oaktomber的个人博客

看到最新的一篇博客也是8月初的，已经有3个月没有来了，再不来真的就荒废了。

这三个月除了出差几次外，几乎所有的经历都花在医院上了，出差的工作也没什么可记录的，就把去医院的经历写一下吧。

1. 9月13日下午发现左面部不自然，18点左右整个左面部不会动，晚上武汉同济医院急症确认为面瘫（学名面部神经炎）。
2. 9月14日起每日点滴治疗，药物包括维生素B1、B12、加兰他敏，共计10天。9月14日起口服激素强的松，前五天每次2片，后五天每次一片，药量递降（此药不可多服）。9月14日起口服地巴挫，大概持续1月。
3. 9月20日左右开始耳后疼痛，太阳穴疼痛，开始针灸+超短波治疗。
4. 9月23日完全没有好转的迹象，开始口服维生素B1、B12，继续肌肉注射加兰他敏，并且在9月23日与9月31日注射两针面部封闭。
5. 9月30日可轻微抬眉、面部稍微会动。
6. 10月8日回北京在西苑中医院开始治疗，继续针灸，服用中草药、加味牵正片、天麻杜仲、扎冲十三味。
7. 11月初至今继续针灸，口服维生素、加味牵正片，症状基本消除，生活没有障碍，局部还部分未恢复。

通过两个月的来回折腾，体会到“有啥别有病”这句俗语，病来如山倒，病去如抽丝，还得慢慢的进行恢复，估计还得持续一个月。

作者：李鹏飞

前面讲到了管理体系的内在特质之一，那就是标准的工序流程化，那么，仅仅进行标准的工序流程化就足够了吗？如果不足够的话，我们还需要什么？

当然不足够，这一点很明确，因为标准的工序流程化并不是我们的根本目的，而是我们为了达到目的的一种手段，是达到目的的基础。我们的目的是什么？是改进。我们来看看各管理体系是如何改进的。

ISO族的标准通常都提倡PDCA，本身通过PDCA的循环来进行的不断提高与改进；而CMMI是通过成熟度的概念来进行改进；制约法同样强调改进，通过消除制约因素来提高效率，但消除一个制约因素通常会产生其它的制约因素，所以就需要不断的改进。

所有的体系都强调改进，只是改进的方式方法不同而已，虽然有些体系并没有强调了“改进”这个词。我们可以说管理体系的第二个内在特质，那就是改进，也就是精益求精。

作者：李鹏飞

现在越来越多的企业依据各种标准、模型来建立管理体系，如ISO标准、CMMI、ITIL等，还有一些企业进行ERP整合、产业链整合等，那么，如此众多的管理体系到底有没有本质的特征呢？如果有是什么呢？

在说明这个问题之前呢，先简单的说明一个例子，有理工科背景的人都很容易理解，数学、物理、化学到最后几乎是没有明显的界限了，也就是说他们有共同的内在特质。那么，管理体系也应该一样，它们也具有共同的内在特质，是什么呢？那就是标准的工序流程化。

ISO族的标准都是要求先对所有的工作进行标准化定义，这就是工序流程化的典型思想，例如质量管理一定是对所有的操作步骤进行标准定义，然后严格执行，如ISMS管理体系可以将各个控制点嵌入到各个标准的工作流程。其它的如CMMI、ITIL的思想都是一样，都是进行标准的工序流程化定义。

我们再来说一下产业链整合和制约法的思想，乍一看和标准的工序流程化没什么关系，但是如果仔细的想想，它们的本质同样是标准的工序流程化。如产业链整合，是将企业的所有产业链从上游到下游进行有效的整合，提高企业的运转效率，那么整合的前提是什么呢？就是标准的工序流程化。同样的道理，制约法的思想也是一样，为了找到生产环节个制约因素，那么同样要进行标准的工序流程化。

理解了各管理体系的内在特质，就不会为了做体系而做体系，同样，深刻理解管理体系的内在特质，各个管理体系的整合也就顺理成章，因为，我们有了清晰的指导原则，那就是标准的工序流程化。

在10天内完成23门课程，等于把本科的东西又复习了一边，累！

讲师都比较有经验，讲课的效果也比较好，测评中心的教材质量比较一般，虽然比较累，还是能够学到很多东西。

要问人生短短的几十年，能有多少意义重大的事儿？不管多与少，高考肯定算一个！要问高考中什么最让人品头论足？我想，那肯定是高考作文。虽然高考作文地位如此之重要，也不是能够随随便便能够得高分的，但是，要是想得零分作文可是非常容易的，只需要鼓起勇气。

对于高考零分作文这道独特风景线，有人认为这些作文不应该被判极刑，还有人认为这些零分作文应该得满分，头脑理性的人则会反问一句：“你真的相信这些是真的？”，但华歌说的好：不是这个问题。关键是为什么会出现"这个"。

作者：李鹏飞

时至今日，“信息”作为一种商业资产，其所拥有的价值对于一个企业而言毋庸置疑，重要性也与日俱增。越来越多的企业通过实施信息安全管理体系，来保证信息的保密性、完整性和可用性，保护信息免受来自各方的威胁，从而确保一个企业或机构可持续的发展。

通常企业都会通过聘请外部顾问以项目的形式，来进行自身信息安全管理体系的建设，咨询顾问与企业内体系推进人员共同进行体系的策划、风险评估、体系文件编写、风险管控措施规划，当体系建立完成后，最终由企业内部推行人员自行维护，推动体系的正常运转。通过这种方式来进行体系的建设，能够最大程度发挥咨询顾问的经验，使企业不会在体系的建设过程中迷失方向，但是，在项目结束咨询顾问撤场后，企业内部体系推行人员却显得无所适从，或者在体系的推行过程中显得并不是非常的得心应手，问题在哪里呢?主要是以下几个方面：

首先，在风险处置过程中所输出的众多信息安全管控措施难以统一规划，并且缺少各项控制措施与信息安全风险的一一对应。

众所周知，在风险评估的过程中将会全面、系统地对企业的各项信息资产进行详细的风险分析，系统的分析出企业所面临的各项风险，并对各项风险采取合理、有效的管控措施。在风险评估的过程中，企业所面临的信息安全风险的类别，以及每一类信息风险中实际风险的个数无疑是非常大的，并且不同类别的信息安全风险所采取管控措施的优先级也有很大的差别，如何对数量庞大的风险及管控措施进行合理的规划，对于企业来说无疑是一个很大的难题，尤其对于组织规模比较庞大的企业更是如此，因此如何对风险评估后的管控措施进行统一、合理的规划至关重要。

其次，信息安全管理体系中的各级文件、模板及记录很难有条理地进行管理。

信息安全管理体系拥有为数众多的文档化的方针、策略、规范、制度，并在体系运行的过程中将产生大量的记录，如何对这些文件进行分门别类的管理，并且很好的对其中的逻辑性与一致性进行控制，这对于体系维护人员来讲是一个不大不小的难题。

最后，体系实施及运作过程中关键的活动(如体系测量、组织内审、管理评审等)的策略、实施、记录很难系统化、程序化。

信息安全管理体系在进行PDCA循环运行中，控制措施测量、内审及管理评审是体系进行持续改进的发动机，但是，由于这些活动关系到企业的各个部门，组织、策划、协调起来非常的困难，因此，如何将这些活动的组织策划自动化、实施程序系统化，并且实施过程记录完整化是体系推行人员一个非常大的挑战。

如何对上面提到的这些问题进行有效的规避，即要发挥传统咨询模式的优点，又能够避免传统咨询模式的不足，使企业的信息安全管理体系实施更加有效呢?谷安天下经过多年的沉淀积累，总结了相关领域咨询经验，形成完善的信息安全体系建设方法论，通过结合IT风险控制体系建设流程及知识库，GooISMS能满足各级组织的IT风险控制体系建设需求。

GooISMS-信息安全体系建设系统包括安全体系规划、安全体系设计、安全体系实施、安全体系保障四个主要模块。这四个主要模块的功能说明如下：

　　1) 安全体系规划：分析识别出的信息安全改进措施，将需要增加或改进的措施分解成一项项任务或项目，明确每个任务或项目的目标、工作内容，分析任务或项目的实施优先级，根据实施优先级规划这些任务或项目的实施时间、实施范围及参与人员。

　　2) 安全体系设计：建立体系相关部门、人员、职责及联系信息，体统管理各类方针、策略、程序及作业指导书的模板及具体文件的归档、版本控制。

　　3) 安全体系实施：将各个任务实施的情况记录到系统中，对各项任务的实施的状态执行有效跟踪，并且评价各个任务实施的有效性。

　　4) 安全体系保障：对体系内部审核、外部审核及管理评审等活动进行组织、策划、协调，并对内审、外审、管理评审的过程进行记录，对各不符合项及预防措施进行记录及状态跟踪。

