關(guān)于管理體系的想法

在最近十年的變化中，企業(yè)內(nèi)部的IT產(chǎn)生了很大變化。IT直接和業(yè)務(wù)產(chǎn)生作用。過去是經(jīng)常要把業(yè)務(wù)映射到IT支撐上，顯得有點(diǎn)虛。互聯(lián)網(wǎng)化的企業(yè)，帶來(lái)的變化就是IT直接就是業(yè)務(wù)。IT技術(shù)不再是支撐，是企業(yè)直接的生產(chǎn)力。

隨著互聯(lián)網(wǎng)企業(yè)對(duì)安全要求的提高，感覺對(duì)體系的要求也開始增加。特別是在安全技術(shù)上東一榔頭西一幫，在各個(gè)點(diǎn)投入之后，又要考慮如何把安全納入管理范圍。安全要求體系，這個(gè)體系又不是獨(dú)立，需要?dú)w攏于整個(gè)信息管理體系中。很難想象企業(yè)信息管理沒有體系，卻能讓信息安全管理體系落地。往前推又有企業(yè)管理體系，沒有企業(yè)管理的體系，信息管理體系也只是空架。

管理的作用就是有效的組織資源。小手工作坊其實(shí)是不需要太強(qiáng)的管理，因?yàn)榻M織資源不是一個(gè)太困難的事，老板吆喝一聲就行。只有當(dāng)資源使用開始變多變復(fù)雜，產(chǎn)生阻力時(shí)，就需要強(qiáng)化管理。管理或大或小，始終是需要的。

很多人單獨(dú)的看信息安全管理體系。但I(xiàn)SO27000/20000信息安全管理體系，恰好是和ISO 9000質(zhì)量管理體系一脈相乘的。質(zhì)量管理體系又和企業(yè)管理縫合。許多技術(shù)人員抱怨領(lǐng)導(dǎo)什么都不懂，卻看不到管理也是知識(shí)和經(jīng)驗(yàn)的積累。而且是從另一角度建立起來(lái)的。

現(xiàn)在的挑戰(zhàn)是如何建立適合新環(huán)境的管理。比如互聯(lián)網(wǎng)公司。不希望管理成為瓶頸。盡量溝通直接，而不是形成妨礙交流的屏障。打破部門各司其職的壁壘。比如用項(xiàng)目管理橫跨各個(gè)部門。各部門原來(lái)各司其職的靜態(tài)方式會(huì)發(fā)生變化。體系只是框架，需要人用大腦去活用，填充，充實(shí)。

用通俗的話去描繪，就是為了應(yīng)付，比如別再被***了。比如系統(tǒng)癱瘓了想辦法盡快恢復(fù)，怎么優(yōu)化nginx。臨時(shí)解決了問題，下次再重復(fù)發(fā)生呢？寫文檔寫步驟。日常要監(jiān)控起來(lái)。要重點(diǎn)監(jiān)控幾個(gè)服務(wù)器。每天要更新補(bǔ)丁。寫個(gè)周期性的文檔。服務(wù)器檢查checklist。寫個(gè)機(jī)房服務(wù)器訪問制度。好了一堆東西。夠用了。

這無(wú)頭無(wú)腦的事很多，部門人也沒共識(shí)。也不知道是不是還有遺漏，聽說(shuō)機(jī)房斷電，導(dǎo)致服務(wù)器宕機(jī)。這沒底了，要考慮多少事。這時(shí)需要一個(gè)指南，有個(gè)最佳實(shí)踐，到底要大的方面考慮多少事。根據(jù)指南實(shí)踐好好想想。盡量能周全點(diǎn)。領(lǐng)導(dǎo)要求看報(bào)告做了哪些事，要做哪些？領(lǐng)導(dǎo)更關(guān)注宏觀上面呢，怎么匯報(bào)。這些組織活動(dòng)就需要通過管理來(lái)完成了。