国际标准是国际通行的语言,但每个国家有自己的特殊需求和实现方案,审核时要充分考虑管理成熟度以满足企业持续改进并获得第三方见证的需求。畅享网小编在“2018第六届全球云计算大会·上海站”有幸采访到英国标准协会(British Standards Institution, 简称BSI)ICT 中心技术总监万鑫博士、亚太区首席标准专家中国区潘蓉女士,采访中他们就ICT领域标准制定及发展路径给出了自己的理解。
BSI ICT 中心技术总监万鑫博士(左一)正在接受畅享网记者采访(右一)
“放之四海而皆准”是国际标准制定真理
国际标准的制定是从众多实践中遇到的困境与经验提炼而来,它不是由单个个人或国家提出来,而是由一个组织牵头,该组织寻求业内知名企业、行业专家、独立研究机构共同联合探讨,因此,国际标准制定是全球化的工作。业内标准的制定既要考虑发达国家的状态、又要考虑普通发展国家的状态,它是一个循序渐进、不断迭代的过程。
“放之四海而皆准”是国际标准制定的真理,并不是越严格越适合做标准,一个严格的标准或许只适用于某些特殊企业,企业的标准或许会高于国家的标准,有可能是源于国际标准,同时国际标准也要考虑各方综合利益。
IT行业是非常典型的案例,美国IT水平是世界一流的,其他发达国家的IT水平紧随其后,近两年中国逐步呈现弯道超车现象,人工智能、大数据领域更为明显。IT服务的标准价值体现在风险控制和绩效提升两个层面。
技术与服务是云计算标准两大方向
当下,云计算百花齐放,市场规模成倍增速。云计算领域的标准化又将如何定义?万鑫认为云计算领域标准化从技术标准化和服务标准化两个方向分析。
技术标准化分为四个方向,第一是计算标准化,虚拟化技术包括虚拟化平台、虚拟化系统能不能实现标准化;第二是存储标准化:数据的格式包括数据的应用格式、数据的存储格式的标准化;第三是网络协议、网络传输模式标准化;第四是API接口标准化。
服务标准化相比技术标准化更为成熟。IT管理服务体系分为五个步骤,即IT服务的战略、IT服务的设计、IT服务的转换、IT服务的运营、IT服务的持续改进。云计算服务的标准化过程中有无服务产品包显得尤为重要,服务产品包可以分解为服务产品承诺、报告和服务目录。服务方式包含关于绩效提升、业务延续、容量、信息安全、财务等等,这是服务设计的关键点。服务运营过程非常成熟,运营过程中有配置管理,事件管理、问题管理、变更管理、发布管理,可以将各类模块做成一个标准化产品向客户展示。
在云计算领域,BSI为保证网络通讯的安全,基础设施的安全,事件处理和业务连续性,以ISO27000-关系信息安全标准为主的ISO27017-云计算安全国际标准、ISO27018-公有云环境下个人信息保护国际标准是控制合规与风险最典型的两个标准。
BSI完善严谨的审核认证流程,为企业保驾护航
万鑫博士在采访中介绍,BSI是一家国际国家标准机构、独立管理体系认证机构、国际标准化组织(ISO)的创始成员,现有的大量国际标准都是由BSI的BS标准转化而来。BSI主要围绕标准开发和推广、认证和审核、专业服务三大业务体系,其中标准开发由总部指导,中国市场涉猎较少,认证审核和专业服务在国内发展迅速,业务量在国内业务占比1:1,目前涉及ICT领域有7个产品服务方向,分别为:综合信息安全与风险管理,云服务与云安全,数据安全与隐私保护,业务连续性与IT生存力,IT服务与绩效,IT治理与规划,IT合规与审计。
以标准为基础的管理体系建立过程是由企业的需求和管理成熟度决定的,短则3个月,长则1年,甚至更长,普遍周期为6至8个自然月。而认证审核的的时间则会短很多,认证审核是由审核员完成审核的人天决定的,人天数量取决于申请认证的组织的人数、场地数、业务复杂度、IT复杂度、风险等要素。体系建立的方法论和流程相对成熟,从前期开始做业务调研,了解企业成熟度及需求;然后对该企业现状进行评估和差距分析,将搜集到的企业管理现状、技术现状、组织机构现状、业务现状和标准和需求进行比较打分;紧接着进行风险评估,对安全隐患进行预判;风险评估后根据差异分析和风险评估的结果和认证状态进行改善,这叫做风险处置;再然后在新架构内进行试运行,检测是否合理和再改进;试运行结束后开始为后期认证审核做准备;最后进行认证决定,审核功过后即可颁发证书。