GooISMS-信息安全体系建设系统充分与信息安全管理体系咨询方法论进行结合，对体系建设过程提供完整的安全规划方法论，有效提高安全规划的合理性，提供内部审核、管理评审、外部审核等管理活动支持，保障体系的有效实施。

好的文章并不需要长长的篇幅，不需要旁征博引，而需要看是否是自己的切身体会，是否能够深入精髓。

作者：王二乐

做了这么多年管理体系相关的工作，收获最大的则是PDCA的持续改进方法和理念。多年的观察发现，成功的客户并不是一开始就准备建立一套完美的管理体系，而是着重于建立一套持续改进的机制并让人们逐渐认可并接受PDCA的方法和理念。

PDCA的每个字母代表着一个动作，P（Plan）代表策划。策划本身代表着动态过程，即与企业或产品的生命周期有关，也就是从无到有，从有到优的过程。策划首先以目标和结果实现为导向，通过有效的资源使用实现最终结果的可预测性和目标的精准性。这也是现代西方科学管理突破我们的传统经验管理最大瓶颈的贡献，即实现了工作的可预测、可复制的规模化要求。成功的策划主要通过分块管理，使复杂的事情通过模块化后简单化，分类管理，通过专业化分工使人力资源能发挥自己的优势且易于培养，分级管理，使工作能够按照重要性和优先度进行分级授权管理，平衡工作的效率和风险控制难题。

正如《论语》所述，“季文子三思而后行。子闻之，曰：再斯可矣”。再好的策划也必须落实到实际行动和实践中，否则就成了纸上谈兵。PDCA的D（Do）代表实施。实施最关注的就是执行的效率和效果，而这与策划的可实施性以及监控考核的程度有很大关系。PDCA的C（ Check）代表检查。管理的结果告诉我们，人们通常只做他们被检查和考核而不是所期望的，也就是说监控和检查是管理很重要的手段和方法，检查可以驱动人们的执行力。

PDCA的A（Act）代表改进。对于循序渐进的改进我们往往并不关注和重视，工作中容易强调一些自己控制不了或影响不了的客观原因，而对自己可以改变的部分总认为不值得做。这是国人和西方人最不同的地方。前段时间遇到一个老海龟博士，他第一天上班，***总理问他美国人和中国人最大的不同是什么？他当时的回答是：美国人主要看地方和社区新闻，而中国人看全国的新闻联播。美国人只关心身边的事情，而中国人多关心国家大事。这种文化和习惯体现在工作中就是国人对一些身边力所能及的调优和改进工作不太有兴趣，而这正是PDCA的精华所在。

青岛最有名的山是崂山，据导游说是唯一的临海的山，即海上名山第一吧，呵呵，个人感觉有点夸张了。崂山的出名很大程度上是因为蒲松龄笔下的那个会穿墙术的崂山道士，在青岛旅游，本地人经常问去没去崂山，可见崂山在青岛本地还是非常重要。

从崂山的台阶上可以远看大海，一望无际，在不远处有很多渔民用来养鱼的装置，崂山停车场上全是旅游来的车，人也相当的多。

山脚下很多摆摊的本地人，买一些崂山的特产，比较稀奇的算这种叫莲花果的水果了，据导游说并不好吃，是观赏用的。

爬到半山腰，有一个小小的水库，水从上向下流到这里，有点瀑布的感觉。整个崂山似乎都是比较大块的时候，没感觉到有土，估计所有的土及松动的岩石已经被水冲刷干净了。

爬山的小路，在小路的边上很多商家在买东西，偶尔还有一些小的亭子，感觉上山并没有什么特别的，主要是在爬山的过程中来感觉一下山水响应的环境，在山上来愿望一下大海。

由于时间的关系，我们只爬到了半山腰，并没有向上爬，这里也是有一个普通，在石桥上有很多同心锁。

由于飞机晚点，周六凌晨1点多才到达预定的别墅酒店，酒店所处的环境很不错，房间大概有45平米左右，而且推开窗子就可以看到大海。

酒店在青岛的崂山区，从酒店穿过一条马路就是海边，早上的时候海边已经有不少人在活动，有人在捡贝壳、有人在晨跑，也有像我这样来这里旅游的人在四处观望。

这里的海似乎是绿色的，不知道是不是在浅海区的原因，风倒是挺大的，大概有5、6级的样子，海边有很多大石头块，在大概几米的范围内，到处都是拍碎了的贝壳。