信息技术从其诞生@@,一直至今@@,绝大多数的@@企业和个人都认识到了它的@@威力@@。信息技术的@@魔力和信息技术黑洞就像一对孪生兄弟@@,成为信息化建设过程中一对由来已久的@@矛盾@@。要投资@@IT吗@@?要搞信息化建设吗@@@@?答案都是肯定的@@@@,可是到底如何才能使其回报对得起自@@己的@@投入呢@@?
在@@如今的@@信息化水平下@@,即便是国外较为发达的@@状况下@@,一谈@@到@@IT相关问题@@,大多数人想到的@@仍然是管理与@@控制@@,而不是@@“治理@@”。
国外尚且如此@@,那么国内呢@@?我们到底需不需要@@IT治理@@呢@@?IT治理@@真的@@只是一个概念吗@@@@?IT治理@@的@@确@@“上能通天@@”,可是对于务实的@@中国@@CIO来讲@@,更需要的@@是@@“下能达地@@”。
“中国式@@”IT治理@@
我们必须承认一点@@,IT治理@@的@@确@@不是企业的@@任何发展阶段都需要的@@@@,而是企业信息化发展到一定阶段的@@产物@@。一个尚处于手工管理信息@@,或者@@IT投资额所占比例不大@@,影响较弱时@@,谈@@IT治理@@有@@些过于@@“阳春白雪@@”。
但企业要想强大@@—解决了生存问题再图谋更大发展时@@,IT治理@@的@@作用就非常突出@@。
中国的@@企业是否需要@@IT治理@@,不能一概而论@@。事实上@@,目前已有@@一些我国企业正在@@或已经实施了@@IT治理@@,只不过有@@些不这么称呼罢了@@,毕竟信息化建设越深入就越演变成一种变革@@,要的@@只是实际效果@@。比如政府@@的@@金财工程也提出了@@IT治理@@模型@@,中化集团在@@@@CIO彭劲松的@@领导下也实施了基于@@COBIT的@@IT治理@@实践@@,再比如深圳三九医贸公司的@@@@CIO李士峰提出成立@@IT项目委员会负责公司所有@@@@IT项目的@@审批@@、验收@@、资金控制@@、人员职权和考核等@@@@,拉开了@@IT治理@@的@@帷幕@@。同时@@,IT治理@@在@@中国@@会遇到许多国外没有@@的@@特殊困难@@,也是不容回避的@@事实@@。
2007年@@5月@@31日@@,中国网通集团所属的@@中国网通集团@@(香港@@)有@@限公司以零缺陷的@@测试结果通过了普华永道会计事务所对其财产报告的@@内控审计@@,成为率先过关美国@@《萨班斯@@—奥克斯利法案@@》404条款@@的@@国内电信运营商@@。有@@人说@@,这标志着国内运营商开始进入@@“后法规遵从@@”时代@@,运营商将面临审计合格后的@@持久性内控建设@@。
实际上@@,自@@2004年@@年@@末@@,网通就开始推进内控体系建设@@,确立了风险管理与@@内控体系建设的@@指导原则和实施步骤@@。作为公司萨班斯@@法案小组组长的@@网通@@CFO李福申曾表示@@:“原来我们过度地把西方的@@东西看成和中国的@@水火不容@@,其实并不一定如此@@。不要僵化地理解和执行美国的@@公司治理@@和@@404条款@@,一定要和所在@@国家的@@实际情况相结合@@。”
黄先生是国内某银行软件开发部的@@成员@@,作为软件的@@开发者@@,他对软件开发过程中的@@安全和和法规遵从两方面都不太感兴趣@@。他说@@,“这不是我们考虑的@@问题@@。法规遵从是在@@业务部门提需求时@@,银行的@@法律合规部门介入@@,看提出的@@需求符不符合法律的@@需要@@。我们只需要满足业务部门的@@需求@@——业务部门都很强势@@,只要按时把项目完成@@,其他都可以忽略@@。”
在@@中国@@,有@@很多有@@中国特色的@@特例@@。很多情况可以轻描淡写用一句话带过@@,那就是国情不同@@。但从某种程度上来说@@,是否重视安全和法规遵从@@,反应了企业对这两个问题的@@态度@@。企业要意识到@@IT治理@@不是一个部门的@@问题@@,而是整体的@@一个架构@@。真正的@@安全应该是端到端@@的@@整体安全@@,随着企业的@@整体安全越来越被关注@@@@,也许@@,企业的@@软件开发部应该和法律合规部一起思考这个问题@@。毕竟在@@软件开发期间把这个漏洞找出@@,成本会大大降低@@,很多用户缺少的@@是提前防御的@@意识@@。
