[原創(chuàng)]鎖好門的制度也許比設一個復雜密碼的要求更安全

申請免費試用、咨詢電話：400-8352-114

《中國IT治理與安全大會》11月22日在上海舉辦。我把這個消息告之同事，他看了日程安排之后說：“這個會值得一去。”的確，大會10個演講將當日日程擠的滿滿，而我頭一次在下午的演講中沒有犯困。

大會日程如下：

1. IT治理----聚焦IT投資組合，關注IT價值；
2. IT治理---IT運維管理；
3. 信息安全在中國的發(fā)展和趨勢；
4. 信息安全的架構；
5. 在開放的世界中，保護您的業(yè)務與價值；
6. 全球IT治理與安全調查報告；
7. 優(yōu)化IT基礎架構，改善IT生態(tài)系統(tǒng)；
8. 微軟安全戰(zhàn)略解決方案，助力應對行業(yè)業(yè)務挑戰(zhàn)；
9. 企業(yè)信息化建設階段與IT治理體系的應用；
10. IT治理與IT審計。

我看著投影幕布上的“IT治理與安全”幾個字，心里一直在想個問題：IT治理為什么要和安全放在一起？

早些年，IT和業(yè)務的關系不甚緊密。什么治理、安全的都沒和IT沾上邊?，F(xiàn)在不同了，無論走到哪里我們都能聽到IT與業(yè)務的整合聲音。“IT已經(jīng)成為企業(yè)業(yè)務發(fā)展和管理不可或缺的組成部分，其作用和影響力已從單一的業(yè)務部門擴展到企業(yè)與組織的每一個領域。”這句話聽起來舒服，但是不由得又多想了一點。這種不可或缺是不是連電話線壞了都要來找IT部門呢？這是親身經(jīng)歷過的一件事，那年我在溫州給一家酒店做實施。業(yè)務部門電話線的問題都要找IT部門的人來解決。

隨著業(yè)務對IT的依賴越來越強，IT也越來越受到關注。但是如果就此認為IT將生活在“鎂光燈”下的話，那么我認為你錯了。因為“在先進的IT系統(tǒng)給企業(yè)帶來活力、利潤和競爭力的同時，也給企業(yè)帶來了新的風險”即日益依賴IT系統(tǒng)的業(yè)務可能會面臨因IT系統(tǒng)故障導致業(yè)務災難的風險。不僅如此，IT的故障與失誤還會對企業(yè)價值和聲譽造成嚴重的影響。即使IT能夠為企業(yè)創(chuàng)造新價值，減少成本，但是IT也存在巨大投資和巨大風險的短板。確切地講，IT越受關注，IT的日子就越是如履薄冰！于是“如何最大限度地降低IT對業(yè)務的負面影響與風險，使IT系統(tǒng)充分為企業(yè)戰(zhàn)略目標服務，獲得IT價值最大化，是每個企業(yè)都必須要認真面對的IT治理與安全問題”就成為今天會議的主題。

來自香港的ISACA全球副總裁任家明給出IT治理一個定義，即IT治理是公司董事、管理層、IT管理這的職責，是公司治理的一個組成部分。包含領導力、流程、制度和機制，以確保IT延續(xù)性和拓展性的戰(zhàn)略發(fā)展目標。我原本也是這么理解IT治理。但是從這個定義中還是沒明白IT治理與安全之間的關系。一直到微軟的安全技術顧問演講時才想到二者之間的關系在哪里。

剛才說了IT在帶來活力、利潤和競爭力的同時也帶來了風險。什么是風險？Virus是，Trojan是，Worm也是，除此之外還有什么？微軟顧問的ppt上面提到了一些非IT技術帶來的風險，但是離的太遠看不清楚沒記下。不過從演講的內容還是能猜到那些非技術原因帶來的IT風險。身份管理疏漏帶來的IT風險，人員變動帶來的IT風險等等。有風險就要預防風險，預防IT風險就是IT安全需要考慮的范圍。在安全的理解上就不再是殺毒軟件和防火墻之類的概念。

最后找到我心中這個問題的答案是聽了AMT咨詢總監(jiān)彭一的演講。他的一句話給我做了最好的解釋?，F(xiàn)總結如下：IT治理的目的是通過流程、制度和機制的約束使得企業(yè)在一個變動的環(huán)境中能夠保持IT的穩(wěn)定性。不論是人員變動，還是流程改變，只要有嚴格的制度存在，那么就能將各種變動因素帶來的IT風險降至最小。風險小了，IT的安全性自然就大大增加。IT治理為IT安全提供了制度、流程和機制上的保障。鎖好門的制度也許比設一個復雜密碼的要求更安全。

IT治理不是單獨的一項管理工作。有一句話要作為IT治理的前提牢記在心：IT治理必須在公司治理的大環(huán)境下才能取得成效。切記、切記！