張健:信息化戰略與信息安全審計分享|V課堂第56期
3月2日,江蘇省企業信息化協會總群迎來了第56期【智造+V課堂】。本期【智造+V課堂】邀請了江蘇優秀CIO張健給大家帶來《信息化戰略與信息安全審計分享》的主題演講。
優秀CIO信息化主題分享月第三期分享嘉賓:
江蘇優秀CIO 張 健
一、分享嘉賓
江蘇優秀CIO 張 健
1. 個人簡介
- 從事IT相關工作16年,并擔任德資跨國企業中國區IT經理13年;
- 現任咨詢公司實施顧問、IT人俱樂部副秘書長、CIO成長營聯合發起人、臺海兩峽創業導師、蘇州經貿學院職業導師;
- 項目評審、資金申報專業評審專家、信息化領域和方向研究報告項目帶頭人和執行專家;
- 先后從事過基礎架構、軟件工程師、HR實施顧問、ERP應用工程師等信息化工作;
- 曾榮獲蘇州優秀IT經理、中國優秀CIO、企業信息化應用貢獻獎等榮譽。
2. 擅長領域
- 信息安全領域與IT解決方案;
- 信息安全審計、ERP財務制造分銷;
- 對離散制造/注塑行業企業有深入研究,在此期間學習ITIL、PMP、MCSE、CCNP、CSSIP、VCP、ISO27001、DBA、RHCE等;
- 致力于助力企業獲得高新技術企業、兩化融合市/省示范試點企業、數字企業。
二、演 講 主 題
信息化戰略與信息安全審計分享
三、原 文 實 錄
原文實錄context:
本人目前從事IT相關工作16年,經歷過民企、臺企、還有歐美企業,目前在一家德資企業里面有擔任中國區的IT經理大概有13年左右。目前現在是在咨詢公司做實施顧問,從事過網絡管理員、軟件工程師、ERP應用工程師、還有HR顧問,再到中國區的管理工作,再到咨詢顧問,我覺得基本上每一步都走的很艱難。
畢業的時候去了一家民企,從事HR系統技術支持的工作,一個人身兼多職,獨當一面,基本上都是從事基礎架構技術性的一些工作。小的軟件的應用開發,民企也相對來說沒有什么標準可言,缺少這些標準流程和內控機制。到了2002年去的時候,兩千人規模的一家臺企主要做鋁產品,去的時候正好是公司飛速發展期,管理上比較舍得投入,企業文化就是加班,然后人性化與管理的沖突也是家常便飯,在此期間接觸過ISO9000跟ERP實施的一些項目。
隨后2003年去了德資企業就是賽瑯泰克,一做就是13年。在這個公司里學了很多成功公司的經驗規范和流程,各個部門的分工合作。在此期間這家公司也多次并購重組,公司的IT從無到有,然后搬遷,然后架構調整,前后也經歷過私人總經理。給個人的感受比較深的就是對員工比較尊重,給每個員工成長空間,按章辦事、中規中矩。
1. 公司背景
今天主要講十多年的臺企跟歐美企業IT信息化,首先簡單介紹一下公司的背景情況。
賽瑯泰克是一家獨資公司,洛克伍德是他的母公司集團公司,之前經歷過三次的收購,第一次收購叫MG TECHNOLOGY,下面的一個叫諾貝爾炸藥集團,第二次是被叫洛克伍德聯合KKR基金收購的,到了2012年的時候,被世界第二大投資公司叫英國盛峰投資并購。主要以高技術陶瓷產品為主,目前也是世界上陶瓷行業排名也是數一數二的。從1903年馬克特維茨創立以來,經過一百多年的發展歷史,至今總部在斯圖加特那邊的波洛根區,跟博世是鄰居,跟賽瑯泰克集團分成四大BU,就是汽車、電子、醫療技術和工業應用。2011年的時候,它的銷售數據大概是340個million歐元,4200名員工和大概20幾個PLANT。
到了這家公司經常有人會問我,你們公司是不是做鍋碗瓢盆的,不是的,我們基本都是做以工業陶瓷為主。上面這張圖里面就是我們看到很多產品,比較典型的就是人造骨骼關節,就像我們比如說一些股骨頭上面有一些薄的那種軟骨組織,如果受損它會摩擦,摩擦它就會比較疼痛,那就會把這個骨頭切掉,然后用我們的陶瓷產品,基本上現在我們這個骨頭產品,是全球壟斷的行業。邊上有一個叫SPK CUTTING TOOL,這一塊主要是做陶瓷切割工具的、切割金屬的,就是汽車發動機上面做一些切割車床之類的,然后邊上有一個水閥片龍頭。
目前來說世界上比較知名的一些衛浴產品基本上都是用我們的水閥芯,包括美標、樂佳、高儀那些基本上都是我們的客戶,下面還有一些電子產品,可能是用在汽車ABS上面的,還有一些產品我也不是太熟,基本上都是德國總部在賣。
這家公司的基礎架構跟組織大概是分成兩塊,一塊是基礎架構類的,還有一塊圍繞ERP應用周邊的一些小的應用系統。然后基礎架構大概規模是這樣子,一千八百個客戶端、九百個打印機、五百五十種應用、一萬五千個License,六百個SAP用戶,然后一千五百個NOTES授權,兩百四十個服務器,大概11條MPS線路和20個存儲的系統。
2. IT行業認知
下面回顧看IT自己本身總結幾點:
第一點,公司里面的IT感覺太low,因為沒有power,缺乏資源,考慮問題的角度就像盲人摸象,然后離開這個平臺你可能什么都不是,面對這種高層CFO、CEO眼里你可能缺少管理經驗或者最佳實踐的經驗,在乙方眼里你可能沒有技術或者產品。
第二點,作為這個企業的IT從業者,所有的信息化都是圍繞企業的經營而展開的,而不是說單純的IT技術應用升級,但是有時候對這個技術又比較執著。
第三點,IT人感覺都比較缺乏財務成本的概念,風險控制和人的資源因素所以說IT組推動的項目失敗的概率還是相對來說比較大的。
第四點,IT人對這個業務不太熟悉,然后信息比較閉塞,業務部門很少會主動跟你聊一些業務細節,然后缺乏規劃經驗,導致信息誤導或者是重復的IT投資,投資回報或者不成比例。
第五點,IT創新成為利潤部門或者說利潤中心,我覺得還不夠成為業務部門,我在這個企業里面經歷過幾個階段,大概四、五個階段。
第一個階段可能就是技術員,主要是為了解決問題,就是被動式響應,有什么問題過去救火幫幫忙修修電腦這樣子。第二階段就是你到這個工程師的級別,我知道可以分析問題了,知道為什么這么去解決問題,因為之前可能沒有學過CCNA、MCSG這種東西,你不知道為什么這樣去分配管理網絡,這樣去解決安裝系統這些東西。下面就是技術主管,就是管理問題,知道用系統和工具去管理日常工具了。再下來就是部門經理,我主要是為了控制問題平衡利弊,然后選擇比較優秀的合作供應商,然后內部關系的協調處理,掌握項目管理的一些手段,這時候學到PMP類似項目管理的技能。最后一個階段就是CIO或者IT總監的循序漸進的過程,然后站在業務成本、風險角度思考問題,利用合理的方法溝通解決問題,提供比較權威和最佳時間和落地方案。
3. IT戰略規劃ITSM的關系
下面我們講一下IT戰略規劃與ITSM的關系,ITSM重點主要是IT的運維和管理,而不是說IT的戰略規劃,一般IT戰略規劃建議去參考COBIT,TOGAF這種書籍。下面IT規劃關注的主要是組織的IT方面的戰略問題,而ITSM是為了確保IT戰略得到有效執行戰術性和運作性的活動。IT服務管理方法可以參考ITIL是比較落地的一套東西,然后ITIL又可以說是IT自己的ERP系統。
現在我發現大家比較關注的問題都是在大家做項目沒有預算怎么辦?這個確實是比較痛苦的一個事情,就是苦逼的IT基本上得不到高層領導的支持和授權委任。分析一下大概原因,我統計了一下大概有這么幾點:
一個是缺乏信息覺悟,就是領導缺少覺悟,他覺得這個IT,你是不是修電腦的。
第二點,不相信這個比較容易做或者是你可以搞定。
第三點,沒把信息當成作為一種資源來看。
第四點,你財務上的一些數據,你老板不太信任你,你的投資回報、效率評估,它可能不太準確,老板還是比較相信財務。
第五點是一個短期行為,可能客戶又倒逼過來了,我需要你及時交貨或者怎么樣,簡單的去處理一些問題,短期解決客戶投訴的問題。
在此,我讓大家思考一下,如果上面這些問題解決了,那問老板要預算是不是就可以解決了?這邊這張圖就是我們德國那邊總部,比如說你超過預算是30萬以上的,他就會做一張IT投資評估RIR的表,這張表基本上都是以財務為計算方法,像NPV凈值這種RIR投資回報,比如說你可以做三到五年的投資回報,但目前來說,我感覺你超過兩年以上,老板就覺得你在畫餅了已經給他了。
4. 信息化戰略規劃
我們正式開始講IT信息化戰略規劃的方法,企業做規劃有幾個要素,我總結了一下,基本上就是一個導向,以戰略為導向;兩個基礎,就是文化跟信息化為基礎;三個資助就是組織你的流程人力,這個跟HR又相關。凡事預則立,不預則廢,就是說凡事我先預先計劃好,那我可能失敗的可能性就比較小,所有的成敗取決于企業的執行力,而執行力的成敗看世界。企業追求就是氣道合,氣就是方向、戰略、企業文化跟精神;道就是方法、技術、工具;合就是組織與人才,銷售與生產力的整合。
IT咨詢規劃的步驟大概分成六步,了解當前的SITUATION,然后確定這個期望狀況,然后分析兩者之間差異,推薦一個從當前狀況向期望狀況轉變的GAP,然后跟你的客戶,就是內部客戶,然后實施此行動計劃,最后統計出來一個項目報告。
這是之前公司做的一份IT戰略規劃的一個大綱,大概我看有8個部分,里面從企業的發展戰略,企業的業務需求,然后到信息化的架構,候選的一些應用軟件,網絡硬件的架構,然后實施步驟,投資、預算然后信息部門的一些職責。
這張圖就是整體公司的戰略發展圖,從愿景、使命到價值觀,然后總體的戰略目標,一般企業基本上是以盈利為目的,肯定是我今年銷售要達到多少個億,然后一些戰略部署。再下面肯定是一些KPI,說到KPI,這邊稍微簡單講兩句,目前來說大部分企業還是繼續在用KPI,可能有一些企業他可能是用到360或者是平衡積分卡,目前還有一些用到OKR,KPI(績效指標)這個東西一般來說公司需要什么,然后你的KPI就定什么,一般來說就是這樣子。
下面說一下企業信息化的層次,通常來說我們基本上都會分成三層:
- 第一個層次就是戰略決策層,里面包括這些市場動態與競爭,客戶滿意度,國際政治與金融。
- 第二層的就是計劃與控制層,里面包括計劃與實際的比較,銷售收入、產量質量、費用開銷、成本交付質量等等。
- 第三層次就是操作運行層面的,包括質量成本,交付實際運營的。
信息化就是涵概這么幾個層面,而維度就是以時間單位來衡量,這個跟ISO9000有點像,這一點上面可能就是質量方針,第二層可能就是一些PROCEDURE程序文件,最下面可能就是指導的一些書面的東西。企業從多級管理模式財務角度來說,我們可以分成四個中心:投資中心、利潤中心、生產中心和成本中心。一般是說Global層面它可能會有投資中心,本地這個投資中心就沒有了。
這張圖也是從戰略運營執行上面去分解,然后各個計劃,最后分解到各人的工作任務,我就不多說了。
下面我來講講企業信息化核心與首要任務,對于一個企業來說,企業的管理系統叫Business Management System,這個就是叫BMS,以ERP為核心將辦公自動化、客戶關系管理,生產、財務、人事、銷售以及其他的一些業務系統集成在一起的一個信息系統。財務管理是BMS跟ERP的基礎,制造管理就是以MES為基礎,打通ERP跟MES集成,我感覺是制造業IT主要的價值目標。
主要任務就是IT要解決這個企業的三大核心能力:
第一個就是運用這個企業管理系統去強化企業的競爭力,比如說降低你的庫存,庫存周轉率,提高你的交付的效率各方面。第二點就是強化企業供應鏈的一些管理,提高服務價值,就是你的閉環供應鏈,讓客戶更快的響應你的庫存或者什么。第三點就是用一些電子商務,現在很流行互聯網這種電商平臺,全方位捕捉客戶。
通常驅動做規劃都會有一個契機,目前來說有兩種驅動:一種叫管理驅動;一種叫技術驅動,都有內部和外部的兩種。內部管理驅動一般是說企業重組,比如說老板換人了,然后想降低成本的一些東西。外部主要是一些競爭對手的策略,企業自身的一些策略。技術驅動內部主要是一些IT人自身的一些遠見,然后管理人員認識的提高等等。外部主要就是企業基于IT的這些競爭威脅,主要的成本改變,還有IT創造產品和市場股東對股票經營的信息化要求等。
這張圖基本上就是公司里面信息化系統架構的一個總覽,大家可以看到,我在最上面的這些企業管理系統,你像包括PDM、MES、ERP、CRM、OA,然后會通過這個企業信息總線,然后到下端的數據倉庫,然后再做一些BI數據分析挖掘,最下面就會產生內部跟外部的DATAWAREHOUSE或Internet的一些PORTAL,在這個上面可以看到這個總覽架構。
這張圖就是信息化系統規劃的一些主要工作,基本上就是企業戰略,然后到企業的需求,然后再到框架,然后選型,然后實施,投資、回報、預測,然后再到各個信息部門,把各個文檔、SOP建立好,基本上就是這樣的步驟。
作為一個IT管理者,需要考慮跟解決的問題主要有四點:
第一點是你如何建立跟貫徹IT戰略跟IT體系?第二點就是如何實現IT系統的靈活性跟互操作性,以便更快的響應業務需求?第三點如何降低IT投資跟運營成本,并且獲得更多的IT投資回報?第四點就是如何管理你IT的結構復雜性?
