在咨询中,最难以理解的,并且毁誉参半的,恐怕只有「体系」了。信奉者,将其奉若神明;诋毁者,认为其百无一用。而且两种不同的意见,很多时候还要争论一番,结果无非是两种情况,一种是「小马过河」的故事结果,另一种则是「黄瓜到底是长还是绿」的诡异辩论。
我们暂且不论两种意见的对错,今天就花点时间掰扯掰扯,到底什么是所谓的「体系」,这么虚无缥缈的概念,是否可以具体一些。日常中我们所谓的「体系」,通俗理解起来就是比较系统化、全面化,而与之相对应的则是比较片面、零散。那么,「体系」到底有哪些特点?或者怎样才能称为「体系」呢?
整体性就是要想清楚,为什么要做这件事情,想清楚了目标也就出来了。好比大学计算机系课程体系,它的目标就是通过一些列课程的学习,用四年的时间能够培养出一名计算机专业的本科生。
实现目标需要把目标按照一定的逻辑切开,形成支撑目标实现的一个一个的模块,并且模块和模块之间是有先后顺序的,也是具有一定的相互作用的。比如计算机课程体系,需要先学基础课、专业基础课、专业课、实践课等等,顺序不能反,而且前后互相作用,前面学不好会影响后面的课程。
最后一个特点,也是最重要的一个特点,想要成为体系必须能够动态调整、自我改进。比如以前计算机课程里面,可能不会有云计算、大数据、虚拟现实技术等等,随着技术的发展和学习的需要,这些前沿的课程慢慢的会纳入到计算机课程体系中来。
在信息安全领域,最著名的体系就是信息安全管理体系(ISMS)了,其整体的目标是确保组织的信息安全(C、I、A)是可控的;具体手段是通过14个模块或者控制域,113个小的控制措施去实现整体目标;体系持续改进是通过PDCA过程改进模型来实现。具体参见下图左半部分:
这么说可能还是有些抽象,可以拿上图有右半部分来举个例子。
木桶里的水就是需要保护的信息资产,保护的目标就是木桶里的水越多越好,或者水漏出去的越少越好。
木桶的板子就是具体的控制域、控制措施,想要实现保护目标就需要木板越高越好,或者木板之间的缝隙越小越好(或者没有缝隙)。
如何实现这个过程?那就需要这个小兔子不停的寻找有问题的板子,那块板子有问题就不断完善哪块板子,周而复始的循环这个动作,这样目标就一步一步的实现了。
这么一说,你的脑海子应该有一副会动的图画,对「体系」也应该有了一个最基本的理解了。
回头文章前头所说的两种意见,我个人当然认为「体系」是具有其作用的,只不过实现的方式各不相同罢了,有的是参照最佳实践标准,有的是通过实践自成一体,但最终还都是形成符合各自需求的体系。
但我想强调的两点是:
任何体系都不是一蹴而就的,需要不断的努力与积累,需要经历“僵化-优化-固化”的三个大的阶段,才能逐渐发挥出效果,得到一个良性循环,最终能够有一个好的投入产出比。任何想要刚一投入,就要立竿见影的效果,都是浮躁的表现。
能够根据自己的实践,自成一体的「体系」建设实践,从概率上来讲基本上等于零。在没有一个好的思路的情况下,最佳实践标准是比较好的参考。在完全掌握、理解、实践了标准以后,再根据实践经验来改进「体系」,才是一种比较务实的做法。
最后,对于那些盲目排斥标准,看不起标准化的人,我愿意将下面的故事送给他。
伊藤博文漫游中国,辜鸿铭送给他一本自己翻译的「论语」英文本,伊藤调侃孔子教人方法已经过时,辜对答「孔子教人的方法,就好比数学家的加减乘除,在数千年前,其法是三三得九,如今二十世纪,其法仍然是三三得九,并不会三三得八。」伊藤无词应答。
标准本身只是方法,运用不好没有效果,那是你笨!
原文地址:https://www.cnblogs.com/weyanxy/p/12906244.html