[Chinese]安全管理过程中的执行力

安全管理很多依赖于企业自身的企业管理水平,如果剥去安全策略、管理制度和流程的完备性、前瞻性等技术因素的包装,其实,企业治理过程中最为重要的要素之 一 - 执行力,对安全管理同样非常关键,它决定了那些(可能漂亮或者不怎么漂亮、完备或者不怎么完备的)安全策略、制度流程等是否能够得到落实。实际上是安全效 率(efficiency) 和 安全有效性或效力(effectiveness)的问题。开发几尺厚的安全策略制度流程手册文档,购买千兆防火墙、IDS,上安全管理中心(SOC)等等 这些措施大多都是面向的安全效率,而如何能够保证所有的或关键的安全措施都能够坚守岗位(Stick)、按照策略运转是效力问题。

在2002年准备SOC项目时,考虑推出了“可视化”、“可量化”、“可管理”、“可运营”等几个概念,强调了企业信息系统中安全风险的可视化和可量化, 能够实用技术手段揭示“冰山水面下的部分”。“可管理”、“可运营”强调了安全管理与企业管理的融合,安全管理要走出去,加强沟通宣传,避免“曲高和寡” 的技术主导倾向,时刻要考虑组织职位流程方面的落地能力、可操作性。

这一切做法的出发点从本质上说与IT治理、企业治理的思路是一致的,安全管理不需要“重新发明轮子”,我们只需要多借鉴,多思考,很多安全问题其实可以寻求安全之外的经验知识来帮助解决。安全管理活动中需要注意提高“执行力”。

前些天翻阅了《朱元璋传》、《万历传》、《崇祯传》几本书,“考成法”的推行前后给我留下很深的印象。万历元年(1573),名相张居正推行考成法,明确 职责。他以六科控制六部,再以内阁控制六科。对于要办的事,从内阁到六科,从 六科都到衙门,层层考试,做到心中有数。改变了以往“上之督之者虽谆谆,而下之听之者恒藐藐”的拖拉现象。考成法的实行,提高了各级部门的办事效率,而且 明确责任,赏罚分明,从而使朝廷发布的政令“虽万里外,朝下而夕奉行”。
当然,对张居正本人、对崇祯、对袁崇焕等原来有很深印象的人物也有了重新的认识。就说张居正吧,”史载张居正先后送给冯保名琴七张,夜明珠九颗,珍珠帘五 副,金三万两,银二十万两。当冯保给自己修好生圹(墓穴)后,张居正亲笔给他写了《司礼监秉笔太监冯公预作寿藏记》,字里行间,极尽颂歌。终于换来了冯保 对他的鼎力相助,使他在权力斗争中击败高拱,当上了内阁首辅。张居正也因此才有机会施展自己的政治才能。”,这段描述其实和万历传中的张居正很一致的,中 央一台《故宫》节目中认为万历皇帝抄张居正家的重要原因之一是张居正的大量艺术收藏。张居正并不清廉,只是他的主体是好的,为国家作出了那么大贡献,把嘉 靖、隆庆留下的且“乱”且“穷”的状况,不几年就治理的国库充盈、国泰民安。袁崇焕也不想原来那样伟大了,好像跑题了,回来说安全管理。

安 全管理活动中,总部和管理层能够做到“谆谆而督之”的已经不多了,所以,“朝下而夕奉行”不是上多少ServiceDesk、Remedy、EOMS等 能够解决的。企业的管理文化很重要。大部分安全工作都是由非安全主管能够直接行政管理的同事完成的,现在推行萨班斯法案SOX符合性、重视系统生命周期 (SDLC)的安全、重视应用层安全,这些都是需要多个部门、多层次的参与才能够开展推行的。即使你作为安全主管已经拿到了管理层的尚方宝剑,想把工作做 的漂亮,除了找来各方资源将框架、规范、体系做的漂亮外,另外需要花心思、费精力的就是如何去“执行”“推进”了。

举两个加强有效性的做法 实例,第一个,某移动通信公司专设了安全审计员,用以审计安全策略的执行情况、帐号和访问权限的设置、补丁的分发安装等。 这样该移动通信公司不仅仅是采购了大量的防火墙、IDS、主机访问控制、SCC等软硬件,同时还在安全组织和有效性方面专门采取了措施,使得设备实际利用 效率、安全策略实际执行效力都有很大提升。第二个,提一下中国电信的全网安全演练,每年一度,设立实验演练环境,安排各省公司按照既定演练方案进行技战术 操作,从而实现不仅仅是纸面的安全策略、不仅仅是安装安全产品、不仅仅统计安全事件的数字。可贵的是,这种演练一直能够坚持。这里我们不去考察这样的“有 效性”措施实际执行过程中的“有效性”,虽然的确也需要保险的保险的保险。。。,审计的审计的审 计。。。:):):)

如何加强“执行力”很重要。安全管理主管能够做到“做不到不说”,“说到就要做到考核到”,不能只当个“言官”,而且还要去“追”“查”。逐步树立自身在管理上的权威性。

注:这一次我体会到了“抛砖引玉”的含义,没想到这篇杂文引来大家众多精彩的评论,也是始料未及。后面我将一些评论转贴于后,与大家共享。

注:本文还登在了zhaol.i170.cn上。

注:本文还登在了sbin.cn

13 Responses to [Chinese]安全管理过程中的执行力

  1. zhaol says:

    Cweek Christorphe的回复:

    学习历史而看如何在当今国企生存,其实真是一面镜子。

    张居正与冯保结识已早。明朝的太监不象我们想象中的太监那么的龌龊低级。明朝皇帝不直接与内阁联系,皇帝与内阁之间交换意见,是由一类叫做司笔太监的专职太监来沟通,这些太监,是挑选聪明伶俐的小孩,自幼净身入宫,陪着皇帝一起读书长大的,小时候是皇帝玩伴,大了帮助皇帝处理公文和国家政务,朱元璋不相信大臣,相信这些太监,冯保、郑和、魏忠贤都是这样的太监。

    张居正是万历的老师,冯保就是万历小时候的陪读太监,所以张也是冯的老师。在万历登基后,冯自然就成为了最大的太监。

    高拱是托孤重臣,但当老皇帝死了,万历还小时,他居然公然在内阁藐视皇帝权威,呵斥皇帝和冯保(他们在玩耍),并对皇太后的旨意置之不理,并公然告诉他的亲信称皇太后为妇人,所以张、冯和皇太后联合起来,一夜之间撤了高拱全部职位,当时万历还小,并没有参与。

    万历年间已经是明朝末期了,大厦将倾,当时东南沿海倭寇肆虐,一个30人的倭寇小团队,居然深入到安徽、江苏、江西、浙江,奔袭1400多公里,历时3个多月,而沿路官兵政府无一人敢与之作战,可见当时国家机构已经腐朽败坏。

    张居正在这种情况下,靠皇帝和皇太后对他的信任,加上联合冯保,实际上成为了独裁者,在这种独裁的权力下,他做了很多触动当时官员利益集团的事情,比如考核等等,这是他死后,立刻被整个官僚集团反击,最终被抄家的原因。

    所以我们看到:
    1、要得到最高领导人的绝对信任
    2、要勾结朝廷中最有实力的人(比如太监)
    3、要独裁
    才能做事情,而且即使如此,结果也是死后抄家!

    呵呵。。。。。。

    史料来源是《万历十五年》。

  2. zhaol says:

    我翻开“崇祯传”,急着看的两个部分,其一是崇祯如何除掉魏忠贤,其二就是袁崇焕之死了。

    袁崇焕,后来被定位成为民族英雄,又是碧血剑主人公袁承志同学的父亲,如何就被崇祯杀了呢?那么精明敬业的崇祯为什么要自毁长城呢?

    其实不完全怪崇祯,崇祯可不是昏君,不仅仅是因为袁崇焕妄言惑主(五年靖边),擅杀大将(毛文龙)等,更因为他不知道时刻保持与领导沟通,不够理解崇祯的“领导意图”。

    袁崇焕夸口5年搞定辽边,拿到所有的军政民大权,先斩后奏,还没有特别明确的军事胜利的情况下,杀了总兵毛文龙,这时的崇祯一边心里嘀咕,一边还是认可了袁的“擅杀”。

    可是后来清军绕过袁崇焕的重兵防御,直接杀往京城,袁崇焕没有坚决抗击,而是选择了蹑后跟踪,一直到清兵包围京师,导致京师震动。袁崇焕这些指挥都没有事先与皇帝沟通请示,埋下了祸根,中了清军的反间计。

    大家想想这个时候崇祯会如何想?我已经把几乎半个中国的军力都交到了你手里,你。。。

  3. zhaol says:

    Xfocus 上 Link的回复:

    同意赵粮的观点,做了甲方安全多年,深感企业的执行力对安全管理的可达成效果的或推进或制约的百种滋味。华为的安全管理达到了很高的水平,但这也是现阶段在国内绝大多数企业很难复制的,毕竟不是所有的企业有文化和制度上的保证可以支撑多数“非人性化”的策略落地。建议楼主可以看看黄仁宇的《万历十五年》、《关系千万重》,张居正、袁崇焕去掉了良臣、名将的脸谱后,采取了治国治军的有效甚至功利的方法,对企业的治理或有借鉴意义。希望楼主以自身的丰富阅历给安全界的朋友多提一些“有中国特色”的安全管理实践经验,能够在现今中国这个“人治”的企业环境中有一定效果地推进安全建设.