上面這張圖列出來之后做IT規劃項目的時候,可能需要按照一定的科學步驟,因為本身IT,我覺得是科學管理的一個產品,所以說它的實施也是必須要按照比較科學的步驟方法去推動。
上面分享了PPT,主要是IT部門相關的這些文件,大家可以看到很多,什么有ERP、IT POLICY,還有OA,一些路由硬件的配置,SOP、training,instruction很多很多,還有類似這種軟件開發的一塊東西,文檔說明,反正有很多文檔。
下面我們來講講企業信息化戰略的規劃方法,我統計了一下基本上規劃方法分成兩類,一種是思路,一種是方法。
第一種叫夢想法,就是說老板給IT畫餅,那我們也要有時候給老板也要畫畫餅,有時候老板跟你聊著聊著,然后他就會想,查爾斯,我這邊可能需要一個什么系統,你要不要先幫我找找供應商,看看他們是怎么樣的解決方案?過了一段時間,他把這個事情給忘了,忘了之后供應商不是要問我們嗎?查爾斯你這個事情有什么進展了?然后你就會比較尷尬這個事情,你就不太好回答了。
我發了很多關于IT規劃的一些方法,這些方法其實就根據企業各自內部的實際情況去采用,目前來說我們基本上一些老的公司采用BPR的業務流程再造可能會比較多一些,這個就是通常碰到一些需求,可能老的系統不能滿足最新的業務發展,我可能就會做一個流程再造。
上面有七點可以作為你信息化的指標的評估,但是按照兩大核心的理解來劃,我們可以以ERP財務為核心,就看這個財務最后跑出來的結果是否正確,他的MRK跑出來的結果是不是可以校驗你這個ERP是否上線成功。MES那一塊就是看人機料法環測和生產排成控制,還有生產數據實時的反應結果。
這張圖在我從業當中,我跟各個業務部門打交道的時候,發現他們的一些工作核心點在哪里,比如財務他主要關注一些利潤預算達成,還有一些成本的控制,成本的一些CONTROLLING的一些東西。HR他可能關注在績效考核,員工企業文化的一些建設,還有相關的一些法律法規的調整。物流部門主要是供應鏈控,制交出貨,庫存周轉率這些事情。生產主要是計劃執行,它的產量工藝。IT本部門一般我們追求系統穩定性,可用性這些東西,用戶滿意度還有技術服務與創新。銷售部門主要就是利潤達成、客戶關系,還有商務上的一些事情。
第一部分的最后一張PPT是講CL的思考,作為這個CIO,我們要有幾點,首先你要放手你的技術堅持,然后搞清楚你是為了企業主營業務發展,而不是說為了信息技術的發展。理解成本和預算的邏輯,用這套邏輯來審視一下你企業每個運作的環節。第三點就是學習一下你的企業戰略,這個目標與實際之間的一些差異,思考一下如何去改變這個GAP。第四讀懂企業的戰略,思考在其中你能做一點什么。
5. 企業信息安全審計
接下來我來分享第二部分,關于企業信息安全審計的一些分享,在做這個事情之前,我們公司也讓我去參加過一些關于安全方面的培訓,包括ISO27000內審員的資質認證,還有CISSP的就是國際信息安全認證專家。大部分精華部分我覺得是這樣子,信息安全它圍繞三個原則來說,機密性、完整性和可用性。
企業里面的信息安全通常來自四個地方:一個是法律法規,組織原則目標和規定,風險評估的一些結果和特定的一些突發事件,比如說員工的一些BUSINESS CONDUCT的違規或者怎么樣子。
這個是信息化安全的一個金字塔模型,從最底層安全策略、用戶驗證,加密訪問控制,最上面就是審計跟管理。之前由于賽瑯泰克在被洛克伍德美國公司收購之后,它是一家上市公司,所以說它的審計會相當來說多一點,我在公司這個階段里面,我會經歷過這些安全審計,像ISO27000,滲透測試和IT規劃類的,還有SOX,還有風險評估,ISO的一些TUV,9000、FDA,還有總部的一些安全策略和一些四大會計事務所的審計。
