謝宗曉（南開大學商學院）

趙秀堃（天津財經(jīng)大學商學院）

本刊特約

改進的4D過程咨詢方法介紹

謝宗曉（南開大學商學院）

趙秀堃（天津財經(jīng)大學商學院）

本文將Schein的過程咨詢與PDCA相結合，提出了包括診斷、設計、實施和交付四個主要步驟的“改進的4D過程咨詢”模型。

信息安全 過程咨詢 行動研究

謝宗曉 博士

“十二五”國家重點圖書出版規(guī)劃項目《信息安全管理體系叢書》執(zhí)行主編。自2003年起，從事信息安全風險評估與信息安全管理體系的咨詢與培訓工作。目前，已發(fā)表論文55篇，出版專著12本。

信息安全管理系列之三十

在信息安全實踐中，限于能力等原因，更多的企業(yè)會選擇專門的服務供應商，例如，GB/T 22080—2008 / ISO/IEC 27001: 2005（信息安全管理體系）的實施咨詢就已經(jīng)成為專門的行業(yè)。但是在信息安全領域中，并沒有合適的方法論對其進行指導，下文對Schein的過程咨詢方法根據(jù)信息安全情境進行了初步的改進。

謝宗曉（特約編輯）

1 行動研究

在社會科學領域，著重科學與實踐結合的研究，通常被稱為行動研究[1]。行動研究所特有的“臨床視角（a clinical perspective）”，使研究者在其研究過程中又處于“幫助者”角色[2]，因此行動研究特別契合高度實踐性的學科，例如，教育研究和信息系統(tǒng)研究等。

在不同的學科，甚至僅在信息系統(tǒng)研究領域，行動研究就呈現(xiàn)了豐富的多元方法。以研究步驟為例，規(guī)范行動研究（Canonical Action Research，CAR）是最常見的模式，Susman 與 Evered將其定義為5個迭代的步驟：1）診斷（Diagnosis）；2）行動規(guī)劃（Action Planning）；3）行動實施/干預（Action Taking / Intervention）；4）評價（Evaluating）；5）針對性學習（Specifying Learning）[3]。Schein的過程咨詢則被定義為7個步驟[2]。但是，無論如何多元化，行動研究都有其核心的特征，因為行動研究強調(diào)行動情境（action context），而不是一味的追求普適性。例如，在本質(zhì)上行動研究的步驟都脫離不了Blum[4]的兩步驟法：診斷與治療。不同的行動研究模式只是為了讓這兩個步驟與情境更加契合。

總之，無論在任何領域，以何種模式實施，行動研究都要求即時的“社會介入（social intervention）”，行動研究如同不追求精確控制的實驗[1]，或者介入式的案例研究。信息安全領域，諸多研究都是為了產(chǎn)生“為行動服務的知識”，研究者試圖要改變國內(nèi)當前信息安全實踐困境，迅速提升組織的信息安全管理能力，同時也促進當事人系統(tǒng)地學習和知識的積累，這個目標很難在案例組織中自然而然地實現(xiàn)，研究者作為信息安全專家即時介入是最可行的途徑之一。

2 過程咨詢：一種行動研究模式

如上文所述，行動研究是一類研究的統(tǒng)稱，是一種多元化的方法。過程咨詢是行動研究的一種模式，最早起源于Schein的社會心理學培訓。由于樣本難于獲取等原因，在信息系統(tǒng)研究領域，應用過程咨詢的行動研究并不多見。雖然信息安全部署是迭代的循環(huán)，但是我們只選擇了其中一個周期作為研究對象，單拿出來看，這是一個線性的過程，這是其一；第二，研究過程嚴格結構化；第三，我們的研究人員以專家身份參與并主導了整個項目，不僅是普通的合作關系；最后，雖然項目中也包括了培訓和系統(tǒng)設計等內(nèi)容，項目最主要目的還是考慮組織發(fā)展?；谝陨显?，我們選擇了過程咨詢作為本文中行動研究的形式。

過程咨詢強調(diào)在問題解決或決策過程中的動態(tài)的溝通以及客戶和咨詢師之間關系的建立。此外，過程咨詢與臨床視角經(jīng)常會被整合在一起應用，臨床視角是Lewin在1947年就就提出的概念[5]。事實上，作為專家或醫(yī)生的角度，兩者存在較大的相似。

3 案例：大都集團

大都集團（注：化名）是一個全球化的公司，總部設在北京，到2014年底，員工大約達到15000人，擁有39家全資或控股子公司，以及2家上市公司。在美國和歐洲都有分支機構。由于公司規(guī)模的迅速擴大以及公司的業(yè)務性質(zhì)，在信息化方面相對比較落后，IT部門在集團內(nèi)話語權比較弱。由于最高領導者的重視，2014年6月，大都集團成立保密與安全部，與IT部門并列，原則上講，實現(xiàn)了信息系統(tǒng)安全與運維在組織層次的分離。

