[Chinese]安全运营中的执行力(媒体版)

在上文“安全管理过程中的执行力”后,应同事要求改编了一份媒体版如下文,大家看看媒体版和Blog版的区别:

在安全建设过程中,很多企业都乐于购买安全咨询服务来帮助建立基本的、或者相对全面的安全策略体系,通常会覆盖反病毒管理、安全事件紧急响应、安全风险管理、第三方安全、终端用户管理、口令管理、数据安全、应用安全、邮件安全等等。这些都对企业安全管理水平的提升起到了积极的作用。但是我们也注意到很多企业购买服务后制定的这些策略都千篇一律,企业管理者抱怨落地性不好。这种现象背后的原因可能是两种:其一是安全服务商自身能力不够或者资源投入不够,导致对企业安全管理的环境不够了解,无法开发出更有针对性、更有效力的策略制度体系;另外一种原因就是企业自身的管理成熟度不够高,或者执行力不够,导致双方的项目目标与实施效果有相当差距。

其实上述现象并不是安全管理活动所独有的,由于执行力不好从而导致战略失败的例子比比皆是。安全管理在很大程度上依赖于企业自身的企业管理水平。所以,我们也经常看到运作良好的企业其安全策略和管理制度也容易推行;同样的安全策略与制度可能在官僚主义盛行、效率低下、动作迟缓的企业就会失败得很彻底。所以,安全主管在制定自己的安全规划和项目建设过程中,不但注意考察产品和技术的成熟度、还需要对比企业自身的管理成熟度和执行力,来制定相应的制度流程,以便于安全管理与产品和技术相辅相成,比翼齐飞。

以安全管理中心的建设为例,我们曾经提出了“可视化”、“可量化”的概念来强调企业信息系统中安全风险的可视化和可量化,如何充分利用技术手段揭示“冰山水面下的部分”。同时,提出“可管理”、“可运营”的概念强调了安全管理与企业管理的融合,安全管理要走出去,加强沟通宣传,避免“曲高和寡”的技术主导倾向,时刻要考虑组织、职位、流程、资源方面的落地能力、可操作性。

这些做法的出发点从本质上说与IT治理、企业治理的思路是一致的,安全管理不需要“重新发明轮子”,我们需要多借鉴,多思考,很多安全问题其实可以寻求安全之外的经验知识和最佳实践来帮助解决。

安全执行力的来源可以是多方面的,安全主管可以考虑以下措施:

  1. 与管理层和IT运维人员加强沟通,将所有的安全制度和措施置于企业的业务背景、IT背景、生产运行背景下。
  2. 经常性的安全培训和教育,使安全威胁和风险的概念深入人心
  3. 安全制度和措施的施行坚持“言必践,行必果”,发布的制度措施都有相应的跟进和考查
  4. 坚持“分阶段、持续性投入”和实施后评审,对于安全项目建设和措施颁行的效果进行综合评估,实现有效的PDCA螺旋式上升

CA公司提供的IT运营与安全运营管理工具和咨询服务可以帮助客户建立整套的IT和安全运营管理体系以及支撑平台,帮助跟踪和提高各种运营流程制度的有效性,如附图所示。详细情况请访问CA公司中国网站http://www.ca.com.cn.

This post was also published at sbin.cn.

technorati tags: , , , , , ,

Comments are closed.

%d bloggers like this: