改進(jìn)的4D過(guò)程咨詢方法介紹

謝宗曉（南開大學(xué)商學(xué)院）

趙秀堃（天津財(cái)經(jīng)大學(xué)商學(xué)院）

本刊特約

改進(jìn)的4D過(guò)程咨詢方法介紹

謝宗曉（南開大學(xué)商學(xué)院）

趙秀堃（天津財(cái)經(jīng)大學(xué)商學(xué)院）

本文將Schein的過(guò)程咨詢與PDCA相結(jié)合，提出了包括診斷、設(shè)計(jì)、實(shí)施和交付四個(gè)主要步驟的“改進(jìn)的4D過(guò)程咨詢”模型。

信息安全 過(guò)程咨詢 行動(dòng)研究

謝宗曉 博士

“十二五”國(guó)家重點(diǎn)圖書出版規(guī)劃項(xiàng)目《信息安全管理體系叢書》執(zhí)行主編。自2003年起，從事信息安全風(fēng)險(xiǎn)評(píng)估與信息安全管理體系的咨詢與培訓(xùn)工作。目前，已發(fā)表論文55篇，出版專著12本。

信息安全管理系列之三十

在信息安全實(shí)踐中，限于能力等原因，更多的企業(yè)會(huì)選擇專門的服務(wù)供應(yīng)商，例如，GB/T 22080—2008 / ISO/IEC 27001: 2005（信息安全管理體系）的實(shí)施咨詢就已經(jīng)成為專門的行業(yè)。但是在信息安全領(lǐng)域中，并沒有合適的方法論對(duì)其進(jìn)行指導(dǎo)，下文對(duì)Schein的過(guò)程咨詢方法根據(jù)信息安全情境進(jìn)行了初步的改進(jìn)。

謝宗曉（特約編輯）

1 行動(dòng)研究

在社會(huì)科學(xué)領(lǐng)域，著重科學(xué)與實(shí)踐結(jié)合的研究，通常被稱為行動(dòng)研究[1]。行動(dòng)研究所特有的“臨床視角（a clinical perspective）”，使研究者在其研究過(guò)程中又處于“幫助者”角色[2]，因此行動(dòng)研究特別契合高度實(shí)踐性的學(xué)科，例如，教育研究和信息系統(tǒng)研究等。

在不同的學(xué)科，甚至僅在信息系統(tǒng)研究領(lǐng)域，行動(dòng)研究就呈現(xiàn)了豐富的多元方法。以研究步驟為例，規(guī)范行動(dòng)研究（Canonical Action Research，CAR）是最常見的模式，Susman 與 Evered將其定義為5個(gè)迭代的步驟：1）診斷（Diagnosis）；2）行動(dòng)規(guī)劃（Action Planning）；3）行動(dòng)實(shí)施/干預(yù)（Action Taking / Intervention）；4）評(píng)價(jià)（Evaluating）；5）針對(duì)性學(xué)習(xí)（Specifying Learning）[3]。Schein的過(guò)程咨詢則被定義為7個(gè)步驟[2]。但是，無(wú)論如何多元化，行動(dòng)研究都有其核心的特征，因?yàn)樾袆?dòng)研究強(qiáng)調(diào)行動(dòng)情境（action context），而不是一味的追求普適性。例如，在本質(zhì)上行動(dòng)研究的步驟都脫離不了Blum[4]的兩步驟法：診斷與治療。不同的行動(dòng)研究模式只是為了讓這兩個(gè)步驟與情境更加契合。

總之，無(wú)論在任何領(lǐng)域，以何種模式實(shí)施，行動(dòng)研究都要求即時(shí)的“社會(huì)介入（social intervention）”，行動(dòng)研究如同不追求精確控制的實(shí)驗(yàn)[1]，或者介入式的案例研究。信息安全領(lǐng)域，諸多研究都是為了產(chǎn)生“為行動(dòng)服務(wù)的知識(shí)”，研究者試圖要改變國(guó)內(nèi)當(dāng)前信息安全實(shí)踐困境，迅速提升組織的信息安全管理能力，同時(shí)也促進(jìn)當(dāng)事人系統(tǒng)地學(xué)習(xí)和知識(shí)的積累，這個(gè)目標(biāo)很難在案例組織中自然而然地實(shí)現(xiàn)，研究者作為信息安全專家即時(shí)介入是最可行的途徑之一。