  4. zhaol says:

    谢谢 Link 的寄语!

    有时候作一个安全主管,前面费尽心机,做工作计划,后面费尽口舌,工作计划总算通过了,预算下来了。可是如何花好这笔钱、使项目各方都满意的确是个挑战。

    想想袁崇焕,一代名将,宁远一战,能够孤军挫败清军,炮击“敌酋”。不可谓不勇!可是后来的结局是为什么?我还是一个观点,不能全怪崇祯。

    现在有个方法学叫做“历史心理学”,从心理学的角度研究历史。我看的那几本什么“传”就是用这种方法研究写成的。

    有个项目,我们帮助客户方面的安全主管立项成功了,他刚上任半年,雄心勃勃,下决心避免前任主管几年毫无作为而被换将的教训,要作出一番成绩。当然我们也帮了厂商能够帮的忙。可是后来,人家提出了项目转型 -不管3721,要先拿一个7799的证书来,其它好商量。 当时我的直接反应就是:我不能看着他去犯错误。 😦

    行业中的第一个7799证书光彩吗?当然,领导、主管大家都脸上有光,成绩不在话下。可是转念一想,没有”扎实“的铺垫工作,工作并没有其它起色,突然给企业拿回一个证书,这时其它”言官“冷不防参上一本 : “好大喜功,糜耗饷银”!

    所以,做好一个完备的工作计划,参考业界的“最佳实践”,在踏实的基础工作上,追求“展现”,追求一下”包装“才可以理解,才能起到有些时候大家设想中的催化剂(catalyst)效果。

  5. zhaol says:

    xfocus 上 Blackhole的评论:
    to zhaol
    这点我认同link说的,有的时候变通手段无法避免,只要不涉及到一些大的原则,还是尊重客户的需求.其实客户的最高领导也不傻,证书有的时候也只是一个证书而已.大家都清楚,重要的是也许有了证书对安全建设会是一个助力.
    to link
    我觉得主要是看问题的出发点不同导致了大历史观的应用局限性.从一个长的时间段来回顾历史有他的道理,但是任何事情不能走极端,现在热衷一说历史事件or人物就用大历史观,这就有点过头了,比如前段时间盛行的反案风的背后或多或少就有这个影子.按照这个模式走下去,也许汪也只是没有时间而已,呵呵.

    再说一下我配合甲方作安全项目的一下体会,如果与甲方的安全主观建立了比较有效的沟通,并且在实施一些项目的时候,切记:安全主管的顺风旗不能扯足.因为但凡已经立了安全项目,设置了安全职位,公司的最高领导肯定是对安全投入有了认识和目标,这种如何作为乙方or安全主管要记住一条:欲速则不达.慢慢来,虽然短期看成果少了一点,但是如果能比较低调的作出一些改变来,还是很容易推广的.

  6. zhaol says:

    LINK的评论:

    与balckhole兄商榷:

    不知兄台以为的”反案风” 为何?确实,黄仁宇国民党军人出身而研究历史,或多或少会地会对本党的策略较为认可,其实从大历史观来讲,无非是要人们莫过早地”盖棺定论”.从更长期的历史实践中借鉴可资利用的经验,跳脱到更长的时间跨度分析种种合理性及必然性.开始,我也对所谓的”经世致用”之学颇不以为然,只觉做事庸俗化了,现在想来,在”可从数目字管理”的社会体制未构建成功之前,依仗”人治”的效力便无法回避.这也是蒋对王阳明,曾国藩,李鸿章的治学,治事从理论到实践一体奉行的内在原因.我们的chairmen毛其实也很看重,才有了”与人斗其乐无穷”.

    此前播过的,此谓”反案”的典型,迫于种种压力一部只从艺术价值上讲便超越同类的史剧就不见了踪影.其实想想在当时那种整个国家机构已经腐朽败坏掉的现实下,无论是曾的湘军,李的淮军,袁的新军,都是在以一人之力构建一个有别于”主流体制”的小环境,以个人的魅力和魄力最大程度地实现做事的目的.不同的是袁更有野心,难安于曾李”公忠体国”的层面.李鸿章”送鹦鹉”,”修园子”,借以得到太后的认可来发展”北洋水师”,实得与领导充分沟通而后行之妙也.

