您还未登录! 登录 | 注册 | 帮助  

您的位置: 首页 > 软件开发专栏 > 网络/安全 > 正文

张健:信息化战略与信息安全审计分享

发表于:2017-03-22 作者:苏小静 来源:
3月2日,江苏省企业信息化协会总群迎来了第56期【智造+V课堂】。本期【智造+V课堂】邀请了江苏优秀CIO张健给大家带来《信息化战略与信息安全审计分享》的主题演讲。

优秀CIO信息化主题分享月第三期分享嘉宾:

江苏优秀CIO   张 健

一、分享嘉宾

江苏优秀CIO 张 健

江苏优秀CIO 张 健

1. 个人简介

  • 从事IT相关工作16年,并担任德资跨国企业中国区IT经理13年;
  • 现任咨询公司实施顾问、IT人俱乐部副秘书长、CIO成长营联合发起人、台海两峡创业导师、苏州经贸学院职业导师;
  • 项目评审、资金申报专业评审专家、信息化领域和方向研究报告项目带头人和执行专家;
  • 先后从事过基础架构、软件工程师、HR实施顾问、ERP应用工程师等信息化工作;
  • 曾荣获苏州优秀IT经理、中国优秀CIO、企业信息化应用贡献奖等荣誉。

2. 擅长领域

  • 信息安全领域与IT解决方案;
  • 信息安全审计、ERP财务制造分销;
  • 对离散制造/注塑行业企业有深入研究,在此期间学习ITIL、PMP、MCSE、CCNP、CSSIP、VCP、ISO27001、DBA、RHCE等;
  • 致力于助力企业获得高新技术企业、两化融合市/省示范试点企业、数字企业。

二、演 讲 主 题

信息化战略与信息安全审计分享

三、原 文 实 录

原文实录context:

本人目前从事IT相关工作16年,经历过民企、台企、还有欧美企业,目前在一家德资企业里面有担任中国区的IT经理大概有13年左右。目前现在是在咨询公司做实施顾问,从事过网络管理员、软件工程师、ERP应用工程师、还有HR顾问,再到中国区的管理工作,再到咨询顾问,我觉得基本上每一步都走的很艰难。

毕业的时候去了一家民企,从事HR系统技术支持的工作,一个人身兼多职,独当一面,基本上都是从事基础架构技术性的一些工作。小的软件的应用开发,民企也相对来说没有什么标准可言,缺少这些标准流程和内控机制。到了2002年去的时候,两千人规模的一家台企主要做铝产品,去的时候正好是公司飞速发展期,管理上比较舍得投入,企业文化就是加班,然后人性化与管理的冲突也是家常便饭,在此期间接触过ISO9000跟ERP实施的一些项目。

随后2003年去了德资企业就是赛琅泰克,一做就是13年。在这个公司里学了很多成功公司的经验规范和流程,各个部门的分工合作。在此期间这家公司也多次并购重组,公司的IT从无到有,然后搬迁,然后架构调整,前后也经历过私人总经理。给个人的感受比较深的就是对员工比较尊重,给每个员工成长空间,按章办事、中规中矩。

1. 公司背景

今天主要讲十多年的台企跟欧美企业IT信息化,首先简单介绍一下公司的背景情况。

台企跟欧美企业IT信息化

台企跟欧美企业IT信息化

赛琅泰克是一家独资公司,洛克伍德是他的母公司集团公司,之前经历过三次的收购,第一次收购叫MG TECHNOLOGY,下面的一个叫诺贝尔炸药集团,第二次是被叫洛克伍德联合KKR基金收购的,到了2012年的时候,被世界第二大投资公司叫英国盛峰投资并购。主要以高技术陶瓷产品为主,目前也是世界上陶瓷行业排名也是数一数二的。从1903年马克特维茨创立以来,经过一百多年的发展历史,至今总部在斯图加特那边的波洛根区,跟博世是邻居,跟赛琅泰克集团分成四大BU,就是汽车、电子、医疗技术和工业应用。2011年的时候,它的销售数据大概是340个million欧元,4200名员工和大概20几个PLANT。

到了这家公司经常有人会问我,你们公司是不是做锅碗瓢盆的,不是的,我们基本都是做以工业陶瓷为主。上面这张图里面就是我们看到很多产品,比较典型的就是人造骨骼关节,就像我们比如说一些股骨头上面有一些薄的那种软骨组织,如果受损它会摩擦,摩擦它就会比较疼痛,那就会把这个骨头切掉,然后用我们的陶瓷产品,基本上现在我们这个骨头产品,是全球垄断的行业。边上有一个叫SPK CUTTING TOOL,这一块主要是做陶瓷切割工具的、切割金属的,就是汽车发动机上面做一些切割车床之类的,然后边上有一个水阀片龙头。

