在 ITSS 这个词眼一出,大量人第一工夫跳出来的画面,莫过于某种别致的徽章要么一串密密麻麻的证书。

实际上当年这东西还没如此流行,它叫 ISACA 认证,是国际信息保险协会搞起来的,后来 ISACA 换了个名字,就变成 ITSS。

这玩意儿到底划不划得着?

要不要为了个证书跑去换地方体检?还是说,这玩意儿就是个目前都早该被扔进历史书里考古研究的冷笑话? 咱不整那些虚头巴脑的开场白。ITSS 这东西,最早是 2005 年那个“信息科技服务规范”的国家标准出来的。

当时搞漏洞扫描、搞系统加固、搞保险审计的,全是靠人脑和眼力,哪位管哪位心里都发虚。便政府牵头,编了个标准的流程,分了个等级,叫 ITSS2010 版。

那时候大家认定“有得选”,干得多了自然也就认了。可到了 2018 年,标准又被升级成了 2019 版,改了整整十几年。 这就好比你刚买了个智能手机,认定功能挺丰富,结局后来苹果发布了手机,安卓发布了平板,你手里的手机瞬间就有点“掉队”了。ITSS 别看没变,但背后的玩法变了。标准里把“服务”拎出来了,那会儿可能是“保险服务”,目前变成了“信息科技服务”。

更关键的是,等级划分被拆散了。

那会儿是 1 到 5 级,目前变成了 1 到 6 级。最大的变化在于:那会儿只要让你做个项目,达标就是 3 级,超过了 9 级就胜任了;目前倒过来了,做项目达到 6 级才算达标,达到 1 级说明你还不够格。

这逻辑换得跟换身份证似的,直接让人措手不及。 大量人一听 6 级,心里就犯嘀咕:"6 级?那是啥?大厂肯定都上了 6 级吧?”这话别看听着有点“高大上”,但实际市场上有个大坑。

那些动辄几百万、上千万的招投标项目,为了中标,往往要求目标客户是"ITSS 6 级”就连更高的客户。

这就好比你开豪车,人家招司机让你开,你一看人家要 6 级,你想想,你开 4 级的车还能把客户拉上车吗?结局呢,大局部供应商被卡在了 3 级或 4 级的门槛上。 这就害得了一局部人,为了混口饭吃,干脆去“踩线”了。拿个旧的标准,换个名字,就连换个场地,人家一看:哦,原来这就是个 5 级标准啊,行,借个证上号。

这也就叫“骑驴找马”。目前市面上,ITSS 证书满天飞,不管你是在北京、上海还是深圳,就连海外,只要拿个证,心里就“咯噔”一下,认定自己这就 6 级了。结局呢,客户心里清楚,这不过是个“要是你满血复活”的测试卷,真正的客户要的是你原来就有的本事。 说到认证本身,大家好办把它和 CISP(注册信息保险专业人员)要么 CISA(注册信息系统审计师)搞混。CISA 是美国的,ITGA 是英国的,这归于 ISO 标准体系;而 ITSS 是国内的,ISO9001 体系。ITSS 最大的硬伤,就是它忒依赖“人”了。它考的是你团队里哪位干得好,你老板有没有丰富的经验,你项目经理有没有耐心。它不像 CISA 那样,考的是你懂不懂五十年前的 IBM 架构,考的是你懂不懂最新的 NIST 框架。目前环境变了,CISA 也是在跟着 ISO 变,ISO 9001 也是在变。一旦 ISO 废止了,ISO9001 认证也就废了。ITSS 未来可能面临同样的尴尬:哪天国家新的国家标准出来了,要么新的法规改了,ITSS 标准就过时了。 那它还有救吗?救不了。它就是个“旧瓶装新酒”的容器。大家目前为了评年度出色服务单位、为了应付审计、为了写在简历上,都去考它。但这本质上,就是给时代穿上一身旧衣服,往旧衣服上套个 VR 眼镜。客户需求的不是你穿啥衣服,而是你的衣服能不能帮他们省钱、赚钱、解决难题。ITSS 证书本身,就是个装饰物,就连有点“忽悠”性质。 真正该警惕的,不是那些拿着证来忽悠客户的烟圈子,而是那些拿旧证去应聘新市场的人。

比方说,去一家做 SaaS 软件服务的公司应聘,对方说“我们管理规范,ITSS 6 级达标”,你一看,这项目本来就要 8 级才能签,结局人家要求 6 级,这逻辑不通啊。

要是确实做不了,那还是把证书当个摆设,别让自己连入场券都拿不稳。对于企业来说,别把考核门槛降得忒低,也别把考核门槛升得忒高。既要有门槛保证质量,又别让客户认定门槛设得忒高,那是借口。 最终再扯点别的。ITSS 标准里,对“服务”的定义挺宽泛,啥都算。但也正出于忒宽泛,大家都去硬套,结局就是把“人”的标准硬套进“标准”里,最终发现标准里的人,根本找不到。

这就是为啥大家越看重 ITSS,越认定它越不像个标准。它更像是一种“服务承诺的模板”,而不是“服务本事的检验器”。 故此,回到最初的难题:itss 是哪认证?它不是 ISO,它不是 CISA,它不是微软的。它是中国标准协会(SAC)牵头出的,2019 版的国家标准。它目前还是那个老样子:拼的是人际关系,拼的是团队资历,拼的是哪位能画好那张图。未来的 ITSS 标准,估摸还会接着改,可能是 ISO 9001 的升级版,也可能是彻底重新写一遍。但在那之前,它大约率还是会持续扮演那个“及格线”的角色,而不是那个“天花板”的角色。 下次再有人问"ITSS 6 级是啥”,你能够诚实地告诉他:“理论上是最高级,但实际上,没人拿 6 级去竞争 6 级的项目。

只要你能拿 3 级去接 3 级的单子,那就算合格。”至于那几张纸,留着装点门面吧,别指望它能帮你解决真正的技术或业务难题。

毕竟,能解决客户的真痛点,才是ITSS 该有的样子。