一些国际厂商也在@@对用户宣扬这样的@@理念@@。IBM公司在@@@@2007年@@7月@@20日@@对外公布完成了对@@Watchfire公司的@@收购@@,在@@Rational软件中加入了安全和法规遵从的@@部分@@。在@@软件开发的@@源头加入控制安全和法规遵从@@,也许@@可以使软件更安全@@。但要想使企业更安全@@,需要改变的@@是人的@@意识@@。
我们需要全新的@@安全@@
再来说说安全@@,对于企业来说@@,安全问题无疑是一个至关重要的@@问题@@。在@@中国@@,只要你不去美国上市@@,萨班斯@@—奥克斯利法案@@好像离我们很遥远@@。而在@@美国@@,企业都会被要求对公司实施安全方面的@@控制@@,否则@@CIO、CEO会受到仅次@@于谋杀罪名的@@法律制裁@@。新加坡的@@一家银行@@,有@@500个小额帐户的@@信息被泄露@@,导致@@40000个用户觉得此银行不安全@@,把自@@己的@@资金转走@@。500个小额帐户和@@40000个用户相比@@,储户更在@@乎的@@显然是对银行的@@信心@@。即使是一些比较著名的@@公司@@,包括杜邦@@@@、黑莓@@、CNN等@@,也都在@@过去几年@@中遭遇过安全方面的@@危险@@。杜邦@@、黑莓@@、CNN面临的@@威胁都是来自@@于外部@@,而内部的@@风险往往都是来自@@于内部的@@成员没有@@很好的@@遵循内部的@@规范@@。
据研究统计表明@@,差不多有@@@@85%的@@安全或风险问题@@,都来自@@于企业的@@内部@@。而这些风险很大一部分都是来自@@于企业内部跟@@IT相关的@@管理@@,也就是说现在@@越来越多的@@客户认识到安全管理或防范不只是构建一道外界防御的@@工具@@。
IBM全球治理@@与@@风险管理的@@战略总监@@Kristine Lovejoy曾经是一家媒体的@@编辑@@,一次@@她去参观一位用户的@@数据中心时@@,工作人员向她开放了自@@己的@@全部设备@@。其中@@,路由器就放在@@门口放衣服的@@地方@@,没有@@引起企业的@@重视@@。举这个例子@@,Kristine想说明@@,在@@一个企业中@@,员工的@@信息如果不进行量化@@,会造成很大的@@风险@@,因为他们不知道什么是可以透露的@@信息@@,什么是不能泄漏的@@信息@@,以及他们的@@安全级别@@。
根据一家研究机构的@@统计@@,80%的@@CIO认为企业的@@安全措施要从头开始@@。用户采购了很多相关工具@@,但是他们互相不关联@@,不集成@@,应用起来比较复杂@@。传统的@@点到点的@@安全解决方案不再起作用@@,容易造成数据孤岛和冗余成本@@,并且复杂性高@@、资产应用低效@@。用户需要一种全新的@@@@,基于流程的@@安全管控方式@@。
有@@鉴于此@@,很多企业开始推广全新的@@端到端@@安全解决方案@@。华为和北电都推出了针对网络的@@端到端@@安全解决方案@@。2006去年@@@@10月@@,IBM耗资十二亿美元收购了@@ISS,并随即开始将@@ISS与@@IBM全球信息科技服务部原有@@的@@企业@@IT安全服务能力进行无缝整合@@,以期充分利用@@ISS主动防御集成安全平台@@以及前瞻性安全解决方案@@,完善与@@强化@@IBM的@@整体安全架构体系@@。
我们今天所处的@@复杂@@IT环境决定@@,任何局部的@@@@、支零破碎的@@安全技术或方案都不足以应对形形色色的@@风险问题@@。企业需要的@@是由最先进的@@产品和技术组成的@@@@‘端到端@@’的@@风险管理解决方案@@,只有@@这样他们才能确保业务数据的@@安全@@,并获得对法规遵从性的@@管理@@。
且不论这是不是商家的@@炒作@@,IT治理@@到底是蜜糖还是毒药@@,全看我们怎么行动@@。橘生淮南则为橘@@,生于淮北则为枳@@。但愿@@IT治理@@到了中国@@,不要变成了压垮中国@@CIO的@@最后一根稻草@@。