目前来说世界上比较知名的一些卫浴产品基本上都是用我们的水阀芯,包括美标、乐佳、高仪那些基本上都是我们的客户,下面还有一些电子产品,可能是用在汽车ABS上面的,还有一些产品我也不是太熟,基本上都是德国总部在卖。

这家公司的基础架构跟组织大概是分成两块,一块是基础架构类的,还有一块围绕ERP应用周边的一些小的应用系统。然后基础架构大概规模是这样子,一千八百个客户端、九百个打印机、五百五十种应用、一万五千个License,六百个SAP用户,然后一千五百个NOTES授权,两百四十个服务器,大概11条MPS线路和20个存储的系统。

2. IT行业认知

下面回顾看IT自己本身总结几点:

第一点,公司里面的IT感觉太low,因为没有power,缺乏资源,考虑问题的角度就像盲人摸象,然后离开这个平台你可能什么都不是,面对这种高层CFO、CEO眼里你可能缺少管理经验或者最佳实践的经验,在乙方眼里你可能没有技术或者产品。

第二点,作为这个企业的IT从业者,所有的信息化都是围绕企业的经营而展开的,而不是说单纯的IT技术应用升级,但是有时候对这个技术又比较执著。

第三点,IT人感觉都比较缺乏财务成本的概念,风险控制和人的资源因素所以说IT组推动的项目失败的概率还是相对来说比较大的。

第四点,IT人对这个业务不太熟悉,然后信息比较闭塞,业务部门很少会主动跟你聊一些业务细节,然后缺乏规划经验,导致信息误导或者是重复的IT投资,投资回报或者不成比例。

第五点,IT创新成为利润部门或者说利润中心,我觉得还不够成为业务部门,我在这个企业里面经历过几个阶段,大概四、五个阶段。

第一个阶段可能就是技术员,主要是为了解决问题,就是被动式响应,有什么问题过去救火帮帮忙修修电脑这样子。第二阶段就是你到这个工程师的级别,我知道可以分析问题了,知道为什么这么去解决问题,因为之前可能没有学过CCNA、MCSG这种东西,你不知道为什么这样去分配管理网络,这样去解决安装系统这些东西。下面就是技术主管,就是管理问题,知道用系统和工具去管理日常工具了。再下来就是部门经理,我主要是为了控制问题平衡利弊,然后选择比较优秀的合作供应商,然后内部关系的协调处理,掌握项目管理的一些手段,这时候学到PMP类似项目管理的技能。最后一个阶段就是CIO或者IT总监的循序渐进的过程,然后站在业务成本、风险角度思考问题,利用合理的方法沟通解决问题,提供比较权威和最佳时间和落地方案。

3. IT战略规划ITSM的关系

下面我们讲一下IT战略规划与ITSM的关系,ITSM重点主要是IT的运维和管理,而不是说IT的战略规划,一般IT战略规划建议去参考COBIT,TOGAF这种书籍。下面IT规划关注的主要是组织的IT方面的战略问题,而ITSM是为了确保IT战略得到有效执行战术性和运作性的活动。IT服务管理方法可以参考ITIL是比较落地的一套东西,然后ITIL又可以说是IT自己的ERP系统。

现在我发现大家比较关注的问题都是在大家做项目没有预算怎么办?这个确实是比较痛苦的一个事情,就是苦逼的IT基本上得不到高层领导的支持和授权委任。分析一下大概原因,我统计了一下大概有这么几点:

一个是缺乏信息觉悟,就是领导缺少觉悟,他觉得这个IT,你是不是修电脑的。

第二点,不相信这个比较容易做或者是你可以搞定。

第三点,没把信息当成作为一种资源来看。

第四点,你财务上的一些数据,你老板不太信任你,你的投资回报、效率评估,它可能不太准确,老板还是比较相信财务。

第五点是一个短期行为,可能客户又倒逼过来了,我需要你及时交货或者怎么样,简单的去处理一些问题,短期解决客户投诉的问题。

IT投资评估ROI

在此,我让大家思考一下,如果上面这些问题解决了,那问老板要预算是不是就可以解决了?这边这张图就是我们德国那边总部,比如说你超过预算是30万以上的,他就会做一张IT投资评估RIR的表,这张表基本上都是以财务为计算方法,像NPV净值这种RIR投资回报,比如说你可以做三到五年的投资回报,但目前来说,我感觉你超过两年以上,老板就觉得你在画饼了已经给他了。