2 過(guò)程咨詢：一種行動(dòng)研究模式

如上文所述，行動(dòng)研究是一類研究的統(tǒng)稱，是一種多元化的方法。過(guò)程咨詢是行動(dòng)研究的一種模式，最早起源于Schein的社會(huì)心理學(xué)培訓(xùn)。由于樣本難于獲取等原因，在信息系統(tǒng)研究領(lǐng)域，應(yīng)用過(guò)程咨詢的行動(dòng)研究并不多見。雖然信息安全部署是迭代的循環(huán)，但是我們只選擇了其中一個(gè)周期作為研究對(duì)象，單拿出來(lái)看，這是一個(gè)線性的過(guò)程，這是其一；第二，研究過(guò)程嚴(yán)格結(jié)構(gòu)化；第三，我們的研究人員以專家身份參與并主導(dǎo)了整個(gè)項(xiàng)目，不僅是普通的合作關(guān)系；最后，雖然項(xiàng)目中也包括了培訓(xùn)和系統(tǒng)設(shè)計(jì)等內(nèi)容，項(xiàng)目最主要目的還是考慮組織發(fā)展。基于以上原因，我們選擇了過(guò)程咨詢作為本文中行動(dòng)研究的形式。

過(guò)程咨詢強(qiáng)調(diào)在問(wèn)題解決或決策過(guò)程中的動(dòng)態(tài)的溝通以及客戶和咨詢師之間關(guān)系的建立。此外，過(guò)程咨詢與臨床視角經(jīng)常會(huì)被整合在一起應(yīng)用，臨床視角是Lewin在1947年就就提出的概念[5]。事實(shí)上，作為專家或醫(yī)生的角度，兩者存在較大的相似。

3 案例：大都集團(tuán)

大都集團(tuán)（注：化名）是一個(gè)全球化的公司，總部設(shè)在北京，到2014年底，員工大約達(dá)到15000人，擁有39家全資或控股子公司，以及2家上市公司。在美國(guó)和歐洲都有分支機(jī)構(gòu)。由于公司規(guī)模的迅速擴(kuò)大以及公司的業(yè)務(wù)性質(zhì)，在信息化方面相對(duì)比較落后，IT部門在集團(tuán)內(nèi)話語(yǔ)權(quán)比較弱。由于最高領(lǐng)導(dǎo)者的重視，2014年6月，大都集團(tuán)成立保密與安全部，與IT部門并列，原則上講，實(shí)現(xiàn)了信息系統(tǒng)安全與運(yùn)維在組織層次的分離。

但是，工作進(jìn)展并沒有預(yù)期的順利，在接下來(lái)的幾個(gè)月，很快陷入了“高層管理高度重視，基層人員熱情響應(yīng)，中層管理消極怠工”的狀態(tài)。更具體地講：第一，雖然高層管理和基層人員具備一定的信息安全意識(shí)，但這些安全意識(shí)缺乏體系化，大都來(lái)自媒體的報(bào)道或者道聽途說(shuō)；第二，由于信息安全在一定程度上會(huì)影響信息系統(tǒng)的便利性，基層人員在涉及安全操作行為時(shí)，也有一定的抵制，例如，在離開工作位時(shí)必須進(jìn)行鎖屏；第三，由于公司的考核方式?jīng)]有考慮信息安全，導(dǎo)致中層管理人員沒有足夠的精力應(yīng)對(duì)主營(yíng)業(yè)務(wù)之外的工作，嚴(yán)重缺乏信息安全部署熱情；第四，在信息安全的頂層設(shè)計(jì)中存在一定的不合理，例如，由于歷史遺留問(wèn)題，IT部門也有內(nèi)部的信息安全部門，這與集團(tuán)的保密與安全部工作職責(zé)上存在一定的交叉；第五，信息安全主管部門，即保密與安全部，急于開展工作，但是由于成立的比較晚，缺乏足夠的實(shí)踐經(jīng)驗(yàn)。

