看等级保护落实中的七个习惯

　　我不知道大家有多少人看过《7个习惯》这本书，这本书有很多年了，作为科维写这本书的时候，我最近看他的一本书是《心理学改变生活》，科维七个习惯大家看过这个书非常熟悉，第一个谈到积极主动，以终为始，要事第一，双赢思维，知彼解己，统合综效，不断更新。你真正按照这7个习惯去思考会有新的感受，这7个习惯分成人成熟的过程，从依赖别人，就是你依赖别人，到你能够独立自主去成为一个自我，再往后形成一个互赖关系，你可以跟别人去合作，有三个习惯从依赖性走向独立，第四到第六个习惯谈你怎么从一个独立走到跟人合作，最后他通过不断跟人改进去谈，这七个习惯对人们来说应该是很好的厉志的方法，或者改变你的思考。今天我想把这样一个思路放到谈安全，谈等级保护。所以我想谈谈等级保护。

　　等级保护其实有很多很多年，从90年代中期开始有等级保护这样一个话题，实际上等级保护的源头是来自于美国1985年这个经济数，也都是分成7级，等级保护里面我们变成了5，在整个等级保护里面，经过99年，99年在国内强制性的推行等级保护，非常可气的是在国17859并没有真正的落实，在这样一个商业的环境下有些这些东西是非常难得实现，实际上等级保护在这个程度开始陷入到第一个困境，他提出要求以后很多事情我们无法去实施，这是等级保护遇到的一些困难，后来陷入另外一个困境，等级保护分成五级，不同的侵害程度对你有安全保障的要求，不同的等级规定了相应的要求，甚至是指南，有很多相应的国家标准和这个行业标准区指导你怎么去做等级保护，我现在说它陷入到第二个困境，其实就是什么呢?就是它给大家提的要求太细，我不知道大家有没有对其他相应合规性的要求有所了解，应该说整个2005年到2006年受整个赛斑斯法案影响，在整个过程中赛斑斯法案的推进，它整个推进过程中有什么特点，其实它就是三个条款推动整个合同，这三个条款，说白了三个很简单的条款，第一个条款说明你CEO和CFO要对财务报表负责，这三个条款整个推动相应的东西，包括审计公司拿出拷贝的，等等一些指南去帮助你，形成多方机制推动赛斑斯法案在行业中的推进，赛斑斯法案整体还是不错的。

　　作为等级保护现在遇到一个困境，一个方面是很多人不理解这一件事情，觉得这一件事情跟我没关系，我不愿意参与，你给我加一个条款，我为什么要去等级保护呢，另外它给出非常详细的，当然我也属于专家之一，专家推出众多的厚本的指南，指引，等等这些东西，这些东西让我们真正的用户，真正面对等级保护工作的人群可能会遇到一些无所适从，大家要推动合规性的东西，一定要注意合规性的东西要简洁明了。

　　等级保护大家知道了，是以等级为原则的，安全性的，国家强制性的要求，从这一方面来说做是非做不可，从整个等级保护现在这个阶段，如果在坐的大家有大型机构，大型国家部委的机关，比如电信，银行，等等这些大机构的同事，如果你从事信息安全和信息方面的工作你肯定会知道，在今年十月底之前你们必须完成定级工作，这个是等级保护的要求，针对这样一个要求和压力我们怎么去面对这一件事情，不管你现在对它是什么样的观点，什么样的态度，喜欢它也好，不喜欢它也好。我们面对任何合规性要求一般都是这样，像我们以前考试的时候很难有人很高兴的面对考试，既然我们面对它怎么面对它，等级保护，十余年的规范怎么保持活力，是一个规定就是刚性，还会谈到在一个错综复杂的格局中怎么让各方从中受益。

　　谈谈七个习惯，我希望通过今天的沟通，大家更适合的一种思路和方式去看这个，等级保护的这个角色。其实参与到各种的业务，各种的规定当中都会有很多的角色在里头，有客户要求一定要做等级保护，客户我可能在信息安全部门工作，启明星辰既是内容提供商也是运营提供商，希望通过等级保护获得收益。还有第三方，就是主管机关，比如保密局，国家信息办等部门，就要求你怎么样怎么样，我们做任何事情要从角度去看。我们把几个习惯过一下。因为正好小标挡了这几个字。

　　米卢的一句话，态度决定一切，如果你一再把你放在关注圈就不太好，你不要把精力放在你不能影响的东西，你不能影响的东西你关注它没有意义，等级保护作为一项国家政策，你探讨等级保护这个问题应不应该搞，这个东西不是你能够左右的，这个时候你要以积极的态度，既然它已经势在必行，那我就以积极的态度去做它。这个态度去扭转，不光你个人的态度去扭转，其实借助这样的力量使你整个机构能够以积极的态度去面对它。就像我们现在面临互联网的世界一样，如果你不积极适应这个世界的话，就是当推土机过来的时候，你不要试图变成一堵墙挡住它，你要挖一个坑。

