在最近十年的變化中,企業內部的IT產生了很大變化。IT直接和業務產生作用。過去是經常要把業務映射到IT支撐上,顯得有點虛。互聯網化的企業,帶來的變化就是IT直接就是業務。IT技術不再是支撐,是企業直接的生產力。
隨着互聯網企業對安全要求的提高,感覺對體系的要求也開始增加。特別是在安全技術上東一榔頭西一幫,在各個點投入之後,又要考慮如何把安全納入管理範圍。安全要求體系,這個體系又不是獨立,需要歸攏於整個信息管理體系中。很難想象企業信息管理沒有體系,卻能讓信息安全管理體系落地。往前推又有企業管理體系,沒有企業管理的體系,信息管理體系也只是空架。
管理的作用就是有效的組織資源。小手工作坊其實是不需要太強的管理,因爲組織資源不是一個太困難的事,老闆吆喝一聲就行。只有當資源使用開始變多變複雜,產生阻力時,就需要強化管理。管理或大或小,始終是需要的。
很多人單獨的看信息安全管理體系。但ISO27000/20000信息安全管理體系,恰好是和ISO 9000質量管理體系一脈相乘的。質量管理體系又和企業管理縫合。許多技術人員抱怨領導什麼都不懂,卻看不到管理也是知識和經驗的積累。而且是從另一角度建立起來的。
現在的挑戰是如何建立適合新環境的管理。比如互聯網公司。不希望管理成爲瓶頸。儘量溝通直接,而不是形成妨礙交流的屏障。打破部門各司其職的壁壘。比如用項目管理橫跨各個部門。各部門原來各司其職的靜態方式會發生變化。體系只是框架,需要人用大腦去活用,填充,充實。
用通俗的話去描繪,就是爲了應付,比如別再被***了。比如系統癱瘓了想辦法儘快恢復,怎麼優化nginx。臨時解決了問題,下次再重複發生呢?寫文檔寫步驟。日常要監控起來。要重點監控幾個服務器。每天要更新補丁。寫個週期性的文檔。服務器檢查checklist。寫個機房服務器訪問制度。好了一堆東西。夠用了。
這無頭無腦的事很多,部門人也沒共識。也不知道是不是還有遺漏,聽說機房斷電,導致服務器宕機。這沒底了,要考慮多少事。這時需要一個指南,有個最佳實踐,到底要大的方面考慮多少事。根據指南實踐好好想想。儘量能周全點。領導要求看報告做了哪些事,要做哪些?領導更關注宏觀上面呢,怎麼彙報。這些組織活動就需要通過管理來完成了。