【51CTO.com原創(chuàng)稿件】看到廉哥那日冒著暴雨加臺(tái)風(fēng)去圖書(shū)館查閱資料，同事妹紙奚落道：“現(xiàn)在都是網(wǎng)絡(luò)時(shí)代了，你還老跑圖書(shū)館看那些過(guò)氣的資料，而且還是電腦方面的…”?？磥?lái)，我倆的確是“從彼此的全世界路過(guò)”了。她怎會(huì)知道：就是圖書(shū)館里前人總結(jié)成文的資料和當(dāng)前網(wǎng)絡(luò)上前沿知識(shí)技能間存在著“斷點(diǎn)”，所以需要我這個(gè)一個(gè)小小電焊工，用我自己的經(jīng)驗(yàn)作為“助熔劑”把它們?nèi)酆系揭黄穑ㄟ^(guò)二次加工，再分享出來(lái)。這叫“回首與前瞻的普拉斯(加號(hào))”。

[[174568]]

閑言少敘，書(shū)接上回，我們繼續(xù)開(kāi)聊。

網(wǎng)絡(luò)/系統(tǒng)/應(yīng)用

這些部門的人員主要運(yùn)用專業(yè)技術(shù)來(lái)維護(hù)企業(yè)的信息安全，保持整個(gè)IT服務(wù)系統(tǒng)在健康穩(wěn)定的狀態(tài)下運(yùn)作。

1. 從IT軟/硬件系統(tǒng)的設(shè)計(jì)、架設(shè)和維護(hù)方面對(duì)服務(wù)器，網(wǎng)絡(luò)，存儲(chǔ)設(shè)備，數(shù)據(jù)庫(kù)，目錄服務(wù)，中間件，網(wǎng)站以及各種應(yīng)用程序(包括財(cái)務(wù)/人事軟件)等進(jìn)行信息安全的管控。

一句話，這里是技術(shù)“大咖”的江湖，技術(shù)實(shí)力直接決定系統(tǒng)的安全等級(jí)。有興趣的朋友可以參考我前面第一part的系列漫談。批判式的接受哦。

2. 充當(dāng)“二線”人員，去處理由服務(wù)臺(tái)和“一線”運(yùn)維和支持人員提升上來(lái)的安全事故。

說(shuō)白了，就是充當(dāng)應(yīng)急處理小組，處理各種Troubleshoot之類的工作。

3. 及時(shí)更新各個(gè)服務(wù)器和網(wǎng)絡(luò)設(shè)備的系統(tǒng)補(bǔ)丁和病毒庫(kù)等。

“做好更新”應(yīng)該是IT運(yùn)維的basic也是best practice，但我們也提防諸如微軟的有些補(bǔ)丁包會(huì)發(fā)生“烏龍”事件。比如我哥們他們單位去年底就發(fā)生了系統(tǒng)打好Office補(bǔ)丁后，Outlook 2013發(fā)出去的多附件的Word類型文件其內(nèi)容與文件名相互混淆的現(xiàn)象。沒(méi)辦法，IT只有打上針對(duì)補(bǔ)丁的補(bǔ)丁了。當(dāng)然，若干年前賽門鐵克誤刪啟動(dòng)文件的事件，也必要在這兒重提了。

4. 根據(jù)企業(yè)的安全策略監(jiān)控網(wǎng)絡(luò)和系統(tǒng)資源的濫用與誤用情況，如有需要可以對(duì)員工運(yùn)用即時(shí)通訊工具的聊天記錄等進(jìn)行敏感信息的偵察。

具體操作的可行性，一定要事先和公司的法務(wù)溝通哦，以免人家告你侵犯隱私，neng死你。另外，在實(shí)施上，最好是用第三方成品的監(jiān)控分析軟件。盡職免責(zé)是很重要的。

管理決策

IT管理決策層多由一個(gè)首席信息官和IT各子部門的帶頭人組成。正如亞歷山大大帝說(shuō)過(guò)：“由獅子率領(lǐng)的羊，遠(yuǎn)勝由羊率領(lǐng)的獅子”。在實(shí)操中，往往他們與其他業(yè)務(wù)部門的代表一起組成信息安全委員會(huì)，履行如下職責(zé)：

1. 信息安全相關(guān)項(xiàng)目和服務(wù)變更的發(fā)起、規(guī)劃和管理。

在當(dāng)前各個(gè)企業(yè)里，各類管理人員基本上都受過(guò)項(xiàng)目管理的相關(guān)培訓(xùn)甚至已持有證書(shū)。因此在日常運(yùn)行中融入項(xiàng)目制是司空見(jiàn)慣的。好的管理者要在項(xiàng)目的起始階段發(fā)揮重要作用。我只談我的一點(diǎn)感受：因?yàn)樘子?ldquo;馬斯洛需求層次”信息安全項(xiàng)目不同于一般的IT項(xiàng)目，它解決的不是“能不能用”的問(wèn)題，而是“用著放不放心”的問(wèn)題。因此任何信息安全相關(guān)的發(fā)起都要體現(xiàn)對(duì)業(yè)務(wù)的好處或是提升的價(jià)值。而且這種價(jià)值要能在企業(yè)內(nèi)部，至少是企業(yè)所有者所認(rèn)可和意識(shí)到的。而這將是你后期工作的根基。說(shuō)過(guò)分一點(diǎn)：所有以業(yè)務(wù)為敵的信息安全項(xiàng)目都將以失敗告終。與其最后扼腕嘆息、名聲掃地，不如一開(kāi)始就不要開(kāi)展。

說(shuō)到發(fā)起、規(guī)劃，我的腦子里突然想起柳傳志提到過(guò)的管理三要素：搭班子，定戰(zhàn)略，帶隊(duì)伍。而定戰(zhàn)略時(shí)要有一定的前瞻性，凡是周全考慮。IT技術(shù)日新月異，千萬(wàn)不可禁錮發(fā)展的空間。很多系統(tǒng)初始設(shè)計(jì)的局限性是滯后才體現(xiàn)的。比如說(shuō)最新技術(shù)可能帶有一些自身的安全漏洞，而這些與生俱來(lái)的fault可能會(huì)被另一種技術(shù)所迅速迭代了。所以我們不要盲從最新的技術(shù)，“且行且珍惜”，不然還會(huì)導(dǎo)致IT部門人員長(zhǎng)期處于“布朗運(yùn)動(dòng)”的狀態(tài)，“累成狗”似的。可見(jiàn)，雖然身處發(fā)展前沿的IT框架下，我們信息安全管理者還是不要過(guò)于fashion，淡定，淡定啊!

2. 定期對(duì)整個(gè)系統(tǒng)進(jìn)行風(fēng)險(xiǎn)識(shí)別、分析、評(píng)估和管理。

我們所規(guī)劃和維護(hù)的系統(tǒng)不能流于形式成為one-time job。就算一開(kāi)始構(gòu)建得固若金湯，時(shí)過(guò)境遷，技術(shù)發(fā)展，內(nèi)外漏洞在不知不覺(jué)中滋長(zhǎng)。因此不可小看定期評(píng)估與審計(jì)這種舶來(lái)品，曾子他老人家不是也經(jīng)常“日三省乎己”嗎?定期給自己的系統(tǒng)“抓虱子”吧，以免“千里之堤毀于蟻穴”。

3. 制定針對(duì)企業(yè)整體信息安全管理體系框架描述的信息安全的方針和手冊(cè)，完善并更新各種安全管理和操作的具體流程。

還記得《杜拉拉升職記》里提到的嗎：“你是先邁左腳，還是先邁右腳，都能在SOP(標(biāo)準(zhǔn)作業(yè)程序)里面找到答案”。所以說(shuō)“雖然是人總會(huì)犯錯(cuò)”，霸特，標(biāo)準(zhǔn)化流程化可以把各種誤操作降到最低。

