3月2日，江蘇省企業(yè)信息化協(xié)會(huì)總?cè)河瓉?lái)了第56期【智造+V課堂】。本期【智造+V課堂】邀請(qǐng)了江蘇優(yōu)秀CIO張健給大家?guī)?lái)《信息化戰(zhàn)略與信息安全審計(jì)分享》的主題演講。

優(yōu)秀CIO信息化主題分享月第三期分享嘉賓：

江蘇優(yōu)秀CIO   張 健

一、分享嘉賓

[[186188]]

江蘇優(yōu)秀CIO 張 健

1. 個(gè)人簡(jiǎn)介

• 從事IT相關(guān)工作16年，并擔(dān)任德資跨國(guó)企業(yè)中國(guó)區(qū)IT經(jīng)理13年;
• 現(xiàn)任咨詢(xún)公司實(shí)施顧問(wèn)、IT人俱樂(lè)部副秘書(shū)長(zhǎng)、CIO成長(zhǎng)營(yíng)聯(lián)合發(fā)起人、臺(tái)海兩峽創(chuàng)業(yè)導(dǎo)師、蘇州經(jīng)貿(mào)學(xué)院職業(yè)導(dǎo)師;
• 項(xiàng)目評(píng)審、資金申報(bào)專(zhuān)業(yè)評(píng)審專(zhuān)家、信息化領(lǐng)域和方向研究報(bào)告項(xiàng)目帶頭人和執(zhí)行專(zhuān)家;
• 先后從事過(guò)基礎(chǔ)架構(gòu)、軟件工程師、HR實(shí)施顧問(wèn)、ERP應(yīng)用工程師等信息化工作;
• 曾榮獲蘇州優(yōu)秀IT經(jīng)理、中國(guó)優(yōu)秀CIO、企業(yè)信息化應(yīng)用貢獻(xiàn)獎(jiǎng)等榮譽(yù)。

2. 擅長(zhǎng)領(lǐng)域

• 信息安全領(lǐng)域與IT解決方案;
• 信息安全審計(jì)、ERP財(cái)務(wù)制造分銷(xiāo);
• 對(duì)離散制造/注塑行業(yè)企業(yè)有深入研究，在此期間學(xué)習(xí)ITIL、PMP、MCSE、CCNP、CSSIP、VCP、ISO27001、DBA、RHCE等;
• 致力于助力企業(yè)獲得高新技術(shù)企業(yè)、兩化融合市/省示范試點(diǎn)企業(yè)、數(shù)字企業(yè)。

二、演 講 主 題

信息化戰(zhàn)略與信息安全審計(jì)分享

三、原 文 實(shí) 錄

原文實(shí)錄context：

本人目前從事IT相關(guān)工作16年，經(jīng)歷過(guò)民企、臺(tái)企、還有歐美企業(yè)，目前在一家德資企業(yè)里面有擔(dān)任中國(guó)區(qū)的IT經(jīng)理大概有13年左右。目前現(xiàn)在是在咨詢(xún)公司做實(shí)施顧問(wèn)，從事過(guò)網(wǎng)絡(luò)管理員、軟件工程師、ERP應(yīng)用工程師、還有HR顧問(wèn)，再到中國(guó)區(qū)的管理工作，再到咨詢(xún)顧問(wèn)，我覺(jué)得基本上每一步都走的很艱難。

畢業(yè)的時(shí)候去了一家民企，從事HR系統(tǒng)技術(shù)支持的工作，一個(gè)人身兼多職，獨(dú)當(dāng)一面，基本上都是從事基礎(chǔ)架構(gòu)技術(shù)性的一些工作。小的軟件的應(yīng)用開(kāi)發(fā)，民企也相對(duì)來(lái)說(shuō)沒(méi)有什么標(biāo)準(zhǔn)可言，缺少這些標(biāo)準(zhǔn)流程和內(nèi)控機(jī)制。到了2002年去的時(shí)候，兩千人規(guī)模的一家臺(tái)企主要做鋁產(chǎn)品，去的時(shí)候正好是公司飛速發(fā)展期，管理上比較舍得投入，企業(yè)文化就是加班，然后人性化與管理的沖突也是家常便飯，在此期間接觸過(guò)ISO9000跟ERP實(shí)施的一些項(xiàng)目。

隨后2003年去了德資企業(yè)就是賽瑯泰克，一做就是13年。在這個(gè)公司里學(xué)了很多成功公司的經(jīng)驗(yàn)規(guī)范和流程，各個(gè)部門(mén)的分工合作。在此期間這家公司也多次并購(gòu)重組，公司的IT從無(wú)到有，然后搬遷，然后架構(gòu)調(diào)整，前后也經(jīng)歷過(guò)私人總經(jīng)理。給個(gè)人的感受比較深的就是對(duì)員工比較尊重，給每個(gè)員工成長(zhǎng)空間，按章辦事、中規(guī)中矩。