4. 信息化战略规划

我们正式开始讲IT信息化战略规划的方法,企业做规划有几个要素,我总结了一下,基本上就是一个导向,以战略为导向;两个基础,就是文化跟信息化为基础;三个资助就是组织你的流程人力,这个跟HR又相关。凡事预则立,不预则废,就是说凡事我先预先计划好,那我可能失败的可能性就比较小,所有的成败取决于企业的执行力,而执行力的成败看世界。企业追求就是气道合,气就是方向、战略、企业文化跟精神;道就是方法、技术、工具;合就是组织与人才,销售与生产力的整合。

IT咨询规划的步骤

IT咨询规划的步骤大概分成六步,了解当前的SITUATION,然后确定这个期望状况,然后分析两者之间差异,推荐一个从当前状况向期望状况转变的GAP,然后跟你的客户,就是内部客户,然后实施此行动计划,最后统计出来一个项目报告。

IT战略规划的一个大纲

这是之前公司做的一份IT战略规划的一个大纲,大概我看有8个部分,里面从企业的发展战略,企业的业务需求,然后到信息化的架构,候选的一些应用软件,网络硬件的架构,然后实施步骤,投资、预算然后信息部门的一些职责。

整体公司的战略发展图

这张图就是整体公司的战略发展图,从愿景、使命到价值观,然后总体的战略目标,一般企业基本上是以盈利为目的,肯定是我今年销售要达到多少个亿,然后一些战略部署。再下面肯定是一些KPI,说到KPI,这边稍微简单讲两句,目前来说大部分企业还是继续在用KPI,可能有一些企业他可能是用到360或者是平衡积分卡,目前还有一些用到OKR,KPI(绩效指标)这个东西一般来说公司需要什么,然后你的KPI就定什么,一般来说就是这样子。

下面说一下企业信息化的层次,通常来说我们基本上都会分成三层:

  • 第一个层次就是战略决策层,里面包括这些市场动态与竞争,客户满意度,国际政治与金融。
  • 第二层的就是计划与控制层,里面包括计划与实际的比较,销售收入、产量质量、费用开销、成本交付质量等等。
  • 第三层次就是操作运行层面的,包括质量成本,交付实际运营的。

信息化就是涵概这么几个层面,而维度就是以时间单位来衡量,这个跟ISO9000有点像,这一点上面可能就是质量方针,第二层可能就是一些PROCEDURE程序文件,最下面可能就是指导的一些书面的东西。企业从多级管理模式财务角度来说,我们可以分成四个中心:投资中心、利润中心、生产中心和成本中心。一般是说Global层面它可能会有投资中心,本地这个投资中心就没有了。

从战略运营执行上面去分解

这张图也是从战略运营执行上面去分解,然后各个计划,最后分解到各人的工作任务,我就不多说了。

下面我来讲讲企业信息化核心与首要任务,对于一个企业来说,企业的管理系统叫Business Management System,这个就是叫BMS,以ERP为核心将办公自动化、客户关系管理,生产、财务、人事、销售以及其他的一些业务系统集成在一起的一个信息系统。财务管理是BMS跟ERP的基础,制造管理就是以MES为基础,打通ERP跟MES集成,我感觉是制造业IT主要的价值目标。

主要任务就是IT要解决这个企业的三大核心能力:

第一个就是运用这个企业管理系统去强化企业的竞争力,比如说降低你的库存,库存周转率,提高你的交付的效率各方面。第二点就是强化企业供应链的一些管理,提高服务价值,就是你的闭环供应链,让客户更快的响应你的库存或者什么。第三点就是用一些电子商务,现在很流行互联网这种电商平台,全方位捕捉客户。

通常驱动做规划都会有一个契机,目前来说有两种驱动:一种叫管理驱动;一种叫技术驱动,都有内部和外部的两种。内部管理驱动一般是说企业重组,比如说老板换人了,然后想降低成本的一些东西。外部主要是一些竞争对手的策略,企业自身的一些策略。技术驱动内部主要是一些IT人自身的一些远见,然后管理人员认识的提高等等。外部主要就是企业基于IT的这些竞争威胁,主要的成本改变,还有IT创造产品和市场股东对股票经营的信息化要求等。

