[原創(chuàng)]鎖好門的制度也許比設(shè)一個(gè)復(fù)雜密碼的要求更安全

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

《中國(guó)IT治理與安全大會(huì)》11月22日在上海舉辦。我把這個(gè)消息告之同事，他看了日程安排之后說(shuō)：“這個(gè)會(huì)值得一去。”的確，大會(huì)10個(gè)演講將當(dāng)日日程擠的滿滿，而我頭一次在下午的演講中沒有犯困。

大會(huì)日程如下：

1. IT治理----聚焦IT投資組合，關(guān)注IT價(jià)值；
2. IT治理---IT運(yùn)維管理；
3. 信息安全在中國(guó)的發(fā)展和趨勢(shì)；
4. 信息安全的架構(gòu)；
5. 在開放的世界中，保護(hù)您的業(yè)務(wù)與價(jià)值；
6. 全球IT治理與安全調(diào)查報(bào)告；
7. 優(yōu)化IT基礎(chǔ)架構(gòu)，改善IT生態(tài)系統(tǒng)；
8. 微軟安全戰(zhàn)略解決方案，助力應(yīng)對(duì)行業(yè)業(yè)務(wù)挑戰(zhàn)；
9. 企業(yè)信息化建設(shè)階段與IT治理體系的應(yīng)用；
10. IT治理與IT審計(jì)。

我看著投影幕布上的“IT治理與安全”幾個(gè)字，心里一直在想個(gè)問題：IT治理為什么要和安全放在一起？

早些年，IT和業(yè)務(wù)的關(guān)系不甚緊密。什么治理、安全的都沒和IT沾上邊?，F(xiàn)在不同了，無(wú)論走到哪里我們都能聽到IT與業(yè)務(wù)的整合聲音。“IT已經(jīng)成為企業(yè)業(yè)務(wù)發(fā)展和管理不可或缺的組成部分，其作用和影響力已從單一的業(yè)務(wù)部門擴(kuò)展到企業(yè)與組織的每一個(gè)領(lǐng)域。”這句話聽起來(lái)舒服，但是不由得又多想了一點(diǎn)。這種不可或缺是不是連電話線壞了都要來(lái)找IT部門呢？這是親身經(jīng)歷過的一件事，那年我在溫州給一家酒店做實(shí)施。業(yè)務(wù)部門電話線的問題都要找IT部門的人來(lái)解決。

隨著業(yè)務(wù)對(duì)IT的依賴越來(lái)越強(qiáng)，IT也越來(lái)越受到關(guān)注。但是如果就此認(rèn)為IT將生活在“鎂光燈”下的話，那么我認(rèn)為你錯(cuò)了。因?yàn)?ldquo;在先進(jìn)的IT系統(tǒng)給企業(yè)帶來(lái)活力、利潤(rùn)和競(jìng)爭(zhēng)力的同時(shí)，也給企業(yè)帶來(lái)了新的風(fēng)險(xiǎn)”即日益依賴IT系統(tǒng)的業(yè)務(wù)可能會(huì)面臨因IT系統(tǒng)故障導(dǎo)致業(yè)務(wù)災(zāi)難的風(fēng)險(xiǎn)。不僅如此，IT的故障與失誤還會(huì)對(duì)企業(yè)價(jià)值和聲譽(yù)造成嚴(yán)重的影響。即使IT能夠?yàn)槠髽I(yè)創(chuàng)造新價(jià)值，減少成本，但是IT也存在巨大投資和巨大風(fēng)險(xiǎn)的短板。確切地講，IT越受關(guān)注，IT的日子就越是如履薄冰！于是“如何最大限度地降低IT對(duì)業(yè)務(wù)的負(fù)面影響與風(fēng)險(xiǎn)，使IT系統(tǒng)充分為企業(yè)戰(zhàn)略目標(biāo)服務(wù)，獲得IT價(jià)值最大化，是每個(gè)企業(yè)都必須要認(rèn)真面對(duì)的IT治理與安全問題”就成為今天會(huì)議的主題。

來(lái)自香港的ISACA全球副總裁任家明給出IT治理一個(gè)定義，即IT治理是公司董事、管理層、IT管理這的職責(zé)，是公司治理的一個(gè)組成部分。包含領(lǐng)導(dǎo)力、流程、制度和機(jī)制，以確保IT延續(xù)性和拓展性的戰(zhàn)略發(fā)展目標(biāo)。我原本也是這么理解IT治理。但是從這個(gè)定義中還是沒明白IT治理與安全之間的關(guān)系。一直到微軟的安全技術(shù)顧問演講時(shí)才想到二者之間的關(guān)系在哪里。

剛才說(shuō)了IT在帶來(lái)活力、利潤(rùn)和競(jìng)爭(zhēng)力的同時(shí)也帶來(lái)了風(fēng)險(xiǎn)。什么是風(fēng)險(xiǎn)？Virus是，Trojan是，Worm也是，除此之外還有什么？微軟顧問的ppt上面提到了一些非IT技術(shù)帶來(lái)的風(fēng)險(xiǎn)，但是離的太遠(yuǎn)看不清楚沒記下。不過從演講的內(nèi)容還是能猜到那些非技術(shù)原因帶來(lái)的IT風(fēng)險(xiǎn)。身份管理疏漏帶來(lái)的IT風(fēng)險(xiǎn)，人員變動(dòng)帶來(lái)的IT風(fēng)險(xiǎn)等等。有風(fēng)險(xiǎn)就要預(yù)防風(fēng)險(xiǎn)，預(yù)防IT風(fēng)險(xiǎn)就是IT安全需要考慮的范圍。在安全的理解上就不再是殺毒軟件和防火墻之類的概念。

最后找到我心中這個(gè)問題的答案是聽了AMT咨詢總監(jiān)彭一的演講。他的一句話給我做了最好的解釋?，F(xiàn)總結(jié)如下：IT治理的目的是通過流程、制度和機(jī)制的約束使得企業(yè)在一個(gè)變動(dòng)的環(huán)境中能夠保持IT的穩(wěn)定性。不論是人員變動(dòng)，還是流程改變，只要有嚴(yán)格的制度存在，那么就能將各種變動(dòng)因素帶來(lái)的IT風(fēng)險(xiǎn)降至最小。風(fēng)險(xiǎn)小了，IT的安全性自然就大大增加。IT治理為IT安全提供了制度、流程和機(jī)制上的保障。鎖好門的制度也許比設(shè)一個(gè)復(fù)雜密碼的要求更安全。

IT治理不是單獨(dú)的一項(xiàng)管理工作。有一句話要作為IT治理的前提牢記在心：IT治理必須在公司治理的大環(huán)境下才能取得成效。切記、切記！