标准为CIO破解信息化困局-福建信息主管（CIO）网

标准为CIO破解信息化困局

作者：张杰来源：中国计算机用户发布时间：2005年12月25日点击数：

如何建设安全有效，可持续发展的信息化?IT部门与业务部门之间有效沟通的共同语言是什么?答案是标准、方法论、工具。9月16日，中国计算机用户周刊、BSI(英国标准协会)、德勤联合主办2005信息安全管理新趋势研讨会，演讲专家和与会者互动交流。

　　CIO面临5大难题

　　《中国计算机用户》周刊常务副社长兼总编辑段永朝以“建设安全有效，可持续发展的信息化”为题，作了开场演讲。他认为，不安全的信息化是代价高昂的、甚至是毁灭性的。以20多年的信息化实践来看，当前的CIO正面临着5大难题，他们迫切需要寻找到一套行之有效的方法指导实践。

　　之一:孤岛。在很多地方，都存在着很多孤岛，如数据孤岛、系统孤岛、区域孤岛等，这些只是冰山的一角，在水面上，并不可怕。组织孤岛、制度孤岛、文化孤岛更为庞大，在水面下，这是可怕的。

　　之二:沟通困难。一个CIO向老板汇报，或者与业务部门交流时，如果满嘴是英文缩写，技术术语，就会造成沟通困难。在安全方面，信息技术部门与业务部门的立场和角度未必是完全一致的。这个时候，大家需要一个共同的语言:标准。

　　之三:被动救火。业务调整、系统升级引起的具体的变化，如何掌控局势?以银行为例，数据大集中之后，IT部门常常处于被动救火的状态。人、流程、技术的失涑晌畲蟮陌踩肌?/P>

　　之四:IT部门的夹板气。在业务部门的眼里，一方面，他们认为IT部门只是技术部门，他们不懂业务，另一方面，他们又希望IT部门必须万无一失，必须随叫随到。IT部门背负着超负荷的安全责任。

　　之五:企业文化出现“漏洞”。

　　段永朝认为，面对信息化的诸多困境，出路就是IT治理，让IT进入董事会。而国外的IT治理研究的相关领域包括了信息安全管理、信息系统审计、IT服务管理等，掌握先进的标准、方法论和工具是企业制胜的法宝。

　　在演讲的最后，段永朝强调，建设安全有效、可持续发展的信息化，就意味着信息化要从系统建设转向能力建设，实现人、流程、技术的均衡，将信息作为一个组织最为重要的资产，从业务的角度，关注安全，从企业战略的角度，关注安全。

　　青蛙与睡莲的故事

　　在BSI中国区产品经理成芳系统地介绍了新版1SO17799:2005，ISO27001:2005之后，BSI中国区战略发展总监王二乐开始了其风趣幽默的演讲。他演讲的主题是《BCM永续经营管理》。在演讲中，他首先为大家讲了一个危机管理的故事。

　　有一群青蛙幸福地生活在池塘的一角，池塘的另一角生长着一片睡莲。某一天，池塘受到一种可刺激睡莲生长的化学品的污染，使睡莲每24小时增长一倍。对青蛙而言，一旦睡莲覆盖整个池塘，青蛙将被赶出池塘。

　　现在的问题是，如果睡莲在第50天时可以覆盖整个池塘，那么在第几天时睡莲可以覆盖池塘的一半?如果青蛙有一种可以阻止睡莲生长的方法，但要用10天将整个方法付诸实施，那这个时候睡莲已经覆盖多少面积?

　　王二乐并没有讲出答案是什么，只是进一步分析说，如果将睡莲疯狂生长比喻为青蛙的生存危机，可以看出即使睡莲是指数性增长，但是在开始的前40天，其生长的速度似乎是缓慢的。但从第41天开始，睡莲的生长就会极为恐怖，只需要10天，就可以全部覆盖池塘。

　　王二乐希望通过这个故事告诉大家，当危机可以被感觉到的时候，危机可能已经变得不可控制，或者已经造成了损失，难以弥补。

　　的确，当前企业的经营压力不断增加，技术的发展改变着商业环境，这些变化带来了很多的不确定性，而企业管理者面临着的挑战就是如何应对这些不确定性，这些不确定性就是人们常说的风险。当灾难发生时，企业需要一个管理流程，以维持业务的连续运营。也就是说BCM是一个全面的管理过程。

　　在演讲的最后，王二乐引用了别人的一句话强调BCM的重要性:“无论你多么强大，多么富有，如果没有很好的准备，当危机降临的时候，你真的没有什么办法。”

　　在研讨会的最后，德勤华永会计师事务所企业风险管理部李逸元博士发表了题为《信息安全风险管理实践分享》的演讲。他的演讲深入浅出，就ISO20000/BS15000/ITIL与信息安全管理系统的相辅相成发表了自己的观点。他认为，信息安全管理体系成功实施的关键是多方面的，包括企业管理层的全力支持、企业对信息安全的充分认识，企业全体人员的共同参与等等。