信息化系统架构的一个总览

这张图基本上就是公司里面信息化系统架构的一个总览,大家可以看到,我在最上面的这些企业管理系统,你像包括PDM、MES、ERP、CRM、OA,然后会通过这个企业信息总线,然后到下端的数据仓库,然后再做一些BI数据分析挖掘,最下面就会产生内部跟外部的DATAWAREHOUSE或Internet的一些PORTAL,在这个上面可以看到这个总览架构。

信息化系统规划的一些主要工作

这张图就是信息化系统规划的一些主要工作,基本上就是企业战略,然后到企业的需求,然后再到框架,然后选型,然后实施,投资、回报、预测,然后再到各个信息部门,把各个文档、SOP建立好,基本上就是这样的步骤。

作为一个IT管理者,需要考虑跟解决的问题主要有四点:

第一点是你如何建立跟贯彻IT战略跟IT体系?第二点就是如何实现IT系统的灵活性跟互操作性,以便更快的响应业务需求?第三点如何降低IT投资跟运营成本,并且获得更多的IT投资回报?第四点就是如何管理你IT的结构复杂性?

IT规划项目

上面这张图列出来之后做IT规划项目的时候,可能需要按照一定的科学步骤,因为本身IT,我觉得是科学管理的一个产品,所以说它的实施也是必须要按照比较科学的步骤方法去推动。

IT部门管理相关文件

上面分享了PPT,主要是IT部门相关的这些文件,大家可以看到很多,什么有ERP、IT POLICY,还有OA,一些路由硬件的配置,SOP、training,instruction很多很多,还有类似这种软件开发的一块东西,文档说明,反正有很多文档。

下面我们来讲讲企业信息化战略的规划方法,我统计了一下基本上规划方法分成两类,一种是思路,一种是方法。

第一种叫梦想法,就是说老板给IT画饼,那我们也要有时候给老板也要画画饼,有时候老板跟你聊着聊着,然后他就会想,查尔斯,我这边可能需要一个什么系统,你要不要先帮我找找供应商,看看他们是怎么样的解决方案?过了一段时间,他把这个事情给忘了,忘了之后供应商不是要问我们吗?查尔斯你这个事情有什么进展了?然后你就会比较尴尬这个事情,你就不太好回答了。

我发了很多关于IT规划的一些方法,这些方法其实就根据企业各自内部的实际情况去采用,目前来说我们基本上一些老的公司采用BPR的业务流程再造可能会比较多一些,这个就是通常碰到一些需求,可能老的系统不能满足最新的业务发展,我可能就会做一个流程再造。

信息化的指标的评估

上面有七点可以作为你信息化的指标的评估,但是按照两大核心的理解来划,我们可以以ERP财务为核心,就看这个财务最后跑出来的结果是否正确,他的MRK跑出来的结果是不是可以校验你这个ERP是否上线成功。MES那一块就是看人机料法环测和生产排成控制,还有生产数据实时的反应结果。

各部门业务工作核心

这张图在我从业当中,我跟各个业务部门打交道的时候,发现他们的一些工作核心点在哪里,比如财务他主要关注一些利润预算达成,还有一些成本的控制,成本的一些CONTROLLING的一些东西。HR他可能关注在绩效考核,员工企业文化的一些建设,还有相关的一些法律法规的调整。物流部门主要是供应链控,制交出货,库存周转率这些事情。生产主要是计划执行,它的产量工艺。IT本部门一般我们追求系统稳定性,可用性这些东西,用户满意度还有技术服务与创新。销售部门主要就是利润达成、客户关系,还有商务上的一些事情。

CL的思考

第一部分的最后一张PPT是讲CL的思考,作为这个CIO,我们要有几点,首先你要放手你的技术坚持,然后搞清楚你是为了企业主营业务发展,而不是说为了信息技术的发展。理解成本和预算的逻辑,用这套逻辑来审视一下你企业每个运作的环节。第三点就是学习一下你的企业战略,这个目标与实际之间的一些差异,思考一下如何去改变这个GAP。第四读懂企业的战略,思考在其中你能做一点什么。

5. 企业信息安全审计

接下来我来分享第二部分,关于企业信息安全审计的一些分享,在做这个事情之前,我们公司也让我去参加过一些关于安全方面的培训,包括ISO27000内审员的资质认证,还有CISSP的就是国际信息安全认证专家。大部分精华部分我觉得是这样子,信息安全它围绕三个原则来说,机密性、完整性和可用性。

