2012年(11)
分类: IT业界
2012-08-21 08:43:17
目前国际流行的标准究竟能够帮助我们做什么?回答这个问题之前,我们应该首先明确我们现在面临着什么?大家每天都面临着这样的一个形势,面临商务的竞争,如果我们是政府部门的话,我们就面临着如何推进信息化的建设。在这个过程当中,我们会遇到很多的难题,第一就是信息化本身的挑战。我们既然面临着商务的竞争,面临着市场份额与产品服务差异化,我们要大力发展我们的经济,我们就面临着信息化过程的速度比别人更快,在这个过程中信息化有多大的程度帮助你的经济不断地向前推进,这就成为不管是企业还是政府的领导者的一个直接的话题。信息化加剧的过程中,我们IT的应用和信息的服务成为了组织运营的强大的“日用品”。再有就是法律法规的要求日益增强。现在很多的企业比如说上市公司股市的一个要求,再有就是面临着政府在信息安全方面的压力,所有这些都可以反映到国家标准的进程当中,大家都知道标准制定出来就是为了来符合我们企业的的一个应用,最大程度地来推动它的最佳实践。随着法律法规的加剧,还有我们要求的经济效益,通过信息化对经济效益的支撑和增长,有几个方面的要求,一个是全面风险管理的要求在信息化方面的反映,业务连续性和高效率的运营要求,这就要求我们不断地提高效率,不断地增长。IT现在成为各个业务流程和核心流程的支持工具,各个核心流程表现的好与不好,IT起了很大的作用。
随着对ICT这个环境越来越高的要求,不同的业务有不同的要求,在很多的业务层面上,对于ICT的要求已经跟它业务本身的要求在同等的级别上。因此在各种各样的标准组织,一个标准要成为一个国际标准需要一个进程,各处协会或者是政府推广的标准最后能不能成为一个国际上的承认的标准,这需要一个很长时间的演化的历程。所以现在有很多的行业标准,包括国家的一些标准,还有国际标准就构成了在ICT方面整体的一个最佳实践。所以大家不能只看国际标准,还要看一些有潜质的能够发展成国际标准的行业标准,对我们也有很大帮助。
值得一提的有几个标准,第一个,国际的管理体系标准能够承认认证的机制,在全球ISO9000是第一个,还有一些和ICT没有什么关系,但是企业也面临很大的压力,必须要实施的,必须要证明自己做得很好的一些标准,比如说环境的管理体系标准,职业安全卫生的管理标准。这个在目前的运营环境里已经加入到地球村里边了,欧洲对我们在环境方面的承诺有很大的压力,还有在社会责任方面的承诺,还有在能源方面减少二氧化碳方面的承诺,企业要适应这些标准。还有就是IT方面,全球流行的管理体系标准发布了七项,除了刚才提到的三个,还有就是食品安全方面的,汽车安全方面的,再有就是两个ICT的标准,一个是ISO20000的标准,另一个是信息安全管理体系的标准。大家可以看到,光有信息安全的环境或者是光有IT运维的环境是没有用的,在信息化方面还是不能做到很有效。在开发的过程中,ISO9000标准在起作用,CMM的标准在起作用,包括CMM现在在整合的这个管理体系标准。不是每个企业都在自主开发软件,在获取软件过程中,不管是别人帮你开发,还是你在市场上去买的时候,你都要有一定的准则,在这个过程中CMM系列标准起到了很大的作用,包括人员方面的管控。再有一个就是TickiT,这是在开发过程中的一个质量标准,但是并没有推广开,英国的企业比较承认这个标准,但是它没有成为国际标准。
