谷安天下总经理李华接受CIO发展中心专访
谷安天下:打造IT风险管理第一品牌
CIO发展中心 马晓倩
北京谷安天下科技有限公司(以下简称“谷安天下”),于2007年3月成立之时只有5名成员。却在短短不到一年半的时间内,汇聚了行业内几十位资深顾问,人员增长6倍以上,瞄准IT风险管理领域第一把交椅的专业机构。
幕后英雄站在台前
咨询项目,有时类似于建筑项目,往往有总包,分包。就是由一家公司将项目承包下来,再把整个项目,或者项目中的某个部分分包给其他公司。谷安天下就是这样由分包成长起来的,在公司成立初期,他们的业务都是与其他国际知名咨询公司合作承揽项目。
谷安天下承接的第一个项目,就是为作为中国大陆两大证券交易所之一的S证交所建立ISMS。2008年3月28日,谷安天负责实施的S证交所ISMS项目通过了BSI和中国信息安全认证中心的ISO 27001:2005现场认证审核,获得了国内证券行业首张信息安全管理体系认证证书。该项目还被国务院信息化办公室评为“优秀”项目,同时荣获了计算机世界和电子学会颁发的 “年度新技术应用奖”。S证交所谷安天下项目组还多次参加行业内的信息安全建设交流会,并起草了证券行业的风险评估的行业标准草案,为证券行业建立ISMS、等级保护体系进行了前瞻性的探索。
由于项目工作出色,S证交所系统运行部信息安全管理工作小组先后三次致信,对项目组的工作给予了高度赞赏及肯定。他们在感谢信中说道:“他们以扎实的技术实力、精益求精的工作态度、日以继夜的敬业精神和以客户为本的工作态度得到了S证交所领导和ISMS项目组的一致称赞。”
S证交所项目使谷安天下在业界一炮打响,项目接连不断。在接下来的时间里,谷安天下积累了银行、保险、证券、能源、电信等多个行业内知名企业的实施经验。他们凭借自身的实力与能力,受到了业内的广泛认可。
随着项目越做越多,有越来越多的企业知道了谷安天下,只做外包已经不能满足公司未来发展的需要,他们开始从幕后走向台前。
今年5月,中国广东核电集团(以下简称“中广核集团”) 信息安全管理体系咨询项目开始招标。中广核集团是我国唯一以核电为主业、由国务院国有资产监督管理委员会监管的中央企业,是由其核心企业――中国广东核电集团有限公司和20多家主要成员公司组成的国家特大型企业集团。
项目要求在中广核集团总部建立信息安全及保密保障体系、信息安全及保密管理体系,全面、准确地了解中广核集团的信息安全及保密现状,分析存在的信息安全及保密风险,通过结合行业、国内和国际的最佳实践经验,规划中广核集团信息安全建设发展的蓝图,建设中广核集团信息安全及保密保障体积及管理体系,并按照ISO27001的要求编写有关安全策略和体系文件,推动中广核集团ISMS体系的建设。
中广核集团的ISMS项目,不仅要求高,而且非常复杂。中广核集团在建立ISMS及保密体系时,还要考虑与下属机构与外部机构的接口,包括各级下属公司、上级监管理部门、业务合作伙伴、企业大客户以及境外合作伙伴等。
该项目自招标之日起,立即吸引了国内外众多知名公司竞标,其中包括成立时间超过九十年,全球最大的信息技术和业务解决方案公司。经过两个月详细而周密的调查研究,中广核集团最终选择了谷安天下作为该项目实施方。谷安天下凭借扎实的技术能力,在项目中没有使用通常人们想象的价格战,而是以高于竞争对手的报价胜出。
中广核集团的ISMS项目成为谷安天下以自己的品牌承接的第一个项目。通过这次项目的博弈,更加坚定了谷安天下的信心。
IT+管理+控制
谷安天下从成立之日起,就没有将自己限定在信息安全的范围内。“虽然我们的大部分顾问以前都是做信息安全的,但是我们公司把信息安全的理念做了提升,从风险的角度来理解信息安全。”谷安天下总经理李华这样说。
狭义的信息安全,只是为了企业信息的保护。但是谷安天下认为,从现代企业管理的角度来说,信息化带来的风险不止是信息安全风险,还包括IT治理风险、IT规划与架构风险、IT项目管理风险、IT基础设施风险、业务持续性风险、IT应用系统风险、IT服务交付风险、IT绩效风险、合规性风险等,共十个大类。
他们根据多年的最佳实践经验,把IT风险控制分为三个层次:一是高层控制、二是一般控制、三是应用控制。并根据COSO风险控制原理,对IT控制的内容进行合理扩充并增加控制的力度,提出了一套适应我国IT风险实际情况的综合性风险管理框架。不仅在战略层面上完善IT治理结构,在战术层面上建立IT控制框架,还分解到IT控制框架建立的几个过程阶段。最终,形成一套完整的IT风险管理方法论。李华说:“国内真正做到这个定位的很少,我们提出这个理念是比较早的。绝大多数公司都只是IT方面的,而我们是IT+管理+控制。”
