今天看了大風写的关于现在甲方互联网公司的安全团队的现状，详细请见：http://hi.baidu.com/aullik5/blog/item/a2fbb110c6950e75ca80c4f8.html，然后又看了 Ben 等人总结的一些：http://bbs.cisps.org/viewtopic.php?t=22406&postdays=0&postorder=asc&start=0

感想比较多，晚上和职业欠钱又聊了下，不禁引发思考，乙方安全服务的路在何方？是否还有存在的必要？仔细思考一番，发现乙方安全服务自有它存在的道理，具体的原因如下几点：

1、首先要明确一点，民营企业的安全做的比国企等事业单位要好。道理很简单，民营企业是由个人来创办的，每一笔钱花出去，老板都希望花在实处，而不是像国企那样，很多都是浮于表面。

对于企业来说，到底是产品决定服务，还是服务决定产品？目前国内的安全市场比较混乱，随着安全行业逐渐被企业所重视，这很大一部分的功劳归功于黑客们，是他们让企业提高了安全意识，谁说 Hacker 都是反面的呢？对于安全厂商来说，没有黑客的攻击事件，安全厂商怎么去推他们的产品和服务呢？

从目前国内的安全市场来看，大大小小的安全公司不计其数，但大的厂家就那么几家，例如启明星辰、绿盟、安氏、天融信等等，而很多安全厂商又有多少是真正从用户的角度来考虑问题呢？目前各大安全厂商的做法都大致相同，都是由服务来推动产品。熟悉安全行业的朋友都知道，服务赚不了什么钱，而像启明这样规模的公司如果单纯靠服务来养活是完全不可能的，所以很多公司都由一个安全服务提供商转变为一个安全厂商。在安全行业刚起步时，很多公司还能遵循一定的职业守则，真正为用户所考虑，而随着竞争越来越激烈，很多公司已经渐渐转变了最初的思想。安全服务变得越来越廉价，服务只是用来推动产品的销售而已。

公司让写的关于安全服务部门下半年的下半年规划，写了一下午，头都大了。第一次写这样的东西，都不知道怎么写。贴上来，大家指正下。
PS：以下完全代表个人想法，错误之处在所难免，各位看官，看看就好，欢迎大家交流。

1、概述

XXXX 的安全服务部门主要包括项目的售前、售中和售后，即负责项目周期中的全部流程。为了能够将服务部门的工作开展的更为顺利，为公司带来更多的利益，有必要为安全服务部门制定下半年的规划，主要包括前期对人员的规划以及后期为公司带来的效益等。

最近一直在跟某证券公司的项目，虽然有点累，但也学到了很多东西··现在越来越认识到技术很多时候不是万能的，技术只是和用户交流的一种必备的技能。最近的项目使我认识到如下几点：

1、作为一个好的项目经理，不是你能做多少事情，而是你能带动大家做多少事情。应该能带动项目成员的主观能动性，使得大家团结一致，共同将项目顺利的完成。而不是自己盲目的去将所有的事情都做完，这样才算一个好的项目经理。一个项目成功的标志不是项目经理的技术能力有多高，而是和用户的沟通和协调能力有多强，还有就是如何将任务成功的进行分解，按照项目成员个人的能力不同，分配相应的任务。

作者：孙强

冷漠PS：这次的项目基于 ISO 27001 ，中间还融合了 ITIL 的东西....恶补下.....

ITIL产生的历史背景：IT运营管理方法论的缺失
    自上个世纪60年代开始，IT如何高效地为人类和社会带来效率便吸引着人们的眼球。“软件危机”、“人月神话”、“软件工程”等词语便成了企业界和IT人关注的焦点。在众多专家、学者、企业人士的不断探索中，IT人创造了“OOA＆OOD”、“CMM”、“IT项目监理”等我们耳熟能详的方法论。然而，在众多的方法论中，一个普遍的缺失是没有一个IT 运营管理阶段（有时又称为支持和维护阶段）的详细指南，如下图1所示。