4. 對(duì)供應(yīng)商和外包商進(jìn)行安全管理并對(duì)其合同進(jìn)行風(fēng)險(xiǎn)約束。

正所謂“手中有糧心中不慌”，有了和他們的合同，你會(huì)覺(jué)得自己手中的硬件和服務(wù)資源充沛了許多。而且他們也無(wú)形中會(huì)有“一榮俱榮，一損俱損”的行業(yè)名聲連帶感。

5. 為信息安全的操作和管理提供支持，調(diào)配資源并定期審查這個(gè)系統(tǒng)的安全達(dá)標(biāo)情況。

我曾聽(tīng)到過(guò)一位IT管理決策者向我坦言，他從基層人員慢慢自我提升上來(lái)，回首走過(guò)的路，發(fā)現(xiàn)以前做底層操作實(shí)施人員的時(shí)候，僅僅機(jī)器打交到反而是最簡(jiǎn)單的，因?yàn)橛忻鞔_的對(duì)與錯(cuò)。而越往上走，越多的要和人打交，他發(fā)現(xiàn)可以遵循的“手冊(cè)”越少，面對(duì)形形色色的人員，特別是理科IT男的時(shí)候，要想實(shí)現(xiàn)“支持，調(diào)配資源”，真是好難，好難啊!(我這里可沒(méi)有詆毀wuli理科IT男的意思，雖然我自己也是。)而且因?yàn)槟闶穷I(lǐng)導(dǎo)，我們常說(shuō)的要負(fù)有“領(lǐng)導(dǎo)責(zé)任”，所以該出來(lái)為屬下頂子彈或背鍋的時(shí)候，你可千萬(wàn)別含糊哦。 “人在江湖飄、哪有不挨刀”的?

而說(shuō)到定期審查達(dá)標(biāo)情況，除了policy的貫徹，第一手?jǐn)?shù)據(jù)還是來(lái)自于各種記錄(logs)。而不管是外審、內(nèi)審還是自己審，看的都是各種運(yùn)營(yíng)中的記錄哦。相信不少看官和我一樣是從微軟的Windows意識(shí)到log的魅力和重要性的吧?衍生這個(gè)概念，其實(shí)我們?cè)谧鋈魏雾?xiàng)目、任何系統(tǒng)的時(shí)候都要牢記記錄(包括各種check point data)。這又要說(shuō)會(huì)到ITIL里提到的配置管理數(shù)據(jù)庫(kù)了，所以說(shuō)如果你不夠前瞻性，那么就做好記錄，步步為營(yíng)吧。那句話怎么說(shuō)的“雷鋒叔叔只是把做的好事都記在日記本里了。”你該知道學(xué)習(xí)雷鋒有多么重要了吧?

外包人員

話說(shuō)我們公司前幾年有個(gè)電話系統(tǒng)服務(wù)公司，他們會(huì)定期派服務(wù)工程師來(lái)我處維護(hù)，每次我都會(huì)拿出可樂(lè)雪碧等招待他們，記得有幾次一個(gè)毛頭小伙子，順手欲把開(kāi)瓶喝了一半的可樂(lè)帶進(jìn)機(jī)房，被我制止了。不了過(guò)了一段時(shí)間，我居然在同行口中聽(tīng)聞到了說(shuō)我們公司摳門，連一口水都不給外包人員喝的謠言。這頓時(shí)讓我有種“我將真心照明月，奈何明月照溝渠”的心塞。