企业里面的信息安全通常来自四个地方:一个是法律法规,组织原则目标和规定,风险评估的一些结果和特定的一些突发事件,比如说员工的一些BUSINESS CONDUCT的违规或者怎么样子。

信息化安全的一个金字塔模型

这个是信息化安全的一个金字塔模型,从最底层安全策略、用户验证,加密访问控制,最上面就是审计跟管理。之前由于赛琅泰克在被洛克伍德美国公司收购之后,它是一家上市公司,所以说它的审计会相当来说多一点,我在公司这个阶段里面,我会经历过这些安全审计,像ISO27000,渗透测试和IT规划类的,还有SOX,还有风险评估,ISO的一些TUV,9000、FDA,还有总部的一些安全策略和一些四大会计事务所的审计。

目前公司应该是已经通过ISO27000的审核,审核应该从2004年到2012年建立起一套信息安全的管理体系,简称叫ISMS,主要集中在这个信息技术部门。

如何建立公司的信息安全

这张PPT主要是讲如何建立公司的信息安全?大概有几个方面:

第一个是识别安全风险和信息资产;第二点是创建物理安全;

第三点是文件数据的信息分类,下面就是员工安全告知,公司的一些安全方针,员工的安全培训,下面一张图可以看到员工安全培训的一些东西。检查合规,第三方审计,最后一个安全意识的培养。

信息安全的培训的事例图

这张图就是ISO27000的时候,给我们员工做的一些信息安全的培训的事例图,大家可以看到这里面红色框划出来的地方都不是太安全,像窗户没关、门没关,电脑屏幕没锁定,香烟还在那边点着人没了,各种打印机上面的文件也没拿走,拖线板到处地上都是,这个是相当不安全的这些。

SOX SURVEY

下来我们讲一下意思就是塞班斯法,是美国的一条关于内审、运营、安全合规的法律,其中information technology部分大概有30几个问题,回答这些问题都很头痛,他问你怎么控制的?怎么提供证据?怎么说明你已经完成这个事情?比较伤脑筋,如果大家需要SOX SURVEY这个表的话,到时候我可以单独发给你们,这个没问题的。

SOX

做完这些事情之后,我们会有一个系统,让你登进去之后,根据各个公司的BU,然后把你的PROCESS,RISK,CONTROL,TEST ISSUE到这个网站上去,总部会看你这些数据。

一个第三方咨询的,我们请了一个第三方咨询公司,帮我们做了一个Penetration Test渗透测试,主要是做八大方面的测试,一个是安全能力评估,外部跟内部的渗透测试,还有wifi的渗透测试,物理渗透测试,还有社会工程、网站跟你的这些网络设备的配置的评估。这个测试价格也非常昂贵,我们基本上后来做了大概四天,后来他们咨询公司跟我们收了十几万好像。

Risk Assessment风险评估

上面有一个管理上面的Risk Assessment风险评估,这个基本上也是运营方面相关的,但是IT也是带到了,基本上也是几十个问题,也相当头痛,就是问你IT怎么去Control的,怎么符合你的Compliance合规性这些东西。

风险评估

这个风险评估其实跟项目管理里面有个叫风险管理相关,它也有相当类似于四象限的东西,我们把这些风险都识别出来之后,然后判断这个事到底是低风险低损失的,还是高风险高损失的?如果在中间的这个部分,我们看到它发生的概率是多大?

ACTION PLAN

做完这些测试、评估,这些法则的合规性的调查问卷之后,就会出来这种类似让你整改的ACTION PLAN,什么时候计划完成?大概要花多少时间?多少钱?反正就责任到人,然后有个CROSS Check,然后基本上就是这样子。

IT安全检查

IT内部,我们基本上定期会做IT的一个安全检查,比如说你的电脑密码有没有设定?但是后来我们就推送一些DOMAIN POLICY,基本就已经改掉了这些,但是你本地可能有一些笔记本电脑需要移动办公,但是要给他权限,就是查他的软件的LICENSE有没有盗版?它的防毒软件有没有去变更?浏览器它的安全性等级各方面,反正就是一堆的补丁,有没有去打去检查这些东西。

剩下的基本上就是每两到三年都会有一次这种四大会计事务所去审计,我们最早是PWC,后来改成德勤、埃森哲,基本四大会计事务所我们都轮流用过来了。他们主要其实做财务审计,但做完财务审计之后,IT的一些东西会顺带帮我们一起做了审计,都会问一些这种诸如此类上面这些问题。

我大概今天就聊到这里,非常感谢大家,谢谢!