这里,我主要介绍两个标准,ISO20000和ISO27001,刚才庞总已经详细介绍了ISO20000标准,所以我就介绍一下ISO27001的标准,目前全球已有近四千家公司通过了ISO27001这个认证,没有特别的目的不一定要去通过认证的,但是现在这个特别的目的似乎给大家的压力越来越大,因为ISO27001这个标准本身就有两套标准,一套是大家早就听过的ISO17799,另一个就是ISO27001认证标准,它将来发展的趋势是将来有ISO27000系列标准,第一本ISO27000是关于名词解释和和流程定义的解释,ISO27001是认证的标准。依据ISO27001的要求,建立一个信息安全管理体系,有一个第三方公司推荐就可以通过验证,你可以拿到一张证书。它证明你有一个信息安全管理体系,将来一共到ISO27007,包括了最佳实践的解释,ISO17799将来会变成ISO27002,因为它是一个最佳实践的解释,ISO27001是一个框架型的标准,没有办法实施落地的,ISO17799是一个最佳实践性的解释,依据最佳实践来实施你的管理体系的,这个标准总共有133个控制措施。这个标准主要是帮助大家保护你的信息的机密性、完整性和可用性的。当然依据最新的定义来讲,信息安全不只说建立一个管理体系,在管理的条款上加了一些措施,在技术方面上也会加很多的措施。现在做信息安全最头疼的还是随着技术和网络的不断发展,信息安全会加上许多网络和技术方面的一些特征,所以采取了一些ISO13335的一些名词的定义,信息安全还包括了在网络环境中遇到的比如防抵赖、信息的真实性和可追踪性,但是这个标准的最终的目标是要保护你的业务的连续性。我们是CIO,我们在企业里扮演的角色不仅是技术角色,而且越来越参与到核心的业务过程中去,对业务的流程理解地越深,你对核心的业务参与地程度越高,你的CIO做得才会越成功。所以说这些标准都是从业务的角度来看的,从业务的连续性,从业务的效率和降低你运营的成本来看的。
这个模型基本上是目前国际上流行的管理体系标准,你建立这个体系有什么样的好处,最终就是看你有没有把这个管理体系平台建立起来,在日常业务中按照这个模型来运营你的信息安全和IT服务管理。做管理体系的初衷都是为了说明怎么去满足客户的要求,从开端来讲,你首先要识别出业务对你的要求到底是什么,你的信息安全要求是什么,对你的IT运营管理的要求是什么,之后你去策划你的管理体系,在这基础上,把管理方案实施下去。实施得怎么样,你有一套监控的机制来对你实施的管理体系进行监控,通过监控进行数据的分析找到你可改进的方向,以达到你在管理状态下的信息安全和管理状态下的IT服务管理,它是这样的一个基本原理。这些标准在应用的过程中很大的一个缺陷是在实施方面,它没有办法告诉你怎么做,它只能强调说你有没这样一个管理体系的平台,你是否知道你的客户要求到底是什么,你怎样做才能支撑客户的要求,才能支撑管理体系标准要求的那些指标和准则。企业是形形色色的,所以标准不可能告诉你怎么去做,要怎么去做是我们企业自己来实施的。
有很多企业都问我,实施这个体系难不难,我的回答是其实实施体系不简单,所谓不简单就是你要花很大的精力去策划你的体系,你的体系是不是适合你企业的需要,是不是适合你的战略,将来是不是能有效的去运作,但是你是不是要增加很多的钱来增加很多的管理手段,我想其实是不一定的。只要你在精心地策划下,现在的风险已经在我的管控之下了,我觉得我能接受我的风险,你可以不增加很多的管理手段,也可以不增加很多的技术手段,但是你要知道你现在面临的是什么样的风险,你要知道你将来怎么去管这个风险,这是困难所在。这个标准适合各行各业,只要你觉得你的信息安全的风险不是随便能接受的,你就应该实施信息安全管理体系。
现在企业大量的应用了IT技术,大量信息的管控成了企业的难题,因此越来越多的企业来实施信息安全管理体系。尤其是在政府的推动下,如“千百十”工程,很多企业都加入到实施信息安全管理体系这个行列中来。
