安全运营YY（一）：为什么要引入质量管理体系

安全运营是什么？相信很多企业都能道出个七七八八，但我们的理解可能跟许多人有点不太一样。

熟悉雾帜的朋友应该都知道，自2019年创立伊始，雾帜便坚定不移地秉持着一个核心理念：任何企业组织的网络信息安全活动，终将步入安全运营阶段，并以此长久持续下去。

“运营”并不能孤立存在，需要与业务、安全技术、安全管理等建立联系，“安全运营”才能实至名归。

但怎样让安全运营实至名归？关键在于理解其背后的逻辑性与必要性。

企业存活，必须要有业务；业务输出物则是产品。产品可能是实物商品，也可能是服务形态。作为企业组织运营的核心驱动力，产品质量的优劣直接关系到企业组织的生死存亡。

也就是说，所有影响产品质量的因素，都是影响企业组织业务运营成效的因素。

那有人要问，网络信息安全是其中因素之一吗？毫无疑问是的。毕竟在社会生产领域，安全生产早已纳入生产活动的首要保证条件。

安全生产完全可以视为在没有网络时代的“网络信息安全”，换句话说，安全生产是网信安全的祖师爷。

基于这个逻辑，我们将网络信息安全活动的开展和评价纳入质量管理体系（QC），应该不会有人来挑战驳斥了吧。

至此，搞懂了网络信息安全行业面临的诸多困苦，也就大致能够明白安全运营的本质所在，当然也就有了对应的解决措施。

我们知道，质量管理体系中有一个著名的“六西格玛”理论，为我们提供了一个衡量质量水平的标尺。当然，每个企业组织的要求自然有所不同，可能是“四西格玛”或“五西格玛”，这与安全领域的等保有“三级”、“四级”类似。

但两者追求卓越质量的目标是一致的。因为企业为了达到要求的质量等级，往往会不遗余力，否则它就可能失去业务和利益，下场可能会死。

理解了这个逻辑，那有人再问或者被问到相关争议时，自然不会不知该如何回答安全投资回报率（ROI）的问题。

当然，安全工作从来都不是逞一时口舌之快，寻找问题的答案，其目的也不是单纯为了堵别人的嘴。

所以，我们认为网络信息安全工作活动也必须学习和遵循质量管理体系的核心理念和框架。虽然网络安全领域有自己的ISO27001体系，但该体系也完全可以纳入到QC体系之下成为子体系。

如果有同学熟悉27000，不妨认真回顾一下其内容，大概就会认同我们的观点。

因为，归根结底，企业组织必须建立和遵循质量管理体系，这是放诸四海而皆准的真理，也是一个全球共识，全世界应该没有哪个国家、政府、组织、机构和企业会质疑这个逻辑。

啰嗦这么多，只是想说明一个道理，“安全运营”不是安全找一些奇葩的理由去碰瓷业务，同时顺手给自己戴的高帽子，而是想重点强调安全运营活动开展的必要性和紧迫性。咱们下期再聊。