信息化进程中，面对名目繁多的国际标准，缺乏经验的CIO们常常不知所措，他们总是被这样或者那样的疑问所困扰——这些形形色色的与信息化有关联的国际标准，在信息化中扮演的角色是什么？这些国际标准能帮助他们做什么？
　　
　　“标准之所以能成为标准，往往集中了很多先进企业的最佳实践。企业实施这些标准的过程也是学习先进企业经验的过程，可以缩短获得经验的时间，避开信息化摸索过程中可能出现的误区。”挪威船级社工业部大中国区总经理郭晓英说。
　　
　　挪威船级社是国际管理标准的知名研发机构。1979年它发布了全球第一个非军方的品质管理系统标准，依据此标准，产生了日后的挪威国家标准NS5800、英国国家标准BS5750以及众所周知的ISO9000标准。如今挪威船级社制定的OHSMS标准已经演变为当今世界通用的OHSAS18001认证标准。截至目前，挪威船级社颁发了中国境内企业的首张ISO9001、ISO14001、OHSAS18001、SA8000、BS7799、BS15000和ISO27001证书。
　　
　　在加入挪威船级社之前，郭晓英曾任职英国标准协会，是最早从事ISO9000等质量管理体系研究的审核员之一。她是中国内地第一位在国际审核员注册协会注册的信息安全管理体系ISO27001（BS7799）的主任审核员，也是中国内地第一位接受itSMF主任审核员课程培训的IT服务管理体系ISO20000（BS15000）的审核员。
　　
　　CIOINSIGHT杂志记者近日采访了郭晓英，与她就国际标准在信息化进程中的作用展开了交流，并以ISO27001标准为重点，讨论了企业在实施ISO27001过程中经常遇到的问题和困惑。
　　
　　CIOI:在你看来，企业在信息化过程中寻求国际标准认证的初衷主要有哪些？
　　
　　郭晓英：从企业角度来讲，不管做什么事情，总会有一个出发点，并且出发点不同，对待国际标准的态度也会有所不同。这与企业自身的成熟度、在行业中所处的位置和市场竞争状况等都有关系。
　　
　　有一些企业寻求认证完全是出于外部压力，内部还没有明确感知到对标准体系的需求到底是怎么样的，到底需要在哪些方面进行明确改进，但是外部的压力已经来了，所以需要引入相应的标准体系认证。这些外部压力要么来自于供应链上游客户，要么来自于行业监管、法律法规等。
　　
　　当然也有一部分企业寻求认证的初衷，纯粹是为了改进管理。这类企业大都有非常确切的目标，就是为了改进信息化建设中的某些内部管理流程，通过引入国际标准，提升信息化管理在某些方面的水平，以获得持续的竞争优势。

CIOI:你觉得在企业寻求认证过程中，这两种截然不同的初衷究竟哪一个占主导呢？
　　
　　从现在来看，前一种情况更多一些。不过，这也是比较好理解的，打一个比方，我们在购物的时候，首先看重的是某种产品的价格是否在我们承受的范围内，同时其质量是否能够满足我们的需求。在满足质量和价格要求的前提下，我们可能会进一步考虑这些产品当中哪个对环境的破坏更小，生产这些产品的公司是否符合社会的可持续发展等其他方面。信息化管理也是如此，只有在满足前期最基本需求的基础上，才会逐步进入更精细化的阶段。比如ISO27001是一个信息安全管理方面的标准，也许企业在最初的时候并没有这方面的需求。但是，当企业的IT应用达到一定规模，企业的运作已经高度依赖IT，这时候企业就会意识到，如果IT系统不稳定，就会影响到整体业务的稳定和连续性，这时候，企业往往才会开始实施这些更加细致的标准体系。
　　
　　但是，比较有意思的是，我们发现，最早实施ISO9000等标准的企业，往往也是最先考虑信息安全、运维等众多新标准的企业。所以，领先的企业在各方面都会领先，领头的企业实施了这些标准之后，就会对整个行业和供应链造成压力。这种结果其实与已经普遍存在的各种新趋势一样，走在前面的虽然只有20％的企业，但是在它们的带动或者迫使下，剩下的80％的企业也只能跟着这么走。
　　
　　CIOI:能在供应链上对下游企业造成压力的，是不是主要集中在与核心业务相关的标准上？但是很显然，与信息化相关的标准与大部分企业核心业务的关系并不十分紧密。
　　