2014年11月，大都集團(tuán)的信息安全主管人員通過(guò)第三方聯(lián)系到咨詢師，經(jīng)過(guò)探討，雙方一致決定按照Schein所定義的過(guò)程咨詢步驟進(jìn)行一個(gè)周期的行動(dòng)研究。表1是本研究中相應(yīng)活動(dòng)的描述。

4 改進(jìn)的4D過(guò)程咨詢

但是，Schein過(guò)程咨詢的7個(gè)步驟對(duì)于高度結(jié)構(gòu)化的信息安全部署而言存在一定的不足。過(guò)程咨詢其中一個(gè)重要的目標(biāo)是做知識(shí)轉(zhuǎn)移，而不僅僅是發(fā)現(xiàn)或驗(yàn)證理論，即便是在理論方面有所關(guān)注，也更偏向于“實(shí)踐的理論”。過(guò)程咨詢是在咨詢師/醫(yī)生的視角思考客戶組織所面臨的問(wèn)題，或者說(shuō)是基于專家的“臨床視角”的方法。

表1 過(guò)程咨詢基本步驟

也就是說(shuō)，同樣的活動(dòng)，因不同的視角被人為地劃分為不同的步驟，這本身就違背了Schein所強(qiáng)調(diào)的過(guò)程咨詢的一個(gè)重要原則，即“客戶最終擁有問(wèn)題與解決方案”。基于此，我們對(duì)其中的7個(gè)步驟與成熟的PDCA（Plan-Do-Check-Act）整合在一起，簡(jiǎn)化為“改進(jìn)的4D（Diagnosis，Design，Do，Deliver）過(guò)程咨詢”。具體如圖1所示。

圖1 改進(jìn)的4D過(guò)程咨詢

在具體的部署中，采用了謝宗曉和林潤(rùn)輝[6，7]所提出的信息安全制度化/合法化3I（Identification、 Implementation和Internalization）模型，即識(shí)別、履行和內(nèi)化三個(gè)主要過(guò)程。具體如圖2所示。

圖2 標(biāo)識(shí)時(shí)間軸的關(guān)鍵活動(dòng)進(jìn)程

5 小結(jié)

我們以大都集團(tuán)為案例以一年為周期的“改進(jìn)的4D過(guò)程咨詢”收到了良好的效果，其中將完全以研究者視角的Schein過(guò)程咨詢的7個(gè)步驟，與信息安全管理體系（Information Security Management System，ISMS）的PDCA過(guò)程進(jìn)行了深度融合，從研究者與當(dāng)事人的“共同學(xué)習(xí)”的角度，將主體部分分為診斷、設(shè)計(jì)、實(shí)施和交付的4個(gè)步驟，使其更適合信息安全情境。

[1]Chris A, Robert P, Diana McLain Smith. 行動(dòng)科學(xué)——探究與介入的概念、方法與技能[M]. 北京：教育科學(xué)出版社，2012.

[2]Schein E. Process consultation: Its role in organizational development [M]. Addison–Wesley, Reading, 1969.

[3]Susman G L, Evered R D. An assessment of the scientific merits of action research [J]. Administrative Sciences Quarterly, 1978（23）：582–603.

[4]Blum F. Action research—A scientific approach [J]. Philosophy of Science, 1955，22（1）：1–7.

[5]Lewin K. Frontiers in Group Dynamics II [J]. Human Relations, 1947（1）：143–153.

[6]謝宗曉，林潤(rùn)輝. 信息安全制度化3I模型[J]. 中國(guó)標(biāo)準(zhǔn)導(dǎo)報(bào)，2016（06）：30-33.

[7]林潤(rùn)輝，謝宗曉，王興起，等. 制度壓力、信息安全合法化與組織績(jī)效——基于中國(guó)企業(yè)的實(shí)證研究[J]. 管理世界，2016（02）：112-127，188.

Introduction of Improved 4D Process Consultant Method

Xie Zongxiao ( Business School, Nankai University )
Zhao Xiukun ( Business School, Tianjin University of Finance and Economics )

Integrating Schein’s process consultant method and PDCA, this paper proposes a new method called“Improved 4D Process Consultant ”, which includes diagnosis, design, do and delivery.

information security, process consultant method, action research