管理制度也要“整合”－制度管理－免费资料下载，知识管理网摘，资料网摘，知识文库

没有公告

	加入收藏
	设为首页
	联系站长

您现在的位置：无忧知识管理网 >> 人力资源知识库 >> 制度管理 >> 文章正文

管理制度也要“整合”

【字体：小大】

管理制度也要“整合”

作者：佚名文章来源：不详

地处珠江三角洲的L公司，经过10多年的计算机应用、推广，已经达到了“相当的规模”。这个“相当的规模”，用信息中心何总提供的具体数字说，就是“近5年的客户数据记录；公司的全部产品数据库，涉及18个大类、300多个品种；从1994年至今的全部会计信息……”。　　“这些庞大的数据库，让人有一种‘如履薄冰’的感觉”，何总不无忧虑地说，“万一哪天出点纰漏，这可不是闹着玩儿的。”事实上，何总提到的这些数据信息，还不包括大量的公司标准文件、电子化的工艺图纸、公司交易记录等。　　“露天放置”的重要资产　　数字化的信息资源，已经日益成为企业最重要的战略资产。这些“无形的资产”代表着企业多年来发展和奋斗所积累的巨大财富，是企业在市场竞争中立足和开拓的重要保障。“这些信息的重要性怎么说都不过分”，何总心里很清楚，随着数据信息的进一步积累，信息资产在企业中所占的比重越来越大，自己肩上的责任也越来越大。　　前些年，L公司注重了系统建设与应用的工作；这几年的工作重点转移到了“整合信息‘孤岛’”方面。“系统越来越复杂，里面涉及到的产品五花八门，版本也各不相同”，何总日益感受到了信息安全、系统可靠性和一致性的压力。　　对何总和他的部门来说，来自技术上的漏洞，通过一定的技术手段总是可以得到弥补的。“关键是管理制度上的‘漏洞’。” 　　最简单的一个例子是用户身份（ID）的管理。目前管理职能部门的工作人员，都联结到了不同的业务系统中，通过访问不同的数据库和应用系统，完成日常的业务工作。不同的系统权限和登录入口，使得每个用户拥有大量的ID标识。　　这些ID号码和口令，实际上处于十分混乱的境地。比如人员流动、岗位职责变化，可能没有及时变更ID；用户很不习惯记忆大量不同的ID和口令；更要命的是，许多用户（甚至一些高级别的用户）的ID和口令几乎就是公开的！　　“这样的局面，让企业宝贵的数据资源好象放在了露天的广场，无法知晓‘漏洞’在哪里？有多严重？有多少信息处于‘没有防护’的状态？” 　　整合制度“孤岛” 　　在何总看来，技术手段可以解决一部分问题，“但关键是管理规范”。　　信息系统管理规范对L公司来说并非“有没有”的问题。事实上，伴随每个信息系统的建设和改造，总是有一套完整的“管理制度”配合系统的运行。　　“关键问题是这些制度之间的‘配套’”，何总提出了另一个层面的“整合”。“每个系统都有自己的管理、运营、维护制度”，这些制度是与本系统高度相关的，充分考虑到了本系统的特性和安全需求。但是，在不同的信息系统“互联互通”之后，“这些制度之间的整合问题，就摆到了我们面前”。　　何总的话语中流露出的意思是，“制度整合”多少超越了信息管理部门的“权属范畴”。说白了，就是何总和他的部门显然不具备“整合高度和力度”。　　何总说的这个话，一方面说明了“信息管理”这件事情，还没有进入“企业战略管理”的高度；但另一方面也暴露了一个问题：过去基于信息系统的“管理制度”，更多的是从技术角度理解的“管理”，而不是从“战略”角度来说的。　　比如财务系统的管理制度侧重的是规定系统访问、信息存取、备份、更新的不同权限，以及这些系统权限与业务权限的关系。但在跨部门协作的过程中，如何确保财务信息在更大的范围内，为不同的不同所利用，就需要首先解决“管理制度”的问题。　　制度整合在何总看来有两个层面的含义，一个是不同信息系统的管理制度，放在企业战略的高度看的时候，应该是“协调一致的”；另一个是需要一整套的参考框架和方法论。　　