其實(shí)，企業(yè)在不增加固定人員成本的情況下，根據(jù)與第三方簽署的服務(wù)合同，外包人員定期以直接(如上門)或者是間接(如遠(yuǎn)程)的方式提供專業(yè)技術(shù)服務(wù)，這大概是時(shí)下“分享經(jīng)濟(jì)”早年的雛形吧。當(dāng)然，外包人員對(duì)于信息安全來(lái)說(shuō)是把“雙刃劍”。從管理學(xué)來(lái)說(shuō)，將信息安全的風(fēng)險(xiǎn)進(jìn)行了分?jǐn)偤娃D(zhuǎn)嫁;而從運(yùn)維角度看，卻可能有些技術(shù)斷層和重復(fù)投入(別急，下文有解釋)的可能?？梢?jiàn)外包人員在對(duì)企業(yè)提供服務(wù)的同時(shí)應(yīng)當(dāng)做到如此幾點(diǎn)以保證該企業(yè)的信息安全：

1. 上門服務(wù)前，先聯(lián)系并告知企業(yè)接口人到訪的具體時(shí)間和工作內(nèi)容概述。

2. 出入企業(yè)辦公區(qū)域時(shí)應(yīng)接受必要的安全檢查。

3. 技術(shù)操作的全程接受接口人的陪同和值守(此處特指非常駐服務(wù)人員)。

4. 操作之前出示施工單;完成后填寫并提交接口人簽署完工單。

5. 有義務(wù)和責(zé)任不泄漏并保護(hù)該企業(yè)的信息和知識(shí)產(chǎn)權(quán)。

6. 建立例會(huì)制度，及時(shí)溝通和解決服務(wù)過(guò)程中雙方發(fā)現(xiàn)或碰到的問(wèn)題。

我們?cè)購(gòu)臉I(yè)績(jī)考核的角度來(lái)看看。對(duì)于甲方來(lái)說(shuō)，應(yīng)該注重的是下述兩點(diǎn)：

1. 進(jìn)場(chǎng)服務(wù)外包人員的服務(wù)時(shí)間的量化管理;

2. 人員的工作完成效率和滿意度評(píng)審。

作為甲方，應(yīng)當(dāng)在服務(wù)合同簽署之際就考慮制定短期甚至是中長(zhǎng)期的對(duì)外包人員的類KPI考核標(biāo)準(zhǔn)，并保證執(zhí)行的客觀性。這邊有了第一手的數(shù)據(jù)，不但是對(duì)企業(yè)內(nèi)部管理層負(fù)責(zé)，對(duì)于各類外包商的整體“形象”也會(huì)有綜合評(píng)判。

說(shuō)到評(píng)判外包商，每年甲方在談外包合同也要注意技巧，因?yàn)楫吘狗?wù)人員是由外包商所提供的，特別是那些按次服務(wù)，且到場(chǎng)人員不固定的合同，如果談合同的時(shí)候甲方只想著壓低價(jià)錢，所派過(guò)來(lái)的人員素質(zhì)和水平是可想而知的。我個(gè)人經(jīng)驗(yàn)覺(jué)得根據(jù)整體行業(yè)或經(jīng)濟(jì)形勢(shì)給定一個(gè)增長(zhǎng)幅度，再按照實(shí)際服務(wù)效果的反饋給予適當(dāng)?shù)募訙p足矣。這樣提供商也會(huì)在簽合同的時(shí)候心服口服的。

另外，從甲方企業(yè)自身來(lái)說(shuō)應(yīng)當(dāng)采取兼容并包的“開(kāi)門辦事”作風(fēng)。由于每個(gè)公司都有自己的管理風(fēng)格和控制流程，而企業(yè)IT主管雖談不上是“閉門造車”，外包服務(wù)提供商及其服務(wù)工程師則很少有機(jī)會(huì)參與客戶IT管理或決策。他們普遍淪為由企業(yè)IT主管傳達(dá)具體指令開(kāi)展工作的“臨時(shí)工”。然而實(shí)際上，往往他們才是最了解用戶的需求、最善于給IT系統(tǒng)把脈的“痛點(diǎn)按摩師”。因此，我們何不多創(chuàng)造點(diǎn)機(jī)會(huì)將他們“請(qǐng)進(jìn)來(lái)”，或是凝聽(tīng)或是QA，讓他們也能充分發(fā)揮主觀能動(dòng)性。

