把目光盯在了一些他有所了解，但没太在意的名词术语上，像COBIT、ITIL和BS 7799。这些内容是信息系统管理、信息系统安全方面的标准体系。客户希望了解这些标准，显然说明客户的“口味”发生了变化。这是个值得关注的动向。

　　拿什么管理无形资产

　　一个客户曾提出过非常简单的要求：怎么合理、合法地对公司的邮件收发加以控制？

　　“客户要求看上去简单，其实问题非常复杂”，Martin在一封讨论邮件中写道，“每个员工都可以自由出入公司，公司的任何有价值的信息也存在‘自由出入’公司的可能。”这个问题不仅涉及到技术问题，还涉及到制度、管理问题，甚至是法律问题。

　　有一些公司采取较为极端的做法，比如干脆取消一些员工访问外部网络的权利，或者对任何进出公司的邮件设置检查程序。这些“听上去有点过分的做法，更像是权宜之计，而非长久之策”。

　　Martin的看法是，在知识资产日益成为公司重要的资产之后，缺乏有效的管理手段，其实隐含重大的风险。“COBIT、ITIL、BS7799起码给出了思考这个问题的结构与方法”，这是包括Martin在内，很多活跃在互联网“COBIT讨论组”上众多成员的一致看法。

　　比如COBIT，制定了34个流程、318个控制目标（Control Objectiveness），对一个组织的信息系统进行全生命周期的管理和过程审计。其中涉及安全的管理流程就有13个，控制目标则多达35个。这些具体的控制目标，为企业系统建立安全管理体系，提供了强大的支持。

　　标准的取舍

　　作为一位对COBIT非常感兴趣的人，Martin和他的客户一样，也有自己的困惑。他曾经提出，“COBIT定义了34个流程，我是否需要完全按照这34个流程走？到底标准有什么价值？”

　　此外，结构化、系统化程度已经很高的COBIT体系，“反而让处于不同规模、不同发展阶段的企业用户无法取舍”，一些客户有这样的抱怨。

　　Martin认为，客户对标准的认知有两种典型的反应：起先是欢迎的态度，“甚至还有点渴望”；然后就是困惑，因为标准体系太过庞大，它几乎涉及到了问题的所有层次和方面。“到底怎么做，才是客户希望知道的内容。”

　　比如，COBIT的34个流程中，在“定义IT组织以及组织间关系”的流程里，涉及到这样一个与安全有关的控制目标，即“明确本地物理安全的责任”。咨询者需要协助客户按照一定的安全等级标准、安全评价指标，对组织内安全责任者的角色、应承担的责任进行明确的定义。

　　但是，这仅仅是在说“我应该做这件事情”，还不能解决“我该怎么做”，以及“我做得够不够”的问题。Martin的经验是，对客户来说，“具体执行的方法”，以及“衡量执行效果的判断标准”才是他们最关心的。

　　这样一来，像COBIT这样一些被称为“标准”的知识体系，就需要搞清楚一个问题：标准对客户的价值到底在哪里？

　　标准只是参照物

　　Martin进一步解释了自己的观点。

　　“过去客户对标准的理解可以说是‘刚性’的，即‘必须这样做’”，Martin认为情况发生了变化，“‘必须做’已经不能满足客户的要求，客户需要的是‘怎样做’”。

　　按Martin的表述，客户对待标准的态度，不应当是把它当作一个“无法更改的”、“硬性的约束”，而是当作“标杆（Benchmark）”。“这才符合COBIT的精神”，Martin这样写道，“COBIT等等新兴的IT标准，并非书斋里学究式的产物，而是大量最佳实践（Best Practice）的提炼和结晶。”

　　在具体的应用中，一定要根据客户的实际情况，有选择地、分步骤地实施。实施的过程实际上是持续改善的过程，是“纠偏”的过程。

　　在这个理解下，Martin认为，“标准不是可以套用的”，这是看待标准的重要转变。标准只是参照物。任何企业应用标准的过程，实际上是与众多在某些方面做得优秀的企业，做对比分析和改善，是找差距。

　　只有这样看待标准的作用，才会认识到标准是真实价值。Martin主张，传统观念中对标准“顶礼膜拜的日子过去了”，企业需要标准的指导，只是因为标准能起到促进持续改善的作用，并非仅仅是“摆设”。

　　让标准在实践中获得价值

　　据美国信息系统审计与控制协会（ISACA）COBIT委员会Gary介绍，自从1996年COBIT正式发布以来，得到了众多著名企业的关注。但是，Gary承认，的确存在如何更好地评估COBIT的选择和使用效果的问题。

　　2002年财富2000（Fortune2000）家企业中，大约有160家采用了COBIT；但是综合来看，也仅仅使用了34个流程中的15个，而且仅仅限于一些公共模块。

　　ISACA于近期提出了一个课题，叫“控制与治理成熟度评测：建立参照标准与自我评估工具（Control and Governance Maturity Survey: Establishing a Reference Benchmark and a Self-assessment Tool）”，致力于为实施和应用COBIT过程中存在的种种问题，提供良好的评估方法。Gray认为，COBIT的意义不在理论层面，而在实践层面。COBIT需要在不断实践中获得价值。

　　LanWrights公司的安全顾问Ed Tittel，在一篇题为《给CIO的安全审计行动列表》的文章中指出，“建立适当的安全策略对一个企业至关重要。正确的步骤包括风险评估、威胁分析、组织安全策略的形式化。”

　　每个部分都需要针对具体的业务条件，并保障在新的威胁出现的时候，有足够的可用性。事实上，建立信息系统安全审计没有任何现成的工具可以使用。安全审计完全需要契合业务管理和发展、环境评估的结果等要素。对CIO来说，各类标准如COBIT、ITIL、BS7799等，与其说提供了流程、方法与模型，不如说提供了可以参考的知识框架。这个参考框架并没有直截了当地告诉CIO怎么做，而是告诉CIO需要考虑哪些问题，剩下的内容，要在具体的实践中完成。