目前公司應該是已經通過ISO27000的審核,審核應該從2004年到2012年建立起一套信息安全的管理體系,簡稱叫ISMS,主要集中在這個信息技術部門。
這張PPT主要是講如何建立公司的信息安全?大概有幾個方面:
第一個是識別安全風險和信息資產;第二點是創建物理安全;
第三點是文件數據的信息分類,下面就是員工安全告知,公司的一些安全方針,員工的安全培訓,下面一張圖可以看到員工安全培訓的一些東西。檢查合規,第三方審計,最后一個安全意識的培養。
這張圖就是ISO27000的時候,給我們員工做的一些信息安全的培訓的事例圖,大家可以看到這里面紅色框劃出來的地方都不是太安全,像窗戶沒關、門沒關,電腦屏幕沒鎖定,香煙還在那邊點著人沒了,各種打印機上面的文件也沒拿走,拖線板到處地上都是,這個是相當不安全的這些。
下來我們講一下意思就是塞班斯法,是美國的一條關于內審、運營、安全合規的法律,其中information technology部分大概有30幾個問題,回答這些問題都很頭痛,他問你怎么控制的?怎么提供證據?怎么說明你已經完成這個事情?比較傷腦筋,如果大家需要SOX SURVEY這個表的話,到時候我可以單獨發給你們,這個沒問題的。
做完這些事情之后,我們會有一個系統,讓你登進去之后,根據各個公司的BU,然后把你的PROCESS,RISK,CONTROL,TEST ISSUE到這個網站上去,總部會看你這些數據。
一個第三方咨詢的,我們請了一個第三方咨詢公司,幫我們做了一個Penetration Test滲透測試,主要是做八大方面的測試,一個是安全能力評估,外部跟內部的滲透測試,還有wifi的滲透測試,物理滲透測試,還有社會工程、網站跟你的這些網絡設備的配置的評估。這個測試價格也非常昂貴,我們基本上后來做了大概四天,后來他們咨詢公司跟我們收了十幾萬好像。
上面有一個管理上面的Risk Assessment風險評估,這個基本上也是運營方面相關的,但是IT也是帶到了,基本上也是幾十個問題,也相當頭痛,就是問你IT怎么去Control的,怎么符合你的Compliance合規性這些東西。
這個風險評估其實跟項目管理里面有個叫風險管理相關,它也有相當類似于四象限的東西,我們把這些風險都識別出來之后,然后判斷這個事到底是低風險低損失的,還是高風險高損失的?如果在中間的這個部分,我們看到它發生的概率是多大?
做完這些測試、評估,這些法則的合規性的調查問卷之后,就會出來這種類似讓你整改的ACTION PLAN,什么時候計劃完成?大概要花多少時間?多少錢?反正就責任到人,然后有個CROSS Check,然后基本上就是這樣子。
IT內部,我們基本上定期會做IT的一個安全檢查,比如說你的電腦密碼有沒有設定?但是后來我們就推送一些DOMAIN POLICY,基本就已經改掉了這些,但是你本地可能有一些筆記本電腦需要移動辦公,但是要給他權限,就是查他的軟件的LICENSE有沒有盜版?它的防毒軟件有沒有去變更?瀏覽器它的安全性等級各方面,反正就是一堆的補丁,有沒有去打去檢查這些東西。
剩下的基本上就是每兩到三年都會有一次這種四大會計事務所去審計,我們最早是PWC,后來改成德勤、埃森哲,基本四大會計事務所我們都輪流用過來了。他們主要其實做財務審計,但做完財務審計之后,IT的一些東西會順帶幫我們一起做了審計,都會問一些這種諸如此類上面這些問題。
我大概今天就聊到這里,非常感謝大家,謝謝!