1. 公司背景

今天主要講十多年的臺(tái)企跟歐美企業(yè)IT信息化，首先簡(jiǎn)單介紹一下公司的背景情況。

賽瑯泰克是一家獨(dú)資公司，洛克伍德是他的母公司集團(tuán)公司，之前經(jīng)歷過(guò)三次的收購(gòu)，第一次收購(gòu)叫MG TECHNOLOGY，下面的一個(gè)叫諾貝爾炸藥集團(tuán)，第二次是被叫洛克伍德聯(lián)合KKR基金收購(gòu)的，到了2012年的時(shí)候，被世界第二大投資公司叫英國(guó)盛峰投資并購(gòu)。主要以高技術(shù)陶瓷產(chǎn)品為主，目前也是世界上陶瓷行業(yè)排名也是數(shù)一數(shù)二的。從1903年馬克特維茨創(chuàng)立以來(lái)，經(jīng)過(guò)一百多年的發(fā)展歷史，至今總部在斯圖加特那邊的波洛根區(qū)，跟博世是鄰居，跟賽瑯泰克集團(tuán)分成四大BU，就是汽車(chē)、電子、醫(yī)療技術(shù)和工業(yè)應(yīng)用。2011年的時(shí)候，它的銷(xiāo)售數(shù)據(jù)大概是340個(gè)million歐元，4200名員工和大概20幾個(gè)PLANT。

到了這家公司經(jīng)常有人會(huì)問(wèn)我，你們公司是不是做鍋碗瓢盆的，不是的，我們基本都是做以工業(yè)陶瓷為主。上面這張圖里面就是我們看到很多產(chǎn)品，比較典型的就是人造骨骼關(guān)節(jié)，就像我們比如說(shuō)一些股骨頭上面有一些薄的那種軟骨組織，如果受損它會(huì)摩擦，摩擦它就會(huì)比較疼痛，那就會(huì)把這個(gè)骨頭切掉，然后用我們的陶瓷產(chǎn)品，基本上現(xiàn)在我們這個(gè)骨頭產(chǎn)品，是全球壟斷的行業(yè)。邊上有一個(gè)叫SPK CUTTING TOOL，這一塊主要是做陶瓷切割工具的、切割金屬的,就是汽車(chē)發(fā)動(dòng)機(jī)上面做一些切割車(chē)床之類(lèi)的，然后邊上有一個(gè)水閥片龍頭。

目前來(lái)說(shuō)世界上比較知名的一些衛(wèi)浴產(chǎn)品基本上都是用我們的水閥芯，包括美標(biāo)、樂(lè)佳、高儀那些基本上都是我們的客戶(hù)，下面還有一些電子產(chǎn)品，可能是用在汽車(chē)ABS上面的，還有一些產(chǎn)品我也不是太熟，基本上都是德國(guó)總部在賣(mài)。

這家公司的基礎(chǔ)架構(gòu)跟組織大概是分成兩塊，一塊是基礎(chǔ)架構(gòu)類(lèi)的，還有一塊圍繞ERP應(yīng)用周邊的一些小的應(yīng)用系統(tǒng)。然后基礎(chǔ)架構(gòu)大概規(guī)模是這樣子，一千八百個(gè)客戶(hù)端、九百個(gè)打印機(jī)、五百五十種應(yīng)用、一萬(wàn)五千個(gè)License，六百個(gè)SAP用戶(hù)，然后一千五百個(gè)NOTES授權(quán)，兩百四十個(gè)服務(wù)器，大概11條MPS線(xiàn)路和20個(gè)存儲(chǔ)的系統(tǒng)。

2. IT行業(yè)認(rèn)知

下面回顧看IT自己本身總結(jié)幾點(diǎn):

第一點(diǎn)，公司里面的IT感覺(jué)太low，因?yàn)闆](méi)有power，缺乏資源，考慮問(wèn)題的角度就像盲人摸象，然后離開(kāi)這個(gè)平臺(tái)你可能什么都不是，面對(duì)這種高層CFO、CEO眼里你可能缺少管理經(jīng)驗(yàn)或者最佳實(shí)踐的經(jīng)驗(yàn)，在乙方眼里你可能沒(méi)有技術(shù)或者產(chǎn)品。