　　不一定。比如华为，他们有一个口号叫“安全无小事”。因为对于华为这类靠研发、技术领先的公司来讲，如果他们的技术被拷贝，竞争力就会减弱。另外，华为同时也受到来自供应链上端客户的压力。华为是BP（英国石油公司）的供应商，BP对华为的信息安全管理提出了很多具体的要求，BP对华为所做的第二方审核，比所有的第三方审核都更加严格、细致。因为第三方审核其实只是确保有一个管理体系存在，可是BP不仅要审核这些管理体系的存在，还要审核具体的技术措施是不是能够达到需要的标准和准则。所以，比如ISO27001这些与信息化管理相关的标准，受到的客户驱动也是很多的。
　　
　　也许你会说华为是IT公司，有点特殊，实际上很多IT企业的IT系统反而不是企业的命脉，恰恰是一些非IT企业的IT系统是企业的命脉。比方证券、银行、通信等企业的IT系统，肯定比一家从事软件外包业务的IT公司的IT系统更加重要，它们对IT系统的稳定性要求也更严格。信息系统本身就是支撑业务的工具，不管是IT企业还是非IT企业，所以在寻求与信息化相关标准的认证方面，不仅是IT行业，很多非IT行业的企业也很积极。
　　
　　CIOI:那么在信息化建设和管理过程中，这些国际标准扮演的角色是什么样的？
　　
　　我们先来看一下现在常见的与信息化相关的国际标准有哪些？总体来讲，目前CIO们谈COBIT可能更多一些，因为COBIT是比较全面的信息化管理的标准，是一个很大的框架。除此之外，还有很多专门的国际标准。比如谈到信息安全，ISO27001是比较常用的标准；系统建设完成之后的运维阶段又会涉及到ITIL、ISO20000等标准；在系统开发、集成过程中，CMM、CMMI、ISO9000等标准也比较常见。信息系统有生命周期，在不同的阶段，有与之相对应的不同的国际标准。当然，还有很多其他的标准，我没有完全列出来。
　　
　　任何一项国际标准，其形成历程一般来讲，刚开始可能只是一个技术文件，有某些组织或者行业首先提出，在得到一定范围的普遍认可的基础上，慢慢由不同专家组成标准委员会对技术文件进行修订，形成比较系统的标准体系，再通过ISO成员共同投票决定。所以，任何国际标准在形成之前，都一定经历了千锤百炼，综合了众多的最佳实践后，才有可能成为国际标准。
　　
　　比如ISO27001，有些CIO看到标准中提出了133个控制措施，很可能会担心这133个控制措施逐个实施起来是不是很困难，是不是要增加很多工作量。实际上，当CIO比照这133个控制措施看自己企业的时候，很可能会发现，大部分控制措施在企业内部已经实施完成了，虽然之前他们并没有接触过ISO27001。这是为什么？因为ISO27001就是源自众多优秀企业的经验积累。
　　
　　也有CIO会说：“既然没见过ISO27001，我们也已经做完了很多控制措施，还有必要去读这些国际标准吗？这些国际标准的角色究竟是什么样的？”可以这么说，这些综合了最佳实践的国际标准是信息化建设和管理的一条捷径，企业不需要等摔得鼻青脸肿的时候才明白这是一个坎，需要设置相应的控制点。通过实施这些标准，企业可以知道哪些地方是坎，容易摔跤，可以事先采取针对性措施，避免出现其他企业出现的困难，缩短在信息化建设和管理过程中摸索、学习的过程，能在更短的时间内把信息化管理做得更好。

CIOI:面对这些国际标准，企业普遍存在的误区有哪些？
　　
　　一只南美洲亚马孙河流域热带雨林中的蝴蝶偶尔扇动几下翅膀，就可能会在两周后引起美国德克萨斯州的一场龙卷风。同样，在今天这样经济全球化运作的时代，全球经济中任何初始条件下微小的变化，都有可能带动整个经济链条的长期、巨大的连锁反应。
　　
　　这些微小的变化也许刚开始的时候就是一个从欧美等发达国家传过来的微不足道的信号——某些企业在信息化建设和管理中实施了某些国际标准，引入了这样或者那样的管理体系。可能要不了多久，认为这些标准体系还离自身很远的中国企业就会面临压力，他们也必须实施相应的标准体系，才能确保跟他们的欧美大客户们在业盲目投入资源，损失也会比较大。
　　
　　认识到风险之后，紧接着就是选择控制风险的措施，但是如果前期没有对风险达成共识，后续的资源投入和控制措施的选择也会不一致。这种状态下建成的标准体系，很可能会与初衷大相径庭。
　　
　　还有一个比较困难的部分，就是选择控制措施的时候决定投入什么样的资源。通常来讲，负责做标准体系的人，都不是资源的决策者，他们要用什么样的方法说服管理者在这方面投入资源，往往也是很棘手的问题。因为与信息化建设方面的投入类似，标准体系的投入所产出的效益也是非常隐性的，而执行者选择什么样的方式说服管理者，让管理者认为这些资源投入是值得的，就显得很困难。