當(dāng)然從員工個(gè)體來(lái)說(shuō)，無(wú)論contractor和regular都是工作上的partner，愉快的一起“玩耍”很重要，不應(yīng)有什么貴賤之分。然而實(shí)際情況則是，對(duì)于駐現(xiàn)場(chǎng)的外包人員，常會(huì)有種蛋蛋的憂傷：一方面在服務(wù)公司出了問(wèn)題時(shí)無(wú)人幫忙擔(dān)當(dāng)，team building、seminar基本沒(méi)有他們的份;另一方面，基本不進(jìn)自己母公司，就算偶爾回去辦事也處于“人我兩相忘”的狀態(tài)。還有些諸多因素，甚至是個(gè)人問(wèn)題，都會(huì)導(dǎo)致外包人員一旦有改變的機(jī)會(huì)，他們很容易選擇跳槽。人員流失無(wú)疑對(duì)甲方和乙方企業(yè)都是風(fēng)險(xiǎn)和影響。有句話說(shuō)得很對(duì)“人才因?yàn)槠髽I(yè)而進(jìn)行，卻因?yàn)槔习宥x開(kāi)。”大家可以仔細(xì)品味一下其中的道理了。別問(wèn)我怎么講得怎么仔細(xì)，哥曾經(jīng)就是光榮的一員，而且是“大寫加粗的”!

不過(guò)，我們也要警惕另外一種極端現(xiàn)象：就是那些外包界的“老炮兒”，他們反客為主，或是將技術(shù)“荒于嬉”、或是自恃牛掰，常將散漫態(tài)度帶到甲方現(xiàn)場(chǎng)。我就曾聽(tīng)說(shuō)有乙方外包人員，居然在甲方辦公室里上班期間溜輪滑，并把睡午覺(jué)叫做“與地面平行會(huì)兒”的。你這么能玩兒，“你咋不上天呢?”，這完全是在用慢性毒藥“自費(fèi)武功”嘛!真心提醒這樣的外包人員，指不定哪天就有“接盤俠”的空降了。甲方不是傻瓜，丟卒保車好過(guò)全軍覆沒(méi)的道理他們清楚著呢。

總的說(shuō)來(lái)，畢竟中國(guó)的外包企業(yè)實(shí)在沒(méi)法像國(guó)外那樣做得professional，由于面對(duì)簽署服務(wù)的企業(yè)增多，服務(wù)人員的流動(dòng)，很難保持服務(wù)水平的一致性和延續(xù)性。所以企業(yè)自身應(yīng)當(dāng)要求外包方“完善流程，文檔儲(chǔ)備，實(shí)時(shí)更新，如實(shí)記錄，順暢溝通”這五個(gè)方面。

算上這一期，廉哥根據(jù)自己這些年來(lái)實(shí)際工作和操作的經(jīng)驗(yàn)，花了3次和大家漫談了企業(yè)信息系統(tǒng)特別是安全治理環(huán)節(jié)中的人員管理的各個(gè)方面。正所謂“三分技術(shù)，七分管理”，管理的對(duì)象是人員，同時(shí)管理的主體還是人員;人員既是治理的基礎(chǔ)，也是治理的核心。因此只有通過(guò)動(dòng)態(tài)發(fā)展的策略去“做足文章”，才能把信息安全的運(yùn)維和治理做到有證可據(jù)、有約而循、有責(zé)可追、防范于未然。

有朋友可能會(huì)問(wèn)：那巨廉哥接下來(lái)還和大家嘮嗑點(diǎn)別的什么嗎?我的回答是“確定一定以及肯定!”好了，末了，我套用的一句《機(jī)動(dòng)戰(zhàn)士高達(dá)》的經(jīng)典彈屏來(lái)回答各位：“前方高能!”

【51CTO原創(chuàng)稿件，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文作者和出處為51CTO.com】