第二點(diǎn)，作為這個(gè)企業(yè)的IT從業(yè)者，所有的信息化都是圍繞企業(yè)的經(jīng)營(yíng)而展開(kāi)的，而不是說(shuō)單純的IT技術(shù)應(yīng)用升級(jí)，但是有時(shí)候?qū)@個(gè)技術(shù)又比較執(zhí)著。

第三點(diǎn)，IT人感覺(jué)都比較缺乏財(cái)務(wù)成本的概念，風(fēng)險(xiǎn)控制和人的資源因素所以說(shuō)IT組推動(dòng)的項(xiàng)目失敗的概率還是相對(duì)來(lái)說(shuō)比較大的。

第四點(diǎn)，IT人對(duì)這個(gè)業(yè)務(wù)不太熟悉，然后信息比較閉塞，業(yè)務(wù)部門(mén)很少會(huì)主動(dòng)跟你聊一些業(yè)務(wù)細(xì)節(jié)，然后缺乏規(guī)劃經(jīng)驗(yàn)，導(dǎo)致信息誤導(dǎo)或者是重復(fù)的IT投資，投資回報(bào)或者不成比例。

第五點(diǎn)，IT創(chuàng)新成為利潤(rùn)部門(mén)或者說(shuō)利潤(rùn)中心，我覺(jué)得還不夠成為業(yè)務(wù)部門(mén)，我在這個(gè)企業(yè)里面經(jīng)歷過(guò)幾個(gè)階段，大概四、五個(gè)階段。

第一個(gè)階段可能就是技術(shù)員，主要是為了解決問(wèn)題，就是被動(dòng)式響應(yīng)，有什么問(wèn)題過(guò)去救火幫幫忙修修電腦這樣子。第二階段就是你到這個(gè)工程師的級(jí)別，我知道可以分析問(wèn)題了，知道為什么這么去解決問(wèn)題，因?yàn)橹翱赡軟](méi)有學(xué)過(guò)CCNA、MCSG這種東西，你不知道為什么這樣去分配管理網(wǎng)絡(luò)，這樣去解決安裝系統(tǒng)這些東西。下面就是技術(shù)主管，就是管理問(wèn)題，知道用系統(tǒng)和工具去管理日常工具了。再下來(lái)就是部門(mén)經(jīng)理，我主要是為了控制問(wèn)題平衡利弊，然后選擇比較優(yōu)秀的合作供應(yīng)商，然后內(nèi)部關(guān)系的協(xié)調(diào)處理，掌握項(xiàng)目管理的一些手段，這時(shí)候?qū)W到PMP類(lèi)似項(xiàng)目管理的技能。最后一個(gè)階段就是CIO或者IT總監(jiān)的循序漸進(jìn)的過(guò)程，然后站在業(yè)務(wù)成本、風(fēng)險(xiǎn)角度思考問(wèn)題，利用合理的方法溝通解決問(wèn)題，提供比較權(quán)威和最佳時(shí)間和落地方案。

3. IT戰(zhàn)略規(guī)劃ITSM的關(guān)系

下面我們講一下IT戰(zhàn)略規(guī)劃與ITSM的關(guān)系，ITSM重點(diǎn)主要是IT的運(yùn)維和管理，而不是說(shuō)IT的戰(zhàn)略規(guī)劃，一般IT戰(zhàn)略規(guī)劃建議去參考COBIT，TOGAF這種書(shū)籍。下面IT規(guī)劃關(guān)注的主要是組織的IT方面的戰(zhàn)略問(wèn)題，而ITSM是為了確保IT戰(zhàn)略得到有效執(zhí)行戰(zhàn)術(shù)性和運(yùn)作性的活動(dòng)。IT服務(wù)管理方法可以參考ITIL是比較落地的一套東西，然后ITIL又可以說(shuō)是IT自己的ERP系統(tǒng)。

現(xiàn)在我發(fā)現(xiàn)大家比較關(guān)注的問(wèn)題都是在大家做項(xiàng)目沒(méi)有預(yù)算怎么辦?這個(gè)確實(shí)是比較痛苦的一個(gè)事情，就是苦逼的IT基本上得不到高層領(lǐng)導(dǎo)的支持和授權(quán)委任。分析一下大概原因，我統(tǒng)計(jì)了一下大概有這么幾點(diǎn):

一個(gè)是缺乏信息覺(jué)悟，就是領(lǐng)導(dǎo)缺少覺(jué)悟，他覺(jué)得這個(gè)IT，你是不是修電腦的。

第二點(diǎn)，不相信這個(gè)比較容易做或者是你可以搞定。

第三點(diǎn)，沒(méi)把信息當(dāng)成作為一種資源來(lái)看。

第四點(diǎn)，你財(cái)務(wù)上的一些數(shù)據(jù)，你老板不太信任你，你的投資回報(bào)、效率評(píng)估，它可能不太準(zhǔn)確，老板還是比較相信財(cái)務(wù)。

