*本文作者:lywhiz,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。
前言
最近在看一些IT治理和企业管理的资料,觉得这种管理层面的理论更偏向于宏观层面,考虑的更为广泛和细致,而且老外的思维和我们确实不太一样,有时候要一改之前的思考方式,换角度看问题,去年看《GDPR》的时候,真的是佩服这帮编写者的逻辑缜密性。进来准备备考CGEIT和CISM,所以比较关注治理方面的体系和方法。加上今日拜读了2019政府工作报告,想到了一些东西,随笔写了本文。有不当或不足之处,请各位指正。
摘要
下边会从以下这些方面从客观角度说说能够想到的问题,具体如何解决要企业结合实际情况来看。说道治理这个层面,真正涉及到技术的东西少了很多,更多的都是管理学的技术手段。
战略层面 | 管理层面 | 其他层面 |
---|---|---|
结构优化
科学发展、高质量发展 创新和成果 融资与资金流 稳投资、稳增长 风险管理 财务优化 |
工作多而频,无实际收益
简化流程 增收入 文化建设 监管体制 灾难应对能力保障 善聚善用人 |
内外部关系
培训 老旧设施更新 资产折旧与更新周期合理化 消除“新人不管旧事“做法 工作环境改善 |
战略层面
组织结构
一个好的组织架构可以给公司正确的方向指引,推动企业想着目标前进。这部分参考COBIT5(下文简称C5)的建议。按照西方企业治理的理念,首先企业的利益相关方会制定战略目标,公司未来的工作都将以此为主展开,IT治理讲的是企业IT战略目标要符合公司战略目标,IT是推动企业实现目标的动力而不能是企业发展的瓶颈或阻力。简单来说,技术、创新、流程、文化、绩效都是为了实现利益相关方制定的目标,最终都是为了获得收益,创造价值。同时也要落实责任制,以便追责。C5中建议在战略层面的实践应包括:
信息安全政策
访问控制政策
人力信息安全政策
物理和环境信息安全政策
事件管理政策
业务连续性和灾难恢复政策
资产管理政策
行为准则(可接受使用)
信息系统获取,软件开发和维护政策
供应商管理政策
通信和操作管理政策
合规政策
风险管理政策
企业中,信息安全角色至少应包括:
首席信息安全官,负责企业信息安全项目;
信息安全指导委员会,通过监控和审查,确保信息安全良好实践在企业有效且持续应用;
信息安全经理,负责信息安全管理工作;
企业风险管理委员会,以增加企业利益相关者短期和长期价值为目的,负责企业评估、控制、优化等决策,并监控所有风险;
信息托管人,业务和信息安全部门之间的联络人。
科学发展、高质量发展
这部分一般是国家层面才会提到,作为企业可能没有到达这种高度,单后质量一直是重点。避免一些垃圾项目和无效投入,多做可复制可拓展的项目,做好有效投资,不要盲目为了好看的报表去强行促成项目与合作。
创新和成果
这部分是比较难的,大多私营企业都是在重复着同样的工作,维持现状,可以养活自己就够了。而大多事业单位拿一些虚假成果当做创新,申请专利和奖项,为了体现业绩和实力。现在我们缺乏太多的创新和刻苦精神,太注重表明的虚假繁华。要知道,真正推动经济发展的是创新(包括技术),提升生产力才能有所进步,不然只是停留在原地踏步,又能有什么贡献。
另一个方面,创新需要时间和资金,本人在基层和私企都呆过,很清楚想要静下心学点东西,研究点东西有多难,一会这个叫你,一会那个找你,不是琐事就是项目进度。希望企业如果想要创新成果,起码你要给这些人一些研究的时间和经费,不要让研究人员两周出一个创新技术专利。
融资与资金流
这部分只提一句,非金融行业的,不敢乱说。公司资金流很重要,尤其微小企业,保证资金链就是保住命,近年来国家一直在鼓励创业并放开微小企业的融资贷款政策。起码保持负载率和资金流动比在合理的比例范围。
稳投资、稳增长
