[原创]锁好门的制度也许比设一个复杂密码的要求更安全

申请免费试用、咨询电话：400-8352-114

《中国IT治理与安全大会》11月22日在上海举办。我把这个消息告之同事，他看了日程安排之后说：“这个会值得一去。”的确，大会10个演讲将当日日程挤的满满，而我头一次在下午的演讲中没有犯困。

大会日程如下：

1. IT治理----聚焦IT投资组合，关注IT价值；
2. IT治理---IT运维管理；
3. 信息安全在中国的发展和趋势；
4. 信息安全的架构；
5. 在开放的世界中，保护您的业务与价值；
6. 全球IT治理与安全调查报告；
7. 优化IT基础架构，改善IT生态系统；
8. 微软安全战略解决方案，助力应对行业业务挑战；
9. 企业信息化建设阶段与IT治理体系的应用；
10. IT治理与IT审计。

我看着投影幕布上的“IT治理与安全”几个字，心里一直在想个问题：IT治理为什么要和安全放在一起？

早些年，IT和业务的关系不甚紧密。什么治理、安全的都没和IT沾上边。现在不同了，无论走到哪里我们都能听到IT与业务的整合声音。“IT已经成为企业业务发展和管理不可或缺的组成部分，其作用和影响力已从单一的业务部门扩展到企业与组织的每一个领域。”这句话听起来舒服，但是不由得又多想了一点。这种不可或缺是不是连电话线坏了都要来找IT部门呢？这是亲身经历过的一件事，那年我在温州给一家酒店做实施。业务部门电话线的问题都要找IT部门的人来解决。

随着业务对IT的依赖越来越强，IT也越来越受到关注。但是如果就此认为IT将生活在“镁光灯”下的话，那么我认为你错了。因为“在先进的IT系统给企业带来活力、利润和竞争力的同时，也给企业带来了新的风险”即日益依赖IT系统的业务可能会面临因IT系统故障导致业务灾难的风险。不仅如此，IT的故障与失误还会对企业价值和声誉造成严重的影响。即使IT能够为企业创造新价值，减少成本，但是IT也存在巨大投资和巨大风险的短板。确切地讲，IT越受关注，IT的日子就越是如履薄冰！于是“如何最大限度地降低IT对业务的负面影响与风险，使IT系统充分为企业战略目标服务，获得IT价值最大化，是每个企业都必须要认真面对的IT治理与安全问题”就成为今天会议的主题。

来自香港的ISACA全球副总裁任家明给出IT治理一个定义，即IT治理是公司董事、管理层、IT管理这的职责，是公司治理的一个组成部分。包含领导力、流程、制度和机制，以确保IT延续性和拓展性的战略发展目标。我原本也是这么理解IT治理。但是从这个定义中还是没明白IT治理与安全之间的关系。一直到微软的安全技术顾问演讲时才想到二者之间的关系在哪里。

刚才说了IT在带来活力、利润和竞争力的同时也带来了风险。什么是风险？Virus是，Trojan是，Worm也是，除此之外还有什么？微软顾问的ppt上面提到了一些非IT技术带来的风险，但是离的太远看不清楚没记下。不过从演讲的内容还是能猜到那些非技术原因带来的IT风险。身份管理疏漏带来的IT风险，人员变动带来的IT风险等等。有风险就要预防风险，预防IT风险就是IT安全需要考虑的范围。在安全的理解上就不再是杀毒软件和防火墙之类的概念。

最后找到我心中这个问题的答案是听了AMT咨询总监彭一的演讲。他的一句话给我做了最好的解释。现总结如下：IT治理的目的是通过流程、制度和机制的约束使得企业在一个变动的环境中能够保持IT的稳定性。不论是人员变动，还是流程改变，只要有严格的制度存在，那么就能将各种变动因素带来的IT风险降至最小。风险小了，IT的安全性自然就大大增加。IT治理为IT安全提供了制度、流程和机制上的保障。锁好门的制度也许比设一个复杂密码的要求更安全。

IT治理不是单独的一项管理工作。有一句话要作为IT治理的前提牢记在心：IT治理必须在公司治理的大环境下才能取得成效。切记、切记！