第五點(diǎn)是一個(gè)短期行為，可能客戶(hù)又倒逼過(guò)來(lái)了，我需要你及時(shí)交貨或者怎么樣，簡(jiǎn)單的去處理一些問(wèn)題，短期解決客戶(hù)投訴的問(wèn)題。

在此，我讓大家思考一下，如果上面這些問(wèn)題解決了，那問(wèn)老板要預(yù)算是不是就可以解決了?這邊這張圖就是我們德國(guó)那邊總部，比如說(shuō)你超過(guò)預(yù)算是30萬(wàn)以上的，他就會(huì)做一張IT投資評(píng)估RIR的表，這張表基本上都是以財(cái)務(wù)為計(jì)算方法，像NPV凈值這種RIR投資回報(bào)，比如說(shuō)你可以做三到五年的投資回報(bào)，但目前來(lái)說(shuō)，我感覺(jué)你超過(guò)兩年以上，老板就覺(jué)得你在畫(huà)餅了已經(jīng)給他了。

4. 信息化戰(zhàn)略規(guī)劃

我們正式開(kāi)始講IT信息化戰(zhàn)略規(guī)劃的方法，企業(yè)做規(guī)劃有幾個(gè)要素，我總結(jié)了一下，基本上就是一個(gè)導(dǎo)向，以戰(zhàn)略為導(dǎo)向;兩個(gè)基礎(chǔ)，就是文化跟信息化為基礎(chǔ);三個(gè)資助就是組織你的流程人力，這個(gè)跟HR又相關(guān)。凡事預(yù)則立，不預(yù)則廢，就是說(shuō)凡事我先預(yù)先計(jì)劃好，那我可能失敗的可能性就比較小，所有的成敗取決于企業(yè)的執(zhí)行力，而執(zhí)行力的成敗看世界。企業(yè)追求就是氣道合，氣就是方向、戰(zhàn)略、企業(yè)文化跟精神;道就是方法、技術(shù)、工具;合就是組織與人才，銷(xiāo)售與生產(chǎn)力的整合。

IT咨詢(xún)規(guī)劃的步驟大概分成六步，了解當(dāng)前的SITUATION，然后確定這個(gè)期望狀況，然后分析兩者之間差異，推薦一個(gè)從當(dāng)前狀況向期望狀況轉(zhuǎn)變的GAP，然后跟你的客戶(hù)，就是內(nèi)部客戶(hù)，然后實(shí)施此行動(dòng)計(jì)劃，最后統(tǒng)計(jì)出來(lái)一個(gè)項(xiàng)目報(bào)告。

這是之前公司做的一份IT戰(zhàn)略規(guī)劃的一個(gè)大綱，大概我看有8個(gè)部分，里面從企業(yè)的發(fā)展戰(zhàn)略，企業(yè)的業(yè)務(wù)需求，然后到信息化的架構(gòu)，候選的一些應(yīng)用軟件，網(wǎng)絡(luò)硬件的架構(gòu)，然后實(shí)施步驟，投資、預(yù)算然后信息部門(mén)的一些職責(zé)。

這張圖就是整體公司的戰(zhàn)略發(fā)展圖，從愿景、使命到價(jià)值觀，然后總體的戰(zhàn)略目標(biāo)，一般企業(yè)基本上是以盈利為目的，肯定是我今年銷(xiāo)售要達(dá)到多少個(gè)億，然后一些戰(zhàn)略部署。再下面肯定是一些KPI，說(shuō)到KPI，這邊稍微簡(jiǎn)單講兩句，目前來(lái)說(shuō)大部分企業(yè)還是繼續(xù)在用KPI，可能有一些企業(yè)他可能是用到360或者是平衡積分卡，目前還有一些用到OKR，KPI(績(jī)效指標(biāo))這個(gè)東西一般來(lái)說(shuō)公司需要什么，然后你的KPI就定什么，一般來(lái)說(shuō)就是這樣子。

下面說(shuō)一下企業(yè)信息化的層次，通常來(lái)說(shuō)我們基本上都會(huì)分成三層:

• 第一個(gè)層次就是戰(zhàn)略決策層，里面包括這些市場(chǎng)動(dòng)態(tài)與競(jìng)爭(zhēng)，客戶(hù)滿(mǎn)意度，國(guó)際政治與金融。
• 第二層的就是計(jì)劃與控制層，里面包括計(jì)劃與實(shí)際的比較，銷(xiāo)售收入、產(chǎn)量質(zhì)量、費(fèi)用開(kāi)銷(xiāo)、成本交付質(zhì)量等等。
• 第三層次就是操作運(yùn)行層面的，包括質(zhì)量成本，交付實(shí)際運(yùn)營(yíng)的。

信息化就是涵概這么幾個(gè)層面，而維度就是以時(shí)間單位來(lái)衡量，這個(gè)跟ISO9000有點(diǎn)像，這一點(diǎn)上面可能就是質(zhì)量方針，第二層可能就是一些PROCEDURE程序文件，最下面可能就是指導(dǎo)的一些書(shū)面的東西。企業(yè)從多級(jí)管理模式財(cái)務(wù)角度來(lái)說(shuō)，我們可以分成四個(gè)中心:投資中心、利潤(rùn)中心、生產(chǎn)中心和成本中心。一般是說(shuō)Global層面它可能會(huì)有投資中心，本地這個(gè)投資中心就沒(méi)有了。

這張圖也是從戰(zhàn)略運(yùn)營(yíng)執(zhí)行上面去分解，然后各個(gè)計(jì)劃，最后分解到各人的工作任務(wù)，我就不多說(shuō)了。

下面我來(lái)講講企業(yè)信息化核心與首要任務(wù)，對(duì)于一個(gè)企業(yè)來(lái)說(shuō)，企業(yè)的管理系統(tǒng)叫Business Management System，這個(gè)就是叫BMS，以ERP為核心將辦公自動(dòng)化、客戶(hù)關(guān)系管理，生產(chǎn)、財(cái)務(wù)、人事、銷(xiāo)售以及其他的一些業(yè)務(wù)系統(tǒng)集成在一起的一個(gè)信息系統(tǒng)。財(cái)務(wù)管理是BMS跟ERP的基礎(chǔ)，制造管理就是以MES為基礎(chǔ)，打通ERP跟MES集成，我感覺(jué)是制造業(yè)IT主要的價(jià)值目標(biāo)。

主要任務(wù)就是IT要解決這個(gè)企業(yè)的三大核心能力:

第一個(gè)就是運(yùn)用這個(gè)企業(yè)管理系統(tǒng)去強(qiáng)化企業(yè)的競(jìng)爭(zhēng)力，比如說(shuō)降低你的庫(kù)存，庫(kù)存周轉(zhuǎn)率，提高你的交付的效率各方面。第二點(diǎn)就是強(qiáng)化企業(yè)供應(yīng)鏈的一些管理，提高服務(wù)價(jià)值，就是你的閉環(huán)供應(yīng)鏈，讓客戶(hù)更快的響應(yīng)你的庫(kù)存或者什么。第三點(diǎn)就是用一些電子商務(wù)，現(xiàn)在很流行互聯(lián)網(wǎng)這種電商平臺(tái)，全方位捕捉客戶(hù)。

通常驅(qū)動(dòng)做規(guī)劃都會(huì)有一個(gè)契機(jī)，目前來(lái)說(shuō)有兩種驅(qū)動(dòng):一種叫管理驅(qū)動(dòng);一種叫技術(shù)驅(qū)動(dòng)，都有內(nèi)部和外部的兩種。內(nèi)部管理驅(qū)動(dòng)一般是說(shuō)企業(yè)重組，比如說(shuō)老板換人了，然后想降低成本的一些東西。外部主要是一些競(jìng)爭(zhēng)對(duì)手的策略，企業(yè)自身的一些策略。技術(shù)驅(qū)動(dòng)內(nèi)部主要是一些IT人自身的一些遠(yuǎn)見(jiàn)，然后管理人員認(rèn)識(shí)的提高等等。外部主要就是企業(yè)基于IT的這些競(jìng)爭(zhēng)威脅，主要的成本改變，還有IT創(chuàng)造產(chǎn)品和市場(chǎng)股東對(duì)股票經(jīng)營(yíng)的信息化要求等。

這張圖基本上就是公司里面信息化系統(tǒng)架構(gòu)的一個(gè)總覽，大家可以看到，我在最上面的這些企業(yè)管理系統(tǒng)，你像包括PDM、MES、ERP、CRM、OA，然后會(huì)通過(guò)這個(gè)企業(yè)信息總線(xiàn)，然后到下端的數(shù)據(jù)倉(cāng)庫(kù)，然后再做一些BI數(shù)據(jù)分析挖掘，最下面就會(huì)產(chǎn)生內(nèi)部跟外部的DATAWAREHOUSE或Internet的一些PORTAL，在這個(gè)上面可以看到這個(gè)總覽架構(gòu)。

這張圖就是信息化系統(tǒng)規(guī)劃的一些主要工作，基本上就是企業(yè)戰(zhàn)略，然后到企業(yè)的需求，然后再到框架，然后選型，然后實(shí)施，投資、回報(bào)、預(yù)測(cè)，然后再到各個(gè)信息部門(mén)，把各個(gè)文檔、SOP建立好，基本上就是這樣的步驟。

作為一個(gè)IT管理者，需要考慮跟解決的問(wèn)題主要有四點(diǎn):

第一點(diǎn)是你如何建立跟貫徹IT戰(zhàn)略跟IT體系?第二點(diǎn)就是如何實(shí)現(xiàn)IT系統(tǒng)的靈活性跟互操作性，以便更快的響應(yīng)業(yè)務(wù)需求?第三點(diǎn)如何降低IT投資跟運(yùn)營(yíng)成本，并且獲得更多的IT投資回報(bào)?第四點(diǎn)就是如何管理你IT的結(jié)構(gòu)復(fù)雜性?

上面這張圖列出來(lái)之后做IT規(guī)劃項(xiàng)目的時(shí)候，可能需要按照一定的科學(xué)步驟，因?yàn)楸旧鞩T，我覺(jué)得是科學(xué)管理的一個(gè)產(chǎn)品，所以說(shuō)它的實(shí)施也是必須要按照比較科學(xué)的步驟方法去推動(dòng)。

上面分享了PPT，主要是IT部門(mén)相關(guān)的這些文件，大家可以看到很多，什么有ERP、IT POLICY，還有OA，一些路由硬件的配置，SOP、training，instruction很多很多，還有類(lèi)似這種軟件開(kāi)發(fā)的一塊東西，文檔說(shuō)明，反正有很多文檔。

下面我們來(lái)講講企業(yè)信息化戰(zhàn)略的規(guī)劃方法，我統(tǒng)計(jì)了一下基本上規(guī)劃方法分成兩類(lèi)，一種是思路，一種是方法。

第一種叫夢(mèng)想法，就是說(shuō)老板給IT畫(huà)餅，那我們也要有時(shí)候給老板也要畫(huà)畫(huà)餅，有時(shí)候老板跟你聊著聊著，然后他就會(huì)想，查爾斯，我這邊可能需要一個(gè)什么系統(tǒng)，你要不要先幫我找找供應(yīng)商，看看他們是怎么樣的解決方案?過(guò)了一段時(shí)間，他把這個(gè)事情給忘了，忘了之后供應(yīng)商不是要問(wèn)我們嗎?查爾斯你這個(gè)事情有什么進(jìn)展了?然后你就會(huì)比較尷尬這個(gè)事情，你就不太好回答了。

我發(fā)了很多關(guān)于IT規(guī)劃的一些方法，這些方法其實(shí)就根據(jù)企業(yè)各自?xún)?nèi)部的實(shí)際情況去采用，目前來(lái)說(shuō)我們基本上一些老的公司采用BPR的業(yè)務(wù)流程再造可能會(huì)比較多一些，這個(gè)就是通常碰到一些需求，可能老的系統(tǒng)不能滿(mǎn)足最新的業(yè)務(wù)發(fā)展，我可能就會(huì)做一個(gè)流程再造。

上面有七點(diǎn)可以作為你信息化的指標(biāo)的評(píng)估，但是按照兩大核心的理解來(lái)劃，我們可以以ERP財(cái)務(wù)為核心，就看這個(gè)財(cái)務(wù)最后跑出來(lái)的結(jié)果是否正確，他的MRK跑出來(lái)的結(jié)果是不是可以校驗(yàn)?zāi)氵@個(gè)ERP是否上線(xiàn)成功。MES那一塊就是看人機(jī)料法環(huán)測(cè)和生產(chǎn)排成控制，還有生產(chǎn)數(shù)據(jù)實(shí)時(shí)的反應(yīng)結(jié)果。

這張圖在我從業(yè)當(dāng)中，我跟各個(gè)業(yè)務(wù)部門(mén)打交道的時(shí)候，發(fā)現(xiàn)他們的一些工作核心點(diǎn)在哪里，比如財(cái)務(wù)他主要關(guān)注一些利潤(rùn)預(yù)算達(dá)成，還有一些成本的控制，成本的一些CONTROLLING的一些東西。HR他可能關(guān)注在績(jī)效考核，員工企業(yè)文化的一些建設(shè)，還有相關(guān)的一些法律法規(guī)的調(diào)整。物流部門(mén)主要是供應(yīng)鏈控，制交出貨，庫(kù)存周轉(zhuǎn)率這些事情。生產(chǎn)主要是計(jì)劃執(zhí)行，它的產(chǎn)量工藝。IT本部門(mén)一般我們追求系統(tǒng)穩(wěn)定性，可用性這些東西，用戶(hù)滿(mǎn)意度還有技術(shù)服務(wù)與創(chuàng)新。銷(xiāo)售部門(mén)主要就是利潤(rùn)達(dá)成、客戶(hù)關(guān)系，還有商務(wù)上的一些事情。

第一部分的最后一張PPT是講CL的思考，作為這個(gè)CIO，我們要有幾點(diǎn)，首先你要放手你的技術(shù)堅(jiān)持，然后搞清楚你是為了企業(yè)主營(yíng)業(yè)務(wù)發(fā)展，而不是說(shuō)為了信息技術(shù)的發(fā)展。理解成本和預(yù)算的邏輯，用這套邏輯來(lái)審視一下你企業(yè)每個(gè)運(yùn)作的環(huán)節(jié)。第三點(diǎn)就是學(xué)習(xí)一下你的企業(yè)戰(zhàn)略，這個(gè)目標(biāo)與實(shí)際之間的一些差異，思考一下如何去改變這個(gè)GAP。第四讀懂企業(yè)的戰(zhàn)略，思考在其中你能做一點(diǎn)什么。

5. 企業(yè)信息安全審計(jì)

接下來(lái)我來(lái)分享第二部分，關(guān)于企業(yè)信息安全審計(jì)的一些分享，在做這個(gè)事情之前，我們公司也讓我去參加過(guò)一些關(guān)于安全方面的培訓(xùn)，包括ISO27000內(nèi)審員的資質(zhì)認(rèn)證，還有CISSP的就是國(guó)際信息安全認(rèn)證專(zhuān)家。大部分精華部分我覺(jué)得是這樣子，信息安全它圍繞三個(gè)原則來(lái)說(shuō)，機(jī)密性、完整性和可用性。

企業(yè)里面的信息安全通常來(lái)自四個(gè)地方:一個(gè)是法律法規(guī)，組織原則目標(biāo)和規(guī)定，風(fēng)險(xiǎn)評(píng)估的一些結(jié)果和特定的一些突發(fā)事件，比如說(shuō)員工的一些BUSINESS CONDUCT的違規(guī)或者怎么樣子。

這個(gè)是信息化安全的一個(gè)金字塔模型，從最底層安全策略、用戶(hù)驗(yàn)證，加密訪(fǎng)問(wèn)控制，最上面就是審計(jì)跟管理。之前由于賽瑯泰克在被洛克伍德美國(guó)公司收購(gòu)之后，它是一家上市公司，所以說(shuō)它的審計(jì)會(huì)相當(dāng)來(lái)說(shuō)多一點(diǎn)，我在公司這個(gè)階段里面，我會(huì)經(jīng)歷過(guò)這些安全審計(jì)，像ISO27000，滲透測(cè)試和IT規(guī)劃類(lèi)的，還有SOX，還有風(fēng)險(xiǎn)評(píng)估，ISO的一些TUV，9000、FDA，還有總部的一些安全策略和一些四大會(huì)計(jì)事務(wù)所的審計(jì)。

目前公司應(yīng)該是已經(jīng)通過(guò)ISO27000的審核，審核應(yīng)該從2004年到2012年建立起一套信息安全的管理體系，簡(jiǎn)稱(chēng)叫ISMS，主要集中在這個(gè)信息技術(shù)部門(mén)。

這張PPT主要是講如何建立公司的信息安全?大概有幾個(gè)方面:

第一個(gè)是識(shí)別安全風(fēng)險(xiǎn)和信息資產(chǎn);第二點(diǎn)是創(chuàng)建物理安全;

第三點(diǎn)是文件數(shù)據(jù)的信息分類(lèi)，下面就是員工安全告知，公司的一些安全方針，員工的安全培訓(xùn)，下面一張圖可以看到員工安全培訓(xùn)的一些東西。檢查合規(guī)，第三方審計(jì)，最后一個(gè)安全意識(shí)的培養(yǎng)。

[[186190]]

這張圖就是ISO27000的時(shí)候，給我們員工做的一些信息安全的培訓(xùn)的事例圖，大家可以看到這里面紅色框劃出來(lái)的地方都不是太安全，像窗戶(hù)沒(méi)關(guān)、門(mén)沒(méi)關(guān)，電腦屏幕沒(méi)鎖定，香煙還在那邊點(diǎn)著人沒(méi)了，各種打印機(jī)上面的文件也沒(méi)拿走，拖線(xiàn)板到處地上都是，這個(gè)是相當(dāng)不安全的這些。

下來(lái)我們講一下意思就是塞班斯法，是美國(guó)的一條關(guān)于內(nèi)審、運(yùn)營(yíng)、安全合規(guī)的法律，其中information technology部分大概有30幾個(gè)問(wèn)題，回答這些問(wèn)題都很頭痛，他問(wèn)你怎么控制的?怎么提供證據(jù)?怎么說(shuō)明你已經(jīng)完成這個(gè)事情?比較傷腦筋，如果大家需要SOX SURVEY這個(gè)表的話(huà)，到時(shí)候我可以單獨(dú)發(fā)給你們，這個(gè)沒(méi)問(wèn)題的。

做完這些事情之后，我們會(huì)有一個(gè)系統(tǒng)，讓你登進(jìn)去之后，根據(jù)各個(gè)公司的BU，然后把你的PROCESS,RISK,CONTROL,TEST ISSUE到這個(gè)網(wǎng)站上去，總部會(huì)看你這些數(shù)據(jù)。

一個(gè)第三方咨詢(xún)的，我們請(qǐng)了一個(gè)第三方咨詢(xún)公司，幫我們做了一個(gè)Penetration Test滲透測(cè)試，主要是做八大方面的測(cè)試，一個(gè)是安全能力評(píng)估，外部跟內(nèi)部的滲透測(cè)試，還有wifi的滲透測(cè)試，物理滲透測(cè)試，還有社會(huì)工程、網(wǎng)站跟你的這些網(wǎng)絡(luò)設(shè)備的配置的評(píng)估。這個(gè)測(cè)試價(jià)格也非常昂貴，我們基本上后來(lái)做了大概四天，后來(lái)他們咨詢(xún)公司跟我們收了十幾萬(wàn)好像。

上面有一個(gè)管理上面的Risk Assessment風(fēng)險(xiǎn)評(píng)估，這個(gè)基本上也是運(yùn)營(yíng)方面相關(guān)的，但是IT也是帶到了，基本上也是幾十個(gè)問(wèn)題，也相當(dāng)頭痛，就是問(wèn)你IT怎么去Control的，怎么符合你的Compliance合規(guī)性這些東西。

這個(gè)風(fēng)險(xiǎn)評(píng)估其實(shí)跟項(xiàng)目管理里面有個(gè)叫風(fēng)險(xiǎn)管理相關(guān)，它也有相當(dāng)類(lèi)似于四象限的東西，我們把這些風(fēng)險(xiǎn)都識(shí)別出來(lái)之后，然后判斷這個(gè)事到底是低風(fēng)險(xiǎn)低損失的，還是高風(fēng)險(xiǎn)高損失的?如果在中間的這個(gè)部分，我們看到它發(fā)生的概率是多大?

做完這些測(cè)試、評(píng)估，這些法則的合規(guī)性的調(diào)查問(wèn)卷之后，就會(huì)出來(lái)這種類(lèi)似讓你整改的ACTION PLAN，什么時(shí)候計(jì)劃完成?大概要花多少時(shí)間?多少錢(qián)?反正就責(zé)任到人，然后有個(gè)CROSS Check，然后基本上就是這樣子。

IT內(nèi)部，我們基本上定期會(huì)做IT的一個(gè)安全檢查，比如說(shuō)你的電腦密碼有沒(méi)有設(shè)定?但是后來(lái)我們就推送一些DOMAIN POLICY，基本就已經(jīng)改掉了這些，但是你本地可能有一些筆記本電腦需要移動(dòng)辦公，但是要給他權(quán)限，就是查他的軟件的LICENSE有沒(méi)有盜版?它的防毒軟件有沒(méi)有去變更?瀏覽器它的安全性等級(jí)各方面，反正就是一堆的補(bǔ)丁，有沒(méi)有去打去檢查這些東西。

剩下的基本上就是每?jī)傻饺甓紩?huì)有一次這種四大會(huì)計(jì)事務(wù)所去審計(jì)，我們最早是PWC，后來(lái)改成德勤、埃森哲，基本四大會(huì)計(jì)事務(wù)所我們都輪流用過(guò)來(lái)了。他們主要其實(shí)做財(cái)務(wù)審計(jì)，但做完財(cái)務(wù)審計(jì)之后，IT的一些東西會(huì)順帶幫我們一起做了審計(jì)，都會(huì)問(wèn)一些這種諸如此類(lèi)上面這些問(wèn)題。

我大概今天就聊到這里，非常感謝大家，謝謝!

戳這里，看該作者更多好文