　　
　　很多信息安全的产品的产生也是为了解决企业的信息安全困扰，在你看来，产品与标准，哪个会更重要一些？很难明确说哪一个会更重要。但是如果没有相应的信息安全管理体系，企业在选择信息安全产品的时候会表现得非常盲目。很可能他们今天觉得这个产品很好就放上来，过几天又发现这个东西会影响企业运作效率，于是又撤掉。在这种盲目的状态下，不管上什么产品，都很难达到效果，自然也就无法避免盲目投资。
　　
　　如果有健全的信息安全管理标准体系，确定了信息安全管理的方向，这种情况的发生就会大为减少。信息安全需要做到什么程度，在这个程度范围之内，为了降低某方面的风险而采用的某些设备对运营效率造成的影响也是可以接受的。所以企业必须知道要保护什么、牺牲什么，在这些明确方务运作和管理上有一样的平台，有共同的语言。
　　
　　特别是对于软件、外包等行业来看，他们处于供应链的下游，上游所做的任何一个管理变革，都有可能对他们造成影响。一旦上游对这些企业造成压力，他们往往是匆匆应对，匆忙中根本无法扎扎实实利用这些标准体系来提升管理水平。这是非常普遍的误区——有些企业虽然知道某些标准体系是大势所趋，但是仍然处于观望中，他们认为同类的企业还没做，或者客户还没有明确提出这方面的要求，就没有必要为此投入资源。

近年来有很多技术领先的企业，他们获得的成功好像是昙花一现，很重要的原因就是这些企业太注重技术上的领先，却忽视了稳定的后台管理的重要性，没有可以依赖的标准体系，没有稳定运作的机制，自然就无法获得长久的竞争力。
　　
　　我们看一家企业的成功，不能只看他们引入了哪些标准、用了哪些管理管理方式，而是要看他们实施了哪些不同的标准，怎么把这些不同的标准体系整合成自身的管理模式，进而保持在行业中的领先地位。
　　
　　所以，我觉得要强调这么两个方面：第一，企业不能等待观望，尽管看到市场趋势是这样，但是仍然等到外部压力大时才去做，这不是领先企业应该有的现象。第二，不管引入什么标准体系，都是为企业业务运作与管理服务的，企业要有能力将这些标准体系与自身的战略、流程相融合。
　　
　　标准之所以能成为标准，往往集中了很多先进企业的最佳实践。企业实施这些标准的过程，也是学习先进企业经验的过程，可以缩短获得经验的时间，避开信息化摸索过程中可能出现的误区。

　　CIOI:你不止一次提到了ISO27001，在实施ISO27001的时候，企业面临的困难主要在哪？
　　
　　最大的困难就是企业怎么去理解风险评估。我觉得这个标准写得最好的部分就是风险评估，并且，ISO新出的很多标准都是基于风险的标准。所谓基于风险，就是企业要明确知道面临的风险有哪些，通过风险管控手段把风险降低到可以接受的范围。
　　
　　但是对风险的理解，在同一个企业中不同层次的人看到的风险是不一样的，高层管理者和底层员工看风险就完全不一样，因为一个是从上往下看，一个是从下往上看。因此，要将风险变成企业的共同语言是比较困难的事情。每个人都有发现风险的天性，但是往往只看到自身周围的风险，要把这些离散的风险转变成企业共同认可的语言，并且确定将风险降低到什么程度是可以普遍接受的，这点一度让很多企业搞得焦头烂额。
　　
　　安全是可以无穷尽地做下去的，信息安全如果做得过度，牺牲的不仅是资金，还会导致资源的浪费和效率的降低。通常来看，安全级别做得越高，整体的运行效率就会越低。比如，在原本保密性要求不高的前提下，员工之间文件的共享在两个员工间就可以完成，效率也非常高。但是，如果出于安全上的考虑，要想拷贝文件，必须经过相应的审批，很可能为了这个批复员工需要等待两天甚至一周的时间。所以做安全的前提，就是要把握住可以接受的风险范围。如果连风险和业务连续性的平衡都没有把握好，针的指导下，才会很清楚地知道应该选择哪些产品、哪些技术。也只有在这种状况下，信息安全产品方面的投入才是合理的。
　　
　　我曾经对一家企业的ERP系统进行过审核，发现他们财务系统的关机所需时长竟然达到两个小时。在这两个小时内，如果财务人员离开了，谁都可以对这个系统进行操作。我就问他们，为什么要把关机所需时间设置得这么长？这家公司的IT主管显得很无奈：原来设置的时间是半个小时，但是财务人员提意见说倒账倒不开，于是就变成了现在的两个小时。
　　