在一次企业信息安全的研讨会上，何总了解到一个新的信息：信息安全国际标准ISO17799。“这正是我们需要的东西”，何总很兴奋，“过去我们摸索了很多，也有一些经验，但不系统。ISO17799像打开了一扇窗户，为我们做信息安全增加了新的内容。” 　　从“照葫芦画瓢”开始　　美国明尼苏达大学S. Bush Kugel教授的一项研究成果表明：在企业没有关键数据的情况下，银行业最多只能维持2天，商业企业可以维持3.3天，工业企业能维持5天，保险业则能维持5.6天。数据信息对企业与组织的重要性可见一斑。　　Kugel的研究还显示，在遭受重大的数据灾难之后，有25%的企业将立刻破产，而40%的企业将在2年后逐步走向破产，能继续存活到5年以上的企业，不足7%。Kugel的结论在一些人看来也许是“耸人听闻”，但近几年发生在我们身边的种种“数据灾难”，正在为我们敲响警钟。　　由于数据信息已经日益成为企业组织所依赖的重要资产，所以未来的组织的生存，将取决于这些数据资产的安全性的观点，是丝毫不过分的。　　1992年，世界经济合作与发展组织（OECD）发表了《信息系统安全指南》，旨在帮助成员国和非成员国的政府和企业组织增强信息系统的风险意识，提供一般性的安全知识框架。国际会计师联合会于1998年也发表了一个有关《信息安全管理》的文件，认为信息系统安全的目标有三个：可用性，即确保信息系统在需要的时候可用；保密性，即对数据信息的访问控制设计完备的策略；完整性，即保证数据信息不受未经授权的修改。　　2000年，国际标准化组织（ISO）参照英国国家标准局的信息安全标准BS7799，发布了信息安全的国际标准ISO17799，进一步对信息安全的控制范围、安全准则、安全管理等要素做出了规范性的表述。　　这些规范化、标准化工作，为企业和组织规划、设计、运营、管理和维护信息系统的安全性，提供了富有参考价值的知识框架和方法论体系。对国内的信息安全有很强的参照价值和指导意义。　　上文中L公司所面临的“安全漏洞”，在国内的企业和组织中不同程度地存在着。一些企业根据自身的行业属性和特点，制定了适应本企业的安全管理制度。但是，这些制度存在二个较为突出的问题：一个是，有关制度往往停留在“技术管理”和“运营管理”的层面，没有上升到企业安全战略的高度，没有进入决策层的视野；另一个问题是这些安全管理制度还停留在“原则表述”的层面，缺少可以用于控制、度量、执行的要素，而且在体系和规范性上，也有一定的缺欠。　　国际上目前已经存在的大量信息安全准则、规范和标准，为我们建立自己的信息安全知识框架、流程、控制要素和方法论体系，提供了有借鉴意义的参考。对企业来说，在加强信息安全方面，除了提升安全意识、在企业战略的高度重视信息安全问题之外，可以“照葫芦画瓢”，大量引进国际上已经出现的“最佳实践（Best Practice）”和成熟的安全管理制度与标准，学习国外的先进经验。 (文章来源：中国计算机用户)

文章录入：free 责任编辑：free

上一篇文章：坦丁姆公司的平级交流与激励制度

下一篇文章：为何“优良”完美的制度无法执行

【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】

最新热点		最新推荐		相关文章
				管理型CIO是怎样炼成的从管理入手：CIO应对开放源代… 企业管理：使CIO的作用变得可… CIO：技术专家还是高层管理者… 英特尔CIO畅谈IT管理功效 CIO借鉴CEO日常管理七大解决… 管理理念：当CIO遭遇MBA CIO如何帮助CFO快速实施集团… IT业的管理者：CIO的领导力 IT业的管理者：CIO的领导力

站长：free