也许有些企业会因为“出事”而提高警惕、增加了安全投入,但安全专家认为,这种就事论事式的“救火型”信息安全模式不足取。此外,过分看重投资安全技术本身及关注流程安全也各具局限。在专家们看来,理想的信息安全管理模式应该是风险导向型,即基于风险做企业的信息安全管理、测算信息安全的投入,进而科学地结合企业业务进行信息安全管理。
不过,对不同企业来说,信息安全策略并非绝对的,也无样板可循,赛门铁克信息技术有限公司中国区首席顾问田成说:“不同的企业、不同的文化、不同的状态使企业所采取的信息安全方法和工作的内容都不一样,所以这个过程是相对的——相对的过程与绝对目标之间的平衡。”
此外,CIO还必须要把握风险与有限的IT投资之间的平衡,并不是所有IT系统和业务流程都有必要以99.99%的警戒状态对待,每个数据都要以不同的手段处理、备份,以确保企业业务的连续性。
2.IT部门管理
一位CIO曾问过美国强生公司药品部北亚区CIO冯太川:“你是怎样将最初只有你一人的IT部门建立起来的?IT部门怎样随着企业信息化建设一点点壮大并进行良好管理的?”他并不是唯一问冯太川这个问题的人。
信息化如火如荼地进行、公司内部大量IT项目亟待实施,然而IT部门员工的积极性如何激发、他们的IT技术和能力如何进行系统地评估、开发和管理成为CIO们必须认真面对的问题。
建发集团有限公司网络信息部经理许明对如下这些问题都有疑惑:多层级IT管理组织架构;IT人员的薪酬体制(特别是专业通道);高端IT人才的获取、持续开发、发展、转型;符合企业标准的IT团队建设;IT人员的知识结构等。他的困惑,广州百事可乐饮料有限公司资讯科技经理姚忠诚、神州数码(中国)有限公司信息化管理部总经理郑小维也深有同感。
在大部分CIO看来,IT技术是自己的长项,但人力资源管理,尤其是如何构建合理的IT组织架构、如何确定IT人员的薪酬体系等着实让很多CIO煞费苦心。经常听到CIO抱怨:“眼睁睁地看着刚培养好的技术骨干跳槽,自己却无能为力,因为竞争对手出的价码是自己公司无力反击的。”此外,CIO们也在寻求“如何培养IT经理们的新技能,以适应IT部门新定位和新价值的要求”等问题的答案。