　　我们明确一个态度，这是第一个，从态度上面我们先积极化以后，这个习惯的名字就是以终为始，就是你随时要开始新的事情，在我理解是行动，我理解这个事情非常值得做的时候我就去做，你不能光去想，你一定把你的方式方法落实到行动上。其实我们每一个机构如果也能够具有思想天赋的话应该是一个战无不胜的机构，我知道这个机构是独立于别的机构，存在于自我，首先你要意识到一个自我，其次你要有判断是否的能力，如果再谈到人的话叫良知，在一个机构我改成叫判断力，你知道什么是好的，什么是坏，什么是正面的，什么是负面的，什么是应该做的，什么是不应该做的，这个时候你还有一定的智慧你知道该怎么做，你有智慧去享受。最后看你有没有勇气去享受，行动不需要智慧，行动需要一个勇气，当然你面对，比如等级保护，或者其他一些事情，其实你已经知道这一件是非做不可，这个时候你把一个非做不可的事情，确定在这里面我应该获得什么，然后我判断，我配合这件事情，然后你具体的方法，我想作为一个机构来说这个方法非常重要，我这个机构到底具不具备这四项天赋，或者哪一项天赋更强一些。这是谈的习惯。

　　科维谈的第三个习惯，就是钥匙第一，作为最重要的事情一定是最简单的事情，所以最近启明星辰经常谈一个口号，就是安全从简单开始，你如果觉得这一件事情变得简单了你应该做对的可能性比较大，你应该抓住一些关键性的东西，你发现这个事情很复杂，你一定抓住复杂事情里面简单的事情去做，你可能比较关注等级保护，我发现问题改造，你作为厂商来说，你知道怎么改造，最重要的第一个是定级，我到底把自己定位到什么样要求的强度，你定在一级，二级，三级，我知道前面有几个我们国家非常重要的金融机构，影响到我们上万亿资金的企业既然把自己定成为一级，一级就是不需要任何机关，像千亿资金，万亿资金的机构，实际上这里面他没有真正把这个要点把握，其实他这个要点没有把握住他其实自己反而非常的麻烦，因为他定级错误，定级你把自己合适的定位在一个地方，这是一个非常重要的事情，而且能够让你平衡你自己。除了定级之外，我对合规性的要求，后边的话你要看看你离这个标准有多远，这是另外一个非常重要的事情，当你发现有多少的时候，你后边怎么做就变得非常的简单。当我知道我这个差距，这个差距具体的，很清晰的存在的话，你去满足条件。这就是谈到我对等级保护里面的钥匙，所以我这个里面放了一个钥匙，所以钥匙第一。关键点在哪里。

　　这些都是谈个人，这个时候再往下一步，你一定要想办法去理解别人，这里边谈到两个习惯，双赢的思维，实际上这里面是多赢的思维，在整个等级保护里面有多方参与，我们尤其关注这三个方面，另外两个方面你一定要看，主管机关你怎么看，如果你是一个用户，等级保护的实施者，你要去看主管机构怎么去看，我这里面写到了，从我的理解来说，这三个它在里面所处的想法，比如用户我关心符合性，我关心我能不能达标，我非常理解拥有万亿资金的企业怕自己达不到，作为他这样一个想法他没有理解，另外两方一些想法，他没有理解主管机构，当你把这样重要的部门定为一级，主管机构进行监管和管理的时候没有达到他的业务指标，比如说玩笑的说一下，如果用户把自己安全级别定的非常低，作为提供商我们的商机就非常少了，作为安全厂商可以希望大家把安全级提的高高的，你光从提供商我希望大家都定的高高的，这个时候你从主管机关和用户角度看又不一样，作为主管机关你其实并不希望大家都比级别定高，使得监管的工作非常复杂，在这个过程中可以看到，即使就定级这个事情来看，其实就是大家理解别人，理解别人的事情，最重要这三个方面价值的诉求来说，都会有一个实际效果，用户最终还是会关心你实际的效果，我即使达到等级保护一级二级三级，告诉我你达标了，你真的出了严重事故，领导同样被摘掉乌纱帽，谁主管谁负责，所以说实际效果还是用户要真正解决的问题。主管机关和提供商也同样关注实际效果，这里面一定要在这里面围绕等级保护的思想达到双赢的思维。这相应进入一个更加合作的状态。

　　第六个习惯，叫做综合统效，意味着当你面对这样一个复杂的事情，你想单一诉求一个方向获得价值不太容易，在内部你要需求一种结构，比如说在技术上比较推崇用安全域的这种方法。管理上，BST99，2701，2701有一百多种控制点给你提出来，在管理上其实最关键这两点，一个是责任，一个是教育，这两个关键点抓住了整个网在你的控制之下。外部统效就是协作和合作。

　　作为等保护其实十多年了，其实还非常的不成熟，在这个过程中我们作为各方面应该去包容各种想法，等级保护能不能跟我们的企业成长。

　　刚才简单谈了一下七个习惯看等级保护，七个习惯看等级保护其实也就是说你做一件比较有意思的事情都考虑这七个习惯对你的帮助和影响。

　　科维《七个习惯》之后写了《第八个习惯》，《第八个习惯》主要谈要找到你的新生，就是关于等级保护的新生是什么呢?我觉得可以让我们继续探索。