　　这就是典型的信息安全管理标准体系缺失的症状，没有标准在起作用，也没有明确的信息安全管理方针和目标，所以起作用的就只能是人的意识。在这种状况下，部署再好的信息安全产品都是徒劳的，因为最终决定企业信息安全防护水平的，是“木桶上那块最短的木板”。
　　
　　但是，如果只有很好的信息安全管理标准体系，而没有好的产品做辅助支撑，面对大型企业庞大复杂的信息系统也是不行的。产品和标准是相辅相成的，谈不上哪个更重要，两者缺一不可。
　　
　　CIOI:如果完全按照标准实施，对那些追求差异化的企业来讲，会不会很难再继续保持差异化？
　　
　　不会的。标准体系只是一个框架，要求的都是一些共性的东西，比如要持续改进、要做风险评估、要明确哪些风险可以接受、哪些不可以接受等。对于不可以接受的风险，可以从133个控制措施中加以选择以降低这种风险，而且控制风险的手段可以是完全不同的，每一个控制措施对应的手段有很多种。这就像实施ERP，可能用的是同样的产品，但是各家的流程仍然会有所不同。做风险管控也是如此，哪怕是同样的风险，采取的也是同样的措施，最后出来的流程也不太可能完全一样。
　　
　　我觉得实施ISO27001，最好的实践就是把标准融入日常管理之中，形成自己的实践。在标准实施的时候，一定要负起责任，不是简单地请一家顾问公司帮助实施就可以了。第一要确保标准与企业战略相符合；第二要将标准融入至企业自身的流程中去，这些都是外部顾问不可能实现的。在这个过程中，外部顾问可以教你将标准与流程结合在一起的方法有哪些，但是在具体实际操作中，该如何真正将两者结合在一起，只有企业真正负起责任时，才可能将标准真正融入到企业中去。那些最佳实践、指南，都只是参考知识，要落实到具体的实践中，每家企业都会有不同的解释和想法。

CIOI:你提到要把标准变成企业运作的一部分，对此有哪些建议？
　　
　　首先，在标准实施过程中，企业的管理者要负起真正的责任，而不是为了应付认证，简单地把工作交给某一个人去执行，这种态度对标准实施是有害无益的。
　　
　　管理者应该能够参与到标准实施的过程中去，尤其是参与制定相应的方针政策、制定具体的目标，因为这都是管理者的责任，执行者的责任只是如何将这些目标变为现实。同时，管理者必须承诺一定的资源，并在组织架构、人员等方面为标准的顺利实施提供保障。
　　
　　其次，全员参与也是非常重要的，因为信息安全会牵涉到企业所有的部门和员工，不只是某个管理者的事情，也不只是IT部门的事情，所以一定要全员参与。这又分两个层面，一是大家都支持信息安全，二是大家不仅支持，同时都能掌握这方面的相关经验和知识。毫无疑问，第二个层面是比较理想的状态，这就要求在信息安全管理标准体系构建过程中，对员工进行持续的培训。
　　
　　另外，企业一定要建立相应的安全文化，只有使信息安全形成一种企业文化，渗透到企业的各项思维中去，才是真正成功的信息安全管理。如果没有安全文化，再好的标准和产品也只能支撑一时。做信息安全管理标准体系，就如搞一场运动会，大家虽然都支持，但是一旦标准实施完了，就会抛到脑后，回到实施前的状态。
　　
　　CIOI:与信息化投入一样，标准体系带来的效益也是隐性的，该如何衡量？
　　
　　我们做了这么多年标准体系，也接触了很多企业，让我深有感触的是，企业引入标准体系的时候，虽然能感受到相应管理流程上的明显变化，但是前一两年内几乎看不到明确的效益变化。如果不明确将标准体系的测量机制建立起来，甚至5年之后，也很难分辨出企业效益上的好转，是否与标准体系的引入有联系。很多时候，企业往往把效益的好转归结为市场环境的好转，却很少与标准体系的引入联系起来，要衡量这些标准体系的实施究竟带来了什么样的效益是很困难的。因为标准体系很难直接与企业效益挂钩。标准体系保证企业运作过程中有稳定的流程，但是这只是企业获得效益增长的一个因素，还有很多其他因素在左右着企业效益，比如市场状况、技术水平等。但是在这些因素中，标准体系是最难以看到和利润、效益直接挂钩的因素的，所以往往被忽略。
　　
　　我读过一篇美国的报告，他们研究了不同行业的企业10年内的数据，这些企业中有一部分做过ISO9000，另外一部分企业没有做过，并且这些企业在做ISO9000之前的规模和效益都差不多。研究者希望通过这样的研究，看看做了ISO9000的企业能否在利润、绩效等各项指标方面有某种优势，比如比没有实施ISO9000的企业表现得更好。结果自然是肯定的。做过ISO9000的企业在研究者设定的各项指标方面的表现，都要明显好于未实施的企业。