同样是看报告想到的,了解的一些公司扩张可以用疯狂形容。但实际上,你的业务真的达到这种规模么?拿星巴克来说,1-2线城市,同一个商场至少2家店铺,每个店铺4-10人。那么,问题来了,拿2线城市来说,人均工资服务业基本都在4-6k,而星巴克店员平均薪资大概是3-4k,经常倒班,这就造成了人员流动,而且速度很快,很多时候都是人员不足1个人顶2个人干,全年忙着招人。我觉得这种运营方式本身就有问题,时间久了,怕是要出事的。再就是某家房产服务公司,之前上了新闻,给租客办信用卡,提前预支房租去搞扩张,最后资金链断裂,爽了。这种基于求成,揠苗助长的增长,只能带来一时的短期效益,不可能长久持续。想想,国家GDP都开始稳定在6-7个点了,作为企业每年都想效益翻倍,怕是不太现实吧。(个别企业除外)
风险管理
这部分主要是针对公司风险,讲求防风险、可控、有序、适度化解风险。保证企业有能力识别运营、财务、投资、资源、IT方面的风险,对于风险的潜在影响可以控制在可接受范围,针对不同风险划分优先级,有序处置。风险不可能完全根除,随着时间风险的等级会发生变化,所以更多的是化解风险,降低风险,持续观察,随意警惕。
有位大佬提到一个概念,弱点管理,我觉得说的很好。
弱点管理不是弱点评估。弱点评估对应我们熟知的弱点扫描工具,包括系统漏扫、web漏扫、配置核查、代码扫描等。而弱点管理是在弱点评估工具之上,收集这些工具所产生的各类弱点数据,进行集中整理分析,并辅以情境数据(譬如资产、威胁、情报等),进行风险评估,并帮助安全管理人员进行弱点全生命周期管理的平台。记住,弱点管理是平台,而弱点扫描是工具。
另外,Vulnerability Management我一直称作“弱点管理”,而不是“漏洞管理”,是因为弱点包括漏洞,还包括弱配置!如果你认为Vulnerability应该叫做漏洞,那也没关系,但不要把弱配置落掉。这部分有兴趣的可以去看下Gartner的CARTA(Continuous Adaptive Risk and Trust Assessment)安全项目。
财务优化
财务上避免一些浪费情况,可以主要通过一些流程和制度进行控制。比如商务阶段的招待,关系费用。还有一些无效的市场活动、计划项目和岗位设置。在保证经济效益的前提下,加强企业盈利能力,降低负债,提升员工工作热情和责任感。重视企业资金管理,加大管理力度,转变理念,完善管理制度,加大财务管理人才培养。
管理层面
工作多而频,无实际收益
减少各种大会小会,减少重复性无效工作(没有收益),减少无效输出物。一天到晚各种会议,不是说企业重视工作,而是企业根本不知道要干嘛,三天两头更改策略,一会一个想法。如果真正目标明确,团队分工明确,按计划推进工作,每周一次集中会议(小于1小时)足矣。再来就是乙方中常见的各种项目支持,为了促成项目硬上,反正资源用的是公司的,提成是自己的,搞不定再去搞下一家。不明确甲方需求和意图,前端与后端自己想自己的事,毫无配合,5成的输出都是无用功。
报告中原文提到:“各级政府要坚决反对和整治一切形式主义、官僚主义,让干部从文山会海、迎评迎检、材料报表中解脱出来,把精力用在解决实际问题上。压减和规范督查检查考核事项,实施“互联网+督查”。减少开会和发文数量,今年国务院及其部门要带头大幅精简会议、坚决把文件压减三分之一以上。”
简化流程
流程建设是必要的,但复杂的流程是没有必要的。这方面讲究的是覆盖要全,过程简单,有记录可查。而不是要各种审核,各种讨论,有时甚至个别审批还要小恩小惠去求人。这不是流程管理所提倡的。
详细的流程管理在C5中有详细介绍,有兴趣的可以去看下《COBIT5 for info security》,主要是将信息安全层面的企业流程体系。
增收入
企业为了节约成本一般都会压缩工资成本,这也是常见的问题,也可以理解。所以目前就是人员流动频繁,哪家给的多我就去哪家。大多公司会按照本市最低工资标准给员工缴纳五险一金,个别大厂和外企一般都会按全额缴纳。其实不要求企业给员工全额缴纳保险,完全可以提高1-2档,不按最低档即可,这样一来对人员稳定性会有一定保障。况且今年国家政策,企业缴纳的养老金比例可以调整到16%,国家层面也是希望能够进一步提高人民福利。
文化建设
这部分能说的内容太多,但大多都是政治层面的东西,所以简单提一句,打个比方,一群有信仰的人和一群临时召集的人,哪批更好领导,更好管理,这个道理很简单吧。
监管体制
只提一点,避免企业内部拉帮结伙,不同阵营的互相争斗牟取私利,影响工作环境和企业形象。
灾难应对能力保障
企业必须做好BCP和DRP,确定符合自身环境的RTO,同时要定期演练。这是在IT层面的灾难应对。此外也不要忽视其他方面的应对保障,比如财务、市场、政策和突发状况(自然或市政,举个例子:工程队挖断光缆)。
善聚善用人
有目的有计划的招聘人员,针对个人特点重点培养和设置岗位,不要硬把一个搞代码审计的拉去做网络设备调试,还很霸气的说,要人员复用,提升能力,各方面都要会。如果真的可行,那中科院一所就好了,何必细分那么多个所。作为管理者,要有一定管理能力,有凝聚力,能够带领团队迎接各种挑战。
做企业要求真务实、不浮华,以推动公司发展的成果说话,以干事创业的实绩交卷。健全激励约束机制和尽职免责机制,营造员工愿干事、敢干事、能干成事的环境。
其他层面
内外部关系
内部部门间、部门内、管理团队内的关系管理;外部合作方、第三方服务商/供应商、客户企业、监管机构、兄弟单位、技术院所的良好关系建立及维持。
培训
年度培训计划,内部技能培训、经验分享、案例分享等;外部聘请第三方对某些岗位进行专业化培训。实现在各个方面都有过硬的技术人才和管理人才,形成互补,重要岗位设立AB岗。在培训方面每年预留相应预算,一是提升员工个人能力胜任工作,二是提高员工自身价值(比如考取CISSP认证),员工与企业共同成长。
老旧设施更新
每年定期对公司所在建筑或地区进行基础设施检查(可以委托专业人员),对于一些老旧的设施(管道、水、电、气之类)及时联系管理方(如果是公司自己的用地可以自行更新)进行更换和维修,以免突发状况影响业务,造成未预期的损失。
资产折旧与更新周期合理化
比较好了解,以IT部门为例。为员工提供的办公设备(电脑、外设),一般3年左右更换一次。有些公司一批笔记本可以用5-7年,已经无法满足日常工作需求,但为了省钱就是不报废。有的公司钱多,新设备用1年多就报废换新,浪费资源。设置合理的更新周期,满足工作需要,不要太长,也不要太短。
消除“新人不管旧事“做法
两个方面,一是工作交接,前员工因某些原因交接工作不完整,后续接手人员完全不知道如何着手,导致该岗位涉及的工作一片混乱(其中包括第三方开发商员工跑路,后续系统相关信息无人知晓);二是新管上任,前任的烂摊子与我无关,我只做我想做的,历史遗留问题搁置无人解决。
工作环境改善
员工办公室环境清新,工位面积足够,设置专门的吸烟点,新装修或新采购桌椅柜台,要保证有害物质浓度符合正常标准后,再投入使用。
结语
以上是从各个层面所能想到的一些需要考虑的问题。
国家方针尚且如此,作为企业还抱着以前那种只求自己盈利,不顾员工死活的做法早已不可取。最后,引用报告中的一段话:
从根本上说,市场活力和社会创造力源于亿万人民积极性的发挥。要坚持以人民为中心的发展思想,尽力而为、量力而行,切实保障基本民生,推动解决重点民生问题,促进社会公平正义,让人民过上好日子。中国人民勤劳智慧,具有无限的创新创造潜能,只要充分释放出来,中国的发展就一定会有更为广阔空间。
*本文作者:lywhiz,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。
来源:freebuf.com 2019-03-15 08:00:19 by: 宇宸de研究室
请登录后发表评论
注册