    讲到在企业的安全建设,执行力来自哪里,目前阶段能具备科学治理结构和强执行力的企业可谓少之又少,安全的推进既需要南洋张总督这样的”锦绣文章”给领导做面子,也需要北洋李中堂这样的”经世致用”的方法给企业做里子,不同企业不同阶段各有侧重而已.我们自己更想踏踏实实为企业安全管理做实事,可怎样才能修得李的那种”腾挪功夫”呢,唉,路漫漫其修远兮,吾等将上下而求索.

  7. zhaol says:

    xfocus上 blackhole的评论:

    呵呵,想不到一句感慨,引出兄台好见解.

    可能咱们在这个帖子讨论问题的出发点不一样,我是不排斥这种观点的:目的正确,手段可以稍有越轨.我想这个观点和你所说的应该没有矛盾or是一致的.

    这个观点落到作项目上和你上帖说的一致.我们要作项目必然要和方方面面进行妥协,从目前来说,安全主管的地位远远没有高到可以大刀阔斧的打到原有次序然后建立一个新世界的,这样就必然要存在妥协, 就需要兄台所说的经世致用”之学. 至于我们作项目时候的妥协.只要不超过一定范围都是可以容忍的.虽然有些手段从道理是讲是不对的.但是,既然不超过限度,那就接受吧.

    就比如销售,作某项目必须给xxx个人佣金,虽然这是现阶段必要的手段,而且从长远看,我们的工作也是为甲方or再大一点说为国家作出贡献的,可是我们不应该以此(给了佣金)为豪,对不?

    我说的反对反案是有感而发,前段时间很多人静静乐道于”为XX反案”,任何事情都不会光有错误的一面,或多或少都存在可以肯定的地方,但是如果一味拉大时间轴,津津乐道于从历史的角度看找到可以肯定的并且无限放大.这是我觉得所不对的.李鸿章送鹦鹉”,”修园子””签中日和约”做得对不对?放到当时or长远来看肯定有对的也有不对的,以前全盘否定和现在全盘拔高,我觉得都不是正确的作法.

  8. zhaol says:

    xfocus上icyblue的评论:

    黄仁宇地下有知,该作何感想?

    所谓执行力现在铺天盖地的讲,不错,理论上说,公司借鉴公认的标准、框架、原则,建立完备的公司政策、制度并细化为执行操作规范,然后尽力使用计算机系统和有效的监督运行机制,来实现公司运作的规范性,从而达到最大的安全性,这是目前的主流思路,SOX,ITIL其实都是这个思路的某种体现。
    问题是,这和数学,物理发展的逻辑是一样的,即,最基础的东西都是假设,公理即不可证明。即使是COSO的框架,最佳实践也罢,BSI/ISO也罢,其出发点是否是成本与效益的最佳结合点?
    有明一代,君权集中到了无以复加的程度,并非是行政权,而是皇帝本人至高无上不可侵犯的那种教条。执行力高的企业犹如一部快车,问题是开车的人必须任准道路与方向,否则危险只有更大。毛时代的中国,执行力够高吧?没有企业内部的适当的缓冲机制,谁能保证眼前的成功不会变成日后的包袱?

    ***********************
    * 夜给了我黑色的眼睛, *
    * 我却用它来寻找光明。 *
    ***********************

  9. lp says:

    嗯,企业文化是关键,国家政府和企业的文化是奖励面子工程,不奖励做实事的人,官场文化中业绩和面子工程最重要,所以导致了管理不利的问题
    中国人都是很实用注意的,老板看重这个,我何必花那么多力气去做别的?

  10. 我老了 says:

    同感。所以,能够突破这一点,建立起市场机制、performance based 文化和考核的公司就能够在执行力方面形成竞争力,从而脱颖而出。华为和TCl这样的公司就比很多竞争对手在执行力上胜出。

  11. […] 在上文“安全管理过程中的执行力”后,应同事要求改编了一份媒体版如下文,大家看看媒体版和Blog版的区别: […]

  12. Richard says:

    This post was pasted more than one year ago. A lot of things and thinkings apprear in mind when I read it again when I try to move my blog to sinb.cn from wordpress.com. Yes, execution is very critical. Then how to get your idea approved, sponsored, funded and supported by guys from business and your IT colleagues? Without enough resource and support, you can not do anything.

  13. […] 在上文“安全管理过程中的执行力”后,应同事要求改编了一份媒体版如下文,大家看看媒体版和Blog版的区别: […]

%d bloggers like this: