諮詢過程中，虛無縹緲的「體系」到底該怎麼理解？

在諮詢中，最難以理解的，並且毀譽參半的，恐怕只有「體系」了。信奉者，將其奉若神明；詆毀者，認為其百無一用。而且兩種不同的意見，很多時候還要爭論一番，結果無非是兩種情況，一種是「小馬過河」的故事結果，另一種則是「黃瓜到底是長還是綠」的詭異辯論。

我們暫且不論兩種意見的對錯，今天就花點時間掰扯掰扯，到底什麼是所謂的「體系」，這麼虛無縹緲的概念，是否可以具體一些。日常中我們所謂的「體系」，通俗理解起來就是比較系統化、全面化，而與之相對應的則是比較片面、零散。那麼，「體系」到底有哪些特點？或者怎樣才能稱為「體系」呢？

首先，體系強調整體性，目標必須清晰明確

整體性就是要想清楚，為什麼要做這件事情，想清楚了目標也就出來了。好比大學計算機系課程體系，它的目標就是通過一些列課程的學習，用四年的時間能夠培養出一名計算機專業的本科生。

其次，體系強調模塊化，模塊之間相互作用

實現目標需要把目標按照一定的邏輯切開，形成支撐目標實現的一個一個的模塊，並且模塊和模塊之間是有先後順序的，也是具有一定的相互作用的。比如計算機課程體系，需要先學基礎課、專業基礎課、專業課、實踐課等等，順序不能反，而且前後互相作用，前面學不好會影響後面的課程。

最後，體系強調動態性，機制能夠自我改進

最後一個特點，也是最重要的一個特點，想要成為體系必須能夠動態調整、自我改進。比如以前計算機課程裡面，可能不會有雲計算、大數據、虛擬現實技術等等，隨著技術的發展和學習的需要，這些前沿的課程慢慢的會納入到計算機課程體系中來。

在信息安全領域，最著名的體系就是信息安全管理體系（ISMS）了，其整體的目標是確保組織的信息安全（C、I、A）是可控的；具體手段是通過14個模塊或者控制域，113個小的控制措施去實現整體目標；體系持續改進是通過PDCA過程改進模型來實現。具體參見下圖左半部分：

這麼說可能還是有些抽象，可以拿上圖有右半部分來舉個例子。

木桶里的水就是需要保護的信息資產，保護的目標就是木桶里的水越多越好，或者水漏出去的越少越好。

木桶的板子就是具體的控制域、控制措施，想要實現保護目標就需要木板越高越好，或者木板之間的縫隙越小越好（或者沒有縫隙）。

如何實現這個過程？那就需要這個小兔子不停的尋找有問題的板子，那塊板子有問題就不斷完善哪塊板子，周而復始的循環這個動作，這樣目標就一步一步的實現了。

這麼一說，你的腦海子應該有一副會動的圖畫，對「體系」也應該有了一個最基本的理解了。

回頭文章前頭所說的兩種意見，我個人當然認為「體系」是具有其作用的，只不過實現的方式各不相同罷了，有的是參照最佳實踐標準，有的是通過實踐自成一體，但最終還都是形成符合各自需求的體系。

但我想強調的兩點是：

任何體系都不是一蹴而就的，需要不斷的努力與積累，需要經歷「僵化-優化-固化」的三個大的階段，才能逐漸發揮出效果，得到一個良性循環，最終能夠有一個好的投入產出比。任何想要剛一投入，就要立竿見影的效果，都是浮躁的表現。

能夠根據自己的實踐，自成一體的「體系」建設實踐，從概率上來講基本上等於零。在沒有一個好的思路的情況下，最佳實踐標準是比較好的參考。在完全掌握、理解、實踐了標準以後，再根據實踐經驗來改進「體系」，才是一種比較務實的做法。

最後，對於那些盲目排斥標準，看不起標準化的人，我願意將下面的故事送給他。

伊藤博文漫遊中國，辜鴻銘送給他一本自己翻譯的「論語」英文本，伊藤調侃孔子教人方法已經過時，辜對答「孔子教人的方法，就好比數學家的加減乘除，在數千年前，其法是三三得九，如今二十世紀，其法仍然是三三得九，並不會三三得八。」伊藤無詞應答。

標準本身只是方法，運用不好沒有效果，那是你笨！

如果覺得內容不錯，歡迎關注微信公共號（ID：WeYanXPJ）獲得後續更新；如需閱讀以前文章，請在公共號後台查看歷史消息。