11月11日,国资委发布《关于2009年中央企业开展全面风险管理工作有关事项的通知》(以下简称《通知》),要求各央企应把全面风险管理工作摆在日常经营管理的重要位置,并逐步探索适合本企业的全面风险管理工作机制。
《通知》强调,当前,由美国次贷危机引发的国际金融危机不断蔓延,给世界各国经济发展带来严重影响,我国经济发展也面临诸多困难和挑战,因此,提高中央企业全面风险管理工作水平的任务更加紧迫。《通知》还要求,各央企逐步探索出适合本企业的全面风险管理工作机制。
谷安天下早在一年前就敏锐的觉察到了企业对于风险管理的重视程度将越来越高。“现在的企业里做风险管理不光是IT部的事,还有审计部、风险管理部。”李华说:“我们也有专门的IT审计业务,可以帮助他更好的完成审计任务。而且企业经营的方方面面都有风险,即使仅是IT层面,也是包括了研发、运维等很多环节。我们对所有环节都是从控制的角度看风险,看如何控制风险。”
做IT风险管理领域的NO.1
为了把企业做大,谷安天下并不满足于传统咨询服务模式。今年,谷安天下开始和清华大学一起合作开发软件,把他们总结出来的IT风险管理方法论以软件方式实现。他们希望通过这个软件的开发成熟,实现咨询的规模化效益,减少顾问培养时间。李华说:“顾问不是那么好培养的,现在我们有三十多名顾问,外面也找不到更多特别合适的。对于咨询公司来说,承接项目又受到顾问人数的限制。有了这个包含我们方法论的软件,培养顾问将更快,所花费的时间更短。原来培养一个顾问可能需要100天,现在只需要30天就行了,而且客户的满意度会更高,咨询的规模化就有可能实现。这款软件的第一个版本已经开发成功,目前在试用阶段。”
软件的开发,部分的解决了谷安天下的顾问人力资源利用的问题。顾问在项目工作之外,还要进行软件的开发及知识库更新的工作。同时,谷安天下对项目生命周期的管理也有严格的控制。他们对项目实施的每一个步骤都有清晰详细的指导,从项目管理的角度来说,对顾问的工作就会更加清晰,对顾问的工作安排更合理高效。李华说:“我们对项目的每个环节都会进行实时跟踪,所以基本上能保证在计划时间内完成项目,即使有拖延也不会超过两周。”
去年10月,谷安天下开展了培训业务。“最好的CISA(IT审计师资格)培训的老师都在我们这儿,讲课的都是最好的顾问。”李华自信的说。
今年6、7月,随着新成员的加入,壮大了的谷安天下团队体系也更加完善,更加重视树立品牌和打造市场。李华说:“以前我们拿单子都是靠个人的人脉关系,没有认真、完整的做市场工作。但这对于一家优秀的企业,或者是以此为目标的企业来说,不是长久之计。既然现在我们觉得谷安天下有机会能做大,就要加强市场、销售、渠道各方面的工作,以后要更加系统化的做事情。”
谷安天下现在考虑最多的是公司长期的发展,先把体系搭完善,市场、销售、培训、服务,形成整体的一套东西。北京设有总部,并在上海、深圳、大连成立办事处。李华说:“因为我们自己就是做咨询的,所以我们比一般的创业者对企业管理的问题理解得更深入。公司成立之初,我们就开始考虑企业建立的体系,公司越来越大,体系也将越来越完整。”
从一个项目管理者到一个公司管理者,李华考虑的问题更多,压力更大。不止是技术的问题,还有公司长远的发展。他现在也还带项目,一般一周还要有大约1/3的时间在项目里。工作更忙,责任更重。但李华觉得,大家加入谷安天下,就是把自己的未来发展,身家性命都交给我,我的决定将决定公司这条船的发展,该有的压力、责任我必须去抗。虽然很累,但是很值得。
他说:“IT风险管理是一个新兴行业,能做这部分工作的人比较少。随着谷安天下的发展,会有越来越多的人愿意加入我们,公司会更有竞争力。”
李华对谷安天下的目标是成为国际领先的IT风险管理服务机构。虽然目前的金融危机影响全球经济低靡,但是他认为,在这样的情况下,大家更加注重防范风险,对谷安天下来说反而是个机会。
“我们的团队是一个踏踏实实做事情的团队,比较简单,认真做事情。大家价值观也一致,人与人之间也比较简单。”李华说,“公司以后的发展一定会经历各种风风雨雨,但是,有这么一群在行业里有实力的团队,所有的困难都可以抗过去。”
优秀的团队,准确的市场定位,系统的管理方法,这一切使李华相信,IT风险管理领域的NO.1离我们并不遥远。搜索更多相关主题的帖子:
李华 CIO 专访 谷安天下