但是，工作進展并沒有預期的順利，在接下來的幾個月，很快陷入了“高層管理高度重視，基層人員熱情響應，中層管理消極怠工”的狀態(tài)。更具體地講：第一，雖然高層管理和基層人員具備一定的信息安全意識，但這些安全意識缺乏體系化，大都來自媒體的報道或者道聽途說；第二，由于信息安全在一定程度上會影響信息系統(tǒng)的便利性，基層人員在涉及安全操作行為時，也有一定的抵制，例如，在離開工作位時必須進行鎖屏；第三，由于公司的考核方式?jīng)]有考慮信息安全，導致中層管理人員沒有足夠的精力應對主營業(yè)務之外的工作，嚴重缺乏信息安全部署熱情；第四，在信息安全的頂層設計中存在一定的不合理，例如，由于歷史遺留問題，IT部門也有內(nèi)部的信息安全部門，這與集團的保密與安全部工作職責上存在一定的交叉；第五，信息安全主管部門，即保密與安全部，急于開展工作，但是由于成立的比較晚，缺乏足夠的實踐經(jīng)驗。

2014年11月，大都集團的信息安全主管人員通過第三方聯(lián)系到咨詢師，經(jīng)過探討，雙方一致決定按照Schein所定義的過程咨詢步驟進行一個周期的行動研究。表1是本研究中相應活動的描述。

4 改進的4D過程咨詢

但是，Schein過程咨詢的7個步驟對于高度結構化的信息安全部署而言存在一定的不足。過程咨詢其中一個重要的目標是做知識轉移，而不僅僅是發(fā)現(xiàn)或驗證理論，即便是在理論方面有所關注，也更偏向于“實踐的理論”。過程咨詢是在咨詢師/醫(yī)生的視角思考客戶組織所面臨的問題，或者說是基于專家的“臨床視角”的方法。

表1 過程咨詢基本步驟

也就是說，同樣的活動，因不同的視角被人為地劃分為不同的步驟，這本身就違背了Schein所強調(diào)的過程咨詢的一個重要原則，即“客戶最終擁有問題與解決方案”。基于此，我們對其中的7個步驟與成熟的PDCA（Plan-Do-Check-Act）整合在一起，簡化為“改進的4D（Diagnosis，Design，Do，Deliver）過程咨詢”。具體如圖1所示。

圖1 改進的4D過程咨詢

在具體的部署中，采用了謝宗曉和林潤輝[6，7]所提出的信息安全制度化/合法化3I（Identification、 Implementation和Internalization）模型，即識別、履行和內(nèi)化三個主要過程。具體如圖2所示。

圖2 標識時間軸的關鍵活動進程

5 小結

我們以大都集團為案例以一年為周期的“改進的4D過程咨詢”收到了良好的效果，其中將完全以研究者視角的Schein過程咨詢的7個步驟，與信息安全管理體系（Information Security Management System，ISMS）的PDCA過程進行了深度融合，從研究者與當事人的“共同學習”的角度，將主體部分分為診斷、設計、實施和交付的4個步驟，使其更適合信息安全情境。

[1]Chris A, Robert P, Diana McLain Smith. 行動科學——探究與介入的概念、方法與技能[M]. 北京：教育科學出版社，2012.

[2]Schein E. Process consultation: Its role in organizational development [M]. Addison–Wesley, Reading, 1969.

[3]Susman G L, Evered R D. An assessment of the scientific merits of action research [J]. Administrative Sciences Quarterly, 1978（23）：582–603.

[4]Blum F. Action research—A scientific approach [J]. Philosophy of Science, 1955，22（1）：1–7.

[5]Lewin K. Frontiers in Group Dynamics II [J]. Human Relations, 1947（1）：143–153.

[6]謝宗曉，林潤輝. 信息安全制度化3I模型[J]. 中國標準導報，2016（06）：30-33.

[7]林潤輝，謝宗曉，王興起，等. 制度壓力、信息安全合法化與組織績效——基于中國企業(yè)的實證研究[J]. 管理世界，2016（02）：112-127，188.

Introduction of Improved 4D Process Consultant Method

Xie Zongxiao ( Business School, Nankai University )
Zhao Xiukun ( Business School, Tianjin University of Finance and Economics )

Integrating Schein’s process consultant method and PDCA, this paper proposes a new method called“Improved 4D Process Consultant ”, which includes diagnosis, design, do and delivery.

information security, process consultant method, action research