1.一定不要理会客户的需求,尽量把它们忽悠到你自己的路子上,笑话里客户的挑战是把大象塞进冰箱(一个明显的问题就是体积的问题),用Firm的思路就是完全回避这个问题,尽量把客户忽悠到自己的路子上,变成大号ITGC或者ACR,很多客户已经被Firm光辉灿烂的名字砸晕了,我们说啥就是啥,如果你提出说客户其实想要别的东西,你会被你老板骂死的,敢说皇帝没穿衣服的人一定被老板列入黑名单(不过这种客户已经越来越少了,而且在客户付钱之前突然意识到自己被忽悠了,还款也就成为一个麻烦事情了);
2_Deliverable一定要是Finding And Recommendation,千万不要去Implement什么东西,更加不要出具什么承担责任的东西。所以只能交付这些Step1/Step2的东西,千万不要下手真去帮客户把大象塞进冰箱里,更不能做塞进去我收多少钱,塞不进就不收钱的事情。
3_Deliverable一定要很漂亮,要很有逻辑性,PPT要让老板觉得astonishing,老板就Q这些东西。
4_Deliverable一定是放之四海皆正确的道理,除了可以借鉴的Bible上的话,千万不要有自己的观点,千万不要和客户的实际情况做任何customize的工作
5.客户气的吐血也不要紧,骂到狗血领头也无所谓,只要钱到手,一锤子买卖也无所谓,反正还有Client Service Partner来搽屁股
-=-=-=- 以下内容由 马甲8个2 在 2009年12月08日 11:51am 时添加 -=-=-=-
IT Advisory能干些什么?
IT Security,我倒是可以说一些内容,给你们解释各类项目的内容/我的经验以及知识点。IT Security大约可以分为两个领域,Information Security management方面和Information Security Technical方面。
Information Security Management的核心是ISO27000系列(一般人喜欢称为27001,其实是有区别的。27001只是27000系列的总纲,具体的某些方面的内容有002/003……很多内容,部分还在Draft中)。27000项目的后半部分实施和IT Audit思路相似,根据前期Risk Analysis的结果,Draft RCM,所有的Control是从27002里面选,不用自己想,需要补充一个Statement(SOA, Statement of Applicable)来解释为什么不选择27002中某些Control,然后把这些Control和客户现有环境中的Control对应起来,做一个Gap Analysis和Recommendation。然后让客户把这个Management System Run起来就可以了。当然,前期还有Draft一个很High Level的ISMS文件,ISMS文件的框架和必须包括的内容在27001里面有定义的。