开发和运维是分不开的,我开发了这样一个运维系统,那之后运维就是我了,基础设施也就是我的了。但是困难就是应用系统会越来越多了,基础设施也越来越大,你不得不有专业的队伍来做这个运行和维护,而且运维的效率直接牵扯到我们核心业务运行的效率,刚才庞经理也提到为什么做ISO20000体系,第一要提高质量,第二要降低成本,第三架起业务和IT服务的桥梁,让IT的服务真正能够渗入到核心业务流程当中去,从另一方面是意图建立一个透明的机制,最后我能给业务部门能够达成我们的承诺,我们到底完成了多少,这是透明的。
对我们来讲,这些标准的范围到底在哪里?像CMM、ISO9000或是TickiT构成了我们的基础设施,是基础架构里的一部分,ISO20000是在运维的领域,就是说基础架构架起来了,应用也在上面跑了,它的整个运维的有效性是在ISO20000过程中来讲的。像ISO9000会贯穿过程到这个过程上面的,ISO27001也是一样,因为它是信息安全,它不只于IT的范围,因为我们讲信息是流动的,它从一个部门流动到另外一个部门,它从我们市场数据的收集到研发,然后到我们的制造,然后到服务提供的流程,我们的信息一直在跑,所以信息安全的范围可以覆盖地更广。但是我的职权范围不在那里,另外,实施起来我想在某一个高风险的点做有效的控制,你可以把范围划到一个小的范围,比如你可以把ISO27001划在运维这个范围,也可以划在开发这个范围,但是从我的观点来讲,你只划在一个小的范围,其实它的效果并不好。因为它不能牵扯信息整体流动的过程,它的生命周期的信息安全没有覆盖,但是你说目前的现实只是这样,因为我的权限就在这,我只在某一部分做ISO27001认证是可以的,但是这个概念本身是很大的。ISO20000就不会那么大,因为它是运维的管控方面,像CMM,它的标准的范围试图向这边走,但是它目前发布出来的标准还没有,还是在开发和实施的过程当中起作用的,当然还有更多的标准,比如Cobit,那么Cobit和这个是什么关系呢?大家知道,Cobit是IT治理的一个框架,因此Cobit在制定IT的整体目标和IT的指标方面,Cobit要比这些标准在这方面有优势,如果你真正的实施Cobit,ISO27001和IT服务管理部分是它很大的两个支柱。因为这些标准都制定了它的目标和指标,但是怎么去做都是靠我们企业去规划的。
认证有什么意义呢?如果你有一个认证,它是一个比较透明公正的流程,知道标准是怎么管的,知道有多少个控制措施,这个就形成一个共同语言。你去招标也好,去跟别人讲在信息安全上我到底做了哪些工作,也就不会有太多的解释。我们内部的IT部门用不用去做认证,我认为你不一定要去做认证的,如果你想证明你有一套透明的机制,和业务的沟通是很顺畅的,你就可以去做认证。我想说认证只是一个附加的价值。如果你真的沿着这一套体系标准来做,你可以避免别人走过的弯路,你还可以证明你的管理的机制是沿着一个正确的方向走的。我想这点上更重要一些,提高你自身的管理能力。
认证包括两个阶段,第一阶段是文件的审核和现场的预拜访,预拜访的目的就是保证第二联阶段的计划能够更准确一点,第二阶段是正式的现场审核,审核的过程不是太长的时间,拿庞总的例子来说,30几个人的一个服务组织用上五天的审核时间,随着人数的增加,工作量也会增加,但是它不是成倍的。这个证书也体现了一个持续改进的过程,认证的持续改进才是一个更大的任务,认证只是证明你有这样的一个框架,那么持续改进会使你的认证一直有效。证书第一次发出去有效时间为三年,每年都有后续地跟踪审核。到第三年你如果还要这个证书的话,那么你还要做一次全面的审核,才能够持续保持这张证书。
基于这样一个平台,如果大家对这个话题感兴趣的话,我们会专门抽出时间来做专题的讲座。我的分享就到这里,谢谢大家!