这从电信业务所需要包括3G业务包括布网通信,所有平台的收入,这些业务可能会变化可能会整合,这三年来产品的需求变化非常大,所以整个企业管理的结构来看,你一定要在最上面,在什么保护伞之下,企业风险管理跟方法论这个框架之下,在日常管理动态管理怎么做区革,日常管理发生的事情衡量点很容易知道的,但是建构日常管理框架怎么选择这两种类型的难度就非常大,当然我们从整个公司的运营会从这来看,所以刚才为什么谈NTT,BT等等,美国先不谈了,美国电信跟国内的状况有点类似,浑沌不开,美国几个电信运营商获利空间也不大。所以一般我们还会把这样企业运营模式跟BM做比较。
在这样的管理体制之下,你看到目标管理尤其从美国来说,D博士在日本整个工业化以后,在计量管理里面,目标管理是美国用最多的,都是在目标管理基础之上发明的方法,最重要的概念就是所有国际标准,既然叫管理体系,全部不外乎D博士谈的代理循环,全部都是PDCA的基础架构,没有一个体系是完整的,没有一个体系运营是没有风险的,所以必须很清楚知道风险管理机制。
这是一个ERP,包含财务的部分,现在谈银行里面谈的没有钱啥也别玩,其中信息安全风险只是其中一块,所以必须要在整个企业运营的框架里面考虑信息作业流在企业里面的重要度,如果今天只是做一个农场、这个农场只是养小猪根本没有信息化可言,那我信息安全需要考量吗?说信息安全是不是只有IT行业可以做,我说不是。因为你是从业务需求来,所以2001年记得一家香港咨询公司,只有十几个员工没有服务器,全部的员工都是便携,做了信息安全管理体系,所有人很惊讶,做的就是我的需求,信息不分国界。因为信息是在它的价值。
再进入信息安全管理体系以后,我们看看信息安全包含哪些?核心还是要以风险评估为基准,所以你说来做信息安全体系,我说行一定要跟最高层领导谈谈,你在想什么,为什么做信息安全体系,达标不做,那对企业没有任何帮助,你要从整体来看为什么要做。所以你核心还是要以风险评估为基准,以ISO27001,这个框架是最基本的最基础的平台,在7799,2000版本还说是最好的,后来不敢说了说是基础平台,所以BS1999马上出台,是2002年版,马上要改成2005,也许没有7799了,因为BS是英国标准,原来叫ISO24743,在4月19号在澳大利亚的会议里把这标准移动到27001,按照一个流程预计要9月份出台2005版,所以就不会有BS7799的标准了,预计6月19号会正式出台2005年版,也就是所有管理体系的标准,信息安全管理体系不仅仅是IT,必须跟其他所有管理体系,包括SOX法案等等宣布涵在里面,管理什么样的工具。如果在企业里面我有14000,我有18000,我有什么什么,没有这事,这造成你成本浪费,这是独立性管理系统的风险。要不然这资源浪费很多的,所以在27001为基准,再往上走,前面许多老师专家都谈到COBIT,从7799往下走就走COBIT路线,之后要考虑ITIL,包括ISO15288,和ISO15408,现在在美国DOD军方里面谈到,国内没有一个专家谈到这个领域,在台湾比较多。
已经谈信息安全管理体系了,怎么做?首先要了解整个目前所做的,不管公司做任何东西,所有作业的范围规范流程,你先得制定出来,另外要劝说领导提供资源,而且做一个体系不是一个人可以做完的,最重要是最高管理阶层的支持。待会儿上海电信老总,今天就来了,他如果支持,肯定能达到。然后就是进行培训,然后定义作业工程及信息安全方针,因为所有东西必须按照往下展开,但是90%操作都做不下来,因为领导可能在博学素养很好,所以必须要懂IT技术还有核心思想,所以像谈判筹码一样不断循环建立这个系统。所以一般做得好运营体系在一年以上。再要做BIA,看看核心业务流程是什么?我一定要看看投资报酬率如何,在哪些核心业务的主流层面,或者哪些应用流程是未来关键流程,我的业务可以帮我赚比较多钱的业务。