搜索
有关等级保护现场测评时的一些体会现场测评是开展等保保护测评一项重要工作过程,目的是跟客户当面沟通,现场检查,获取系统真实安全信息,查找安全问题。很多同事,尤其是刚参加现场测评的,总感觉难度很大,碰到现场一些问题,不好处理,工作起来顾虑重重,畏手畏脚,总觉得咱是去做服务的,低人一等。总结来说,现场测评时经常遇到的问题主要有:一、客户不愿意配合,可能真是是对方很忙,没时间;二、对等保测评工作轻视,认为是走过程,没啥用;怕被发现有问题被领导批评;三、认为我们技术水平不行,弄不出个啥来;四、担心把我们系统号坏了,出啥问题了。针对现场中可能遇到的上述这些问题,其中几点我觉的可以从以下两个个方面来应对。一是,要抱着一种我们是去提供服务的心态去测评,是去帮助他们查找问题,解决问题,防范安全风险的。二是,要处处为对方着想,站在对方得角度去想事情。不管是跟对方交流还是做事,你只要表现的是为他好为他想,我想,是没有人不会不愿意的。举例,某被测评公司的人,公司驻场的同事都觉得很可恶,比较难对付,尤其是一个管事的叫xx的家伙,我去现场也多听到其他公司驻场人员的不满、诉说和抱怨,当时我因为当天工作上要找这个XX沟通,我通过电话事先联系他,在电话中我就一直把他当做领导(实际是小兵一个),始终是说要跟他当面汇报工作,捧着他,我想没有人不享受这种尊重和得意。在汇报沟通过程中,当我了解到他们公司就两个人在负责做信息系统方面的事,我就说“你们xx公司也太抠了,你们公司领导应该多配点人,像你们现在的工作,管真多,又是机房装修,又是设备安装,还要软件开发部署测试,起码不得招十个八个人才行,这啥都得你们俩干,还不把人累死?!”一番话,立刻引起对方的共鸣,说“哎呀,没办法,要求了,领导不给增加人,我们就是这辛苦命,要不为啥叫你们来驻场帮忙。”当我听到他说最近整天加班,快累死了,立马就说,“那你这可得注意身体呀,注意休息,别累坏了。”并且我又顺势说,“工作上你别操心恁多,能让其他人干的就让其他人干,你们作为甲方,最主要的是把整个任务计划好,分工好,督促检查好。”听的他连连点头说是。整个沟通聊天过程,我始终为他考虑为他想,他自然很是开心,愉快,整个现场测评工作也就顺顺利利,开心开心搞定。人心都是肉长的,人和人交往,咱们中国人最看中的就是交情,自古以来都是熟人好办事,你关心他,为他想,话再说的好听点,他自然就会领你的情,乐意跟你配合,合作。正所谓,你敬我一尺,我敬你一丈,就是这个道理。再说个最近的例子,我们这次去某医院做工具扫描测试,一听说要用工具扫描他们的数据库,信息中心管数据库的家伙,是一百个不情愿呀,又是叫我们找领导类,又是叫我们写申请并且还得领导签字类,中间我们需要找个纸笔,都叫我去另外一个可远的办公室要去,末了还非要求必须得用A4纸,总之各种刁难呀,各位经常去现场的,遇到类似客户的同仁,都懂,有木有同感?看这情形,我一方面直接跟他们科长沟通,提出工作要求、希望和想法,一方面积极跟这位大爷沟通。跟科长说的是“咱医院想要测试快点,我们希望能直接接到机房内核心交换上,这边需要你亲自发话安排呢”。一会电话就打过来,一通安排,这位爷就行动起来了,虽说还是不情愿,但还是去照做了。在这当中我就跟他聊天说,“我们现在做测试扫描,是提前把咱们系统存在的安全问题找出来,及时解决掉,别等到你们医院做评审的时候被发现,在这上被扣分,你那你的责任可就就大了。”一说这,这货态度就慢慢变了,再往后就开始配合我们测试了,到后面,还帮着我们跟其他同事说,把数据库地址都报告过来叫他们都扫描测试一下,看有啥问题,到时候真出问题了也不是咱的责任,一直都下班了还继续耐心陪着我们在机房,等我们全部把要扫描的服务器信息全部录入到漏扫设备,并看着确认设备到点自动开始扫描后,才离开。从上述我举的现实工作中的例子,我们可以看出,跟我们配合的这些人大多都是普通的技术人员,我们只要多站在对方的角度去说,去做,以是去提供服务,帮助解决问题的态度去现场测评,去沟通,可以说没有搞不定的。能有啥,记住,他也有领导,有上级,再说咱后面还有公司呢,公司既然能拿下这个项目,那个啥~~啥~~对吧~~~。所以我们根本不用担心,不用有啥顾虑,做事畏手畏脚,感觉低人一等,他们、我们都是跟人家打工做事的,没必要,真的。(后记:一点个人拙见,说给同仁们听听,权当抛砖引玉。我们一起来交流现场测评中碰到的难题和解决办法,我现在一直主张,干工作嘛,就要开开心心,咱是来凭自己能力、本事、工作、干活、挣钱、吃饭,干嘛要处处受气,TM都是人,是不!!?)