*本文作者：lywhiz，本文属 FreeBuf 原创奖励计划，未经许可禁止转载。

前言

最近在看一些IT治理和企业管理的资料，觉得这种管理层面的理论更偏向于宏观层面，考虑的更为广泛和细致，而且老外的思维和我们确实不太一样，有时候要一改之前的思考方式，换角度看问题，去年看《GDPR》的时候，真的是佩服这帮编写者的逻辑缜密性。进来准备备考CGEIT和CISM，所以比较关注治理方面的体系和方法。加上今日拜读了2019政府工作报告，想到了一些东西，随笔写了本文。有不当或不足之处，请各位指正。

摘要

下边会从以下这些方面从客观角度说说能够想到的问题，具体如何解决要企业结合实际情况来看。说道治理这个层面，真正涉及到技术的东西少了很多，更多的都是管理学的技术手段。

战略层面

组织结构

一个好的组织架构可以给公司正确的方向指引，推动企业想着目标前进。这部分参考COBIT5（下文简称C5）的建议。按照西方企业治理的理念，首先企业的利益相关方会制定战略目标，公司未来的工作都将以此为主展开，IT治理讲的是企业IT战略目标要符合公司战略目标，IT是推动企业实现目标的动力而不能是企业发展的瓶颈或阻力。简单来说，技术、创新、流程、文化、绩效都是为了实现利益相关方制定的目标，最终都是为了获得收益，创造价值。同时也要落实责任制，以便追责。C5中建议在战略层面的实践应包括：

信息安全政策

访问控制政策

人力信息安全政策

物理和环境信息安全政策

事件管理政策

业务连续性和灾难恢复政策

资产管理政策

行为准则（可接受使用）

信息系统获取，软件开发和维护政策

供应商管理政策

通信和操作管理政策

合规政策

风险管理政策

企业中，信息安全角色至少应包括：

首席信息安全官，负责企业信息安全项目；

信息安全指导委员会，通过监控和审查，确保信息安全良好实践在企业有效且持续应用；

信息安全经理，负责信息安全管理工作；

企业风险管理委员会，以增加企业利益相关者短期和长期价值为目的，负责企业评估、控制、优化等决策，并监控所有风险；

信息托管人，业务和信息安全部门之间的联络人。

科学发展、高质量发展

这部分一般是国家层面才会提到，作为企业可能没有到达这种高度，单后质量一直是重点。避免一些垃圾项目和无效投入，多做可复制可拓展的项目，做好有效投资，不要盲目为了好看的报表去强行促成项目与合作。

创新和成果

这部分是比较难的，大多私营企业都是在重复着同样的工作，维持现状，可以养活自己就够了。而大多事业单位拿一些虚假成果当做创新，申请专利和奖项，为了体现业绩和实力。现在我们缺乏太多的创新和刻苦精神，太注重表明的虚假繁华。要知道，真正推动经济发展的是创新（包括技术），提升生产力才能有所进步，不然只是停留在原地踏步，又能有什么贡献。

另一个方面，创新需要时间和资金，本人在基层和私企都呆过，很清楚想要静下心学点东西，研究点东西有多难，一会这个叫你，一会那个找你，不是琐事就是项目进度。希望企业如果想要创新成果，起码你要给这些人一些研究的时间和经费，不要让研究人员两周出一个创新技术专利。

融资与资金流

这部分只提一句，非金融行业的，不敢乱说。公司资金流很重要，尤其微小企业，保证资金链就是保住命，近年来国家一直在鼓励创业并放开微小企业的融资贷款政策。起码保持负载率和资金流动比在合理的比例范围。

稳投资、稳增长

同样是看报告想到的，了解的一些公司扩张可以用疯狂形容。但实际上，你的业务真的达到这种规模么？拿星巴克来说，1-2线城市，同一个商场至少2家店铺，每个店铺4-10人。那么，问题来了，拿2线城市来说，人均工资服务业基本都在4-6k，而星巴克店员平均薪资大概是3-4k，经常倒班，这就造成了人员流动，而且速度很快，很多时候都是人员不足1个人顶2个人干，全年忙着招人。我觉得这种运营方式本身就有问题，时间久了，怕是要出事的。再就是某家房产服务公司，之前上了新闻，给租客办信用卡，提前预支房租去搞扩张，最后资金链断裂，爽了。这种基于求成，揠苗助长的增长，只能带来一时的短期效益，不可能长久持续。想想，国家GDP都开始稳定在6-7个点了，作为企业每年都想效益翻倍，怕是不太现实吧。（个别企业除外）

风险管理

这部分主要是针对公司风险，讲求防风险、可控、有序、适度化解风险。保证企业有能力识别运营、财务、投资、资源、IT方面的风险，对于风险的潜在影响可以控制在可接受范围，针对不同风险划分优先级，有序处置。风险不可能完全根除，随着时间风险的等级会发生变化，所以更多的是化解风险，降低风险，持续观察，随意警惕。

有位大佬提到一个概念，弱点管理，我觉得说的很好。

弱点管理不是弱点评估。弱点评估对应我们熟知的弱点扫描工具，包括系统漏扫、web漏扫、配置核查、代码扫描等。而弱点管理是在弱点评估工具之上，收集这些工具所产生的各类弱点数据，进行集中整理分析，并辅以情境数据（譬如资产、威胁、情报等），进行风险评估，并帮助安全管理人员进行弱点全生命周期管理的平台。记住，弱点管理是平台，而弱点扫描是工具。

另外，Vulnerability Management我一直称作“弱点管理”，而不是“漏洞管理”，是因为弱点包括漏洞，还包括弱配置！如果你认为Vulnerability应该叫做漏洞，那也没关系，但不要把弱配置落掉。这部分有兴趣的可以去看下Gartner的CARTA（Continuous Adaptive Risk and Trust Assessment）安全项目。

财务优化

财务上避免一些浪费情况，可以主要通过一些流程和制度进行控制。比如商务阶段的招待，关系费用。还有一些无效的市场活动、计划项目和岗位设置。在保证经济效益的前提下，加强企业盈利能力，降低负债，提升员工工作热情和责任感。重视企业资金管理，加大管理力度，转变理念，完善管理制度，加大财务管理人才培养。

管理层面

工作多而频，无实际收益

减少各种大会小会，减少重复性无效工作（没有收益），减少无效输出物。一天到晚各种会议，不是说企业重视工作，而是企业根本不知道要干嘛，三天两头更改策略，一会一个想法。如果真正目标明确，团队分工明确，按计划推进工作，每周一次集中会议（小于1小时）足矣。再来就是乙方中常见的各种项目支持，为了促成项目硬上，反正资源用的是公司的，提成是自己的，搞不定再去搞下一家。不明确甲方需求和意图，前端与后端自己想自己的事，毫无配合，5成的输出都是无用功。

报告中原文提到：“各级政府要坚决反对和整治一切形式主义、官僚主义，让干部从文山会海、迎评迎检、材料报表中解脱出来，把精力用在解决实际问题上。压减和规范督查检查考核事项，实施“互联网+督查”。减少开会和发文数量，今年国务院及其部门要带头大幅精简会议、坚决把文件压减三分之一以上。”

简化流程

流程建设是必要的，但复杂的流程是没有必要的。这方面讲究的是覆盖要全，过程简单，有记录可查。而不是要各种审核，各种讨论，有时甚至个别审批还要小恩小惠去求人。这不是流程管理所提倡的。

详细的流程管理在C5中有详细介绍，有兴趣的可以去看下《COBIT5 for info security》，主要是将信息安全层面的企业流程体系。

增收入

企业为了节约成本一般都会压缩工资成本，这也是常见的问题，也可以理解。所以目前就是人员流动频繁，哪家给的多我就去哪家。大多公司会按照本市最低工资标准给员工缴纳五险一金，个别大厂和外企一般都会按全额缴纳。其实不要求企业给员工全额缴纳保险，完全可以提高1-2档，不按最低档即可，这样一来对人员稳定性会有一定保障。况且今年国家政策，企业缴纳的养老金比例可以调整到16%，国家层面也是希望能够进一步提高人民福利。

文化建设

这部分能说的内容太多，但大多都是政治层面的东西，所以简单提一句，打个比方，一群有信仰的人和一群临时召集的人，哪批更好领导，更好管理，这个道理很简单吧。

监管体制

只提一点，避免企业内部拉帮结伙，不同阵营的互相争斗牟取私利，影响工作环境和企业形象。

灾难应对能力保障

企业必须做好BCP和DRP，确定符合自身环境的RTO，同时要定期演练。这是在IT层面的灾难应对。此外也不要忽视其他方面的应对保障，比如财务、市场、政策和突发状况（自然或市政，举个例子：工程队挖断光缆）。

善聚善用人

有目的有计划的招聘人员，针对个人特点重点培养和设置岗位，不要硬把一个搞代码审计的拉去做网络设备调试，还很霸气的说，要人员复用，提升能力，各方面都要会。如果真的可行，那中科院一所就好了，何必细分那么多个所。作为管理者，要有一定管理能力，有凝聚力，能够带领团队迎接各种挑战。

做企业要求真务实、不浮华，以推动公司发展的成果说话，以干事创业的实绩交卷。健全激励约束机制和尽职免责机制，营造员工愿干事、敢干事、能干成事的环境。

其他层面

内外部关系

内部部门间、部门内、管理团队内的关系管理；外部合作方、第三方服务商/供应商、客户企业、监管机构、兄弟单位、技术院所的良好关系建立及维持。

培训

年度培训计划，内部技能培训、经验分享、案例分享等；外部聘请第三方对某些岗位进行专业化培训。实现在各个方面都有过硬的技术人才和管理人才，形成互补，重要岗位设立AB岗。在培训方面每年预留相应预算，一是提升员工个人能力胜任工作，二是提高员工自身价值（比如考取CISSP认证），员工与企业共同成长。

老旧设施更新

每年定期对公司所在建筑或地区进行基础设施检查（可以委托专业人员），对于一些老旧的设施（管道、水、电、气之类）及时联系管理方（如果是公司自己的用地可以自行更新）进行更换和维修，以免突发状况影响业务，造成未预期的损失。

资产折旧与更新周期合理化

比较好了解，以IT部门为例。为员工提供的办公设备（电脑、外设），一般3年左右更换一次。有些公司一批笔记本可以用5-7年，已经无法满足日常工作需求，但为了省钱就是不报废。有的公司钱多，新设备用1年多就报废换新，浪费资源。设置合理的更新周期，满足工作需要，不要太长，也不要太短。

消除“新人不管旧事“做法

两个方面，一是工作交接，前员工因某些原因交接工作不完整，后续接手人员完全不知道如何着手，导致该岗位涉及的工作一片混乱（其中包括第三方开发商员工跑路，后续系统相关信息无人知晓）；二是新管上任，前任的烂摊子与我无关，我只做我想做的，历史遗留问题搁置无人解决。

工作环境改善

员工办公室环境清新，工位面积足够，设置专门的吸烟点，新装修或新采购桌椅柜台，要保证有害物质浓度符合正常标准后，再投入使用。

结语

以上是从各个层面所能想到的一些需要考虑的问题。

国家方针尚且如此，作为企业还抱着以前那种只求自己盈利，不顾员工死活的做法早已不可取。最后，引用报告中的一段话：

从根本上说，市场活力和社会创造力源于亿万人民积极性的发挥。要坚持以人民为中心的发展思想，尽力而为、量力而行，切实保障基本民生，推动解决重点民生问题，促进社会公平正义，让人民过上好日子。中国人民勤劳智慧，具有无限的创新创造潜能，只要充分释放出来，中国的发展就一定会有更为广阔空间。

*本文作者：lywhiz，本文属 FreeBuf 原创奖励计划，未经许可禁止转载。