再来谈点重要资产,这有一点点瑕疵,当然风险评估方法里,评估方法太多了,定性或定量的风险评估方法,目前定量的部分有困难,它的数据库积累的经验法则不够,在定量分析上事实上有相当大的难度的,而且即使做了定量分析,你要把风险跟威胁跟本身的弱点定得完整,你建的其他机构能够适用,这都是在我们做项目时候探讨出的原则,目前华为最近也在做这个动作但是有难度。你必须要积累三到五年,才可以从定量分析来做,要不然没有连续积累效益。现在大部分谈的是以资产驱动风险评估方法,所以要盘点你的资产,不是所有资产都需要盘点,你要看BIA里面看重的是哪些,尤其是单点失效的设备,这些资产力度很大非常非常复杂,你要做一个完整的信息安全管理非常复杂的,因为信息无所不在,包括软件价值,包括企业LOGO价值都是信息。所以你要把所有信息弄很清楚,在工具和图纸上力度非常大,所以国际企业先做信息安全体系,一定先分析风险差异,因为后面做出来投资成本多大,不知道,真的不知道。所以一般先进行信息安全风险评估,然后定级解决方案,然后确认实施与完成风险处置计划的方案,真正重要的企业是能下去干,而且要实践,目标管理达成目标,定期你的目标值是不是到位,然后进行不断修正,你做了记录就会查证,当然你要靠不同阶段的内部审计外部审计的方式,因为人总有盲点,得到认证是第一个阶段。
目前谈的都是IT架构给你什么方案,可是从上往下的结构不明确,那钱可能白花,到底哪些风险可接受的,还有哪些风险发生频率很低,就像911一次倒了做不做,我卖冰棍就算了,但中国移动,中国电信,中国联通上海电信能发生这种事吗?所以我要的高冲击所运营的成本投资就大了,尤其是国营体系,或者在战略上很重要的信息,所以这个中心线就是可接受水准可以移动的,但是实际操作面没有什么。
风险评估的方法,这是ISO13335有一个方法论,去评估你外部风险和内部的脆弱点,威胁和脆弱在一块才有用,脆弱是心肝肺哪儿不好,威胁是感冒病毒啊,这样才会产生风险,但是在信息安全里面,还要谈机密性,完整性可用性,你的系统运营完不完整,就像我们ITO你可不可以到位,你这个业务多久可以恢复,尤其电信运营商,如何跟客户交代,我停机通话品质质量,我基地台毁了8天、4天、3天有没有人抱怨,如果比人家多一天起来,同样的灾难或同样的异常,不要说灾难,如果因为自己认为管理疏失,你造成的就是客户流失了,当然大部分客户看价钱还有服务品质。所有讨论是机密性完整性可用性这跟信息安全什么关系,可是这标准只含这一段,所以信息安全这是很狭义的,所以这个标准的名词起得不好。你要了解风险的机率,你要看冲击、频率高不高,冲击大,频率高马上得改,冲击大频率低就要看看资金够不够,有没有必要性,然后做风险评价,鉴别出风险以后评价它,优先干什么?然后决定用哪一块,评价以后刀在哪里切,然后找控制方案,把风险和成本达到平衡点。
这是风险评估定性和定量的方法就不介绍了,这是BS7799-2:2002年版本,但是通过这个标准,只是告诉你建立一套可运营的风险机制,今天假设我的ITO,你恢复可忍受时间,同样企业定1分钟跟十天成本不一样。
后面我谈到这更往基层走,这对于运营商很重要的,你要做整个解决方案的,你就必须要往下走,谈到这些基础结构,这些都是国际标准,我谈的国际标准角度把这框架建立起来。你达标以后必须要真正执行力落实到企业效益,另外要看看你鉴证体制到底有没有效。你还要持续衡量获利效益如何。这是15288,其中有一小块跟1207软件工程的部分,这如果一些运营商利用软件开发和系统开发是很好的工具,现在大部分人用CMI,但是我搞CMI搞了六年,选择性用。话说回来国内CMI通过几家,它其实有因素的,有的做了反而浪费你的管理成本,反而提早灭亡,反而建议不如采用15288,这是美国军工开始用的。这是15408,这是更技术提供你标准的参考和建议。
- 治理评论第一期[01-20]
- 治理评论第六期[01-20]
- 治理评论第二期[01-20]
- 治理评论第五期[01-20]
- 治理评论第三期[01-20]
- 治理评论第四期[01-20]
- 太极凭什么中标12306? [09-26]
- 中国国际航空股份有限公司--书评[11-01]
