【51CTO.com原創稿件】看到廉哥那日冒著暴雨加臺風去圖書館查閱資料，同事妹紙奚落道：“現在都是網絡時代了，你還老跑圖書館看那些過氣的資料，而且還是電腦方面的…”?？磥?，我倆的確是“從彼此的全世界路過”了。她怎會知道：就是圖書館里前人總結成文的資料和當前網絡上前沿知識技能間存在著“斷點”，所以需要我這個一個小小電焊工，用我自己的經驗作為“助熔劑”把它們熔合到一起，通過二次加工，再分享出來。這叫“回首與前瞻的普拉斯(加號)”。

[[174568]]

閑言少敘，書接上回，我們繼續開聊。

網絡/系統/應用

這些部門的人員主要運用專業技術來維護企業的信息安全，保持整個IT服務系統在健康穩定的狀態下運作。

1. 從IT軟/硬件系統的設計、架設和維護方面對服務器，網絡，存儲設備，數據庫，目錄服務，中間件，網站以及各種應用程序(包括財務/人事軟件)等進行信息安全的管控。

一句話，這里是技術“大咖”的江湖，技術實力直接決定系統的安全等級。有興趣的朋友可以參考我前面第一part的系列漫談。批判式的接受哦。

2. 充當“二線”人員，去處理由服務臺和“一線”運維和支持人員提升上來的安全事故。

說白了，就是充當應急處理小組，處理各種Troubleshoot之類的工作。

3. 及時更新各個服務器和網絡設備的系統補丁和病毒庫等。

“做好更新”應該是IT運維的basic也是best practice，但我們也提防諸如微軟的有些補丁包會發生“烏龍”事件。比如我哥們他們單位去年底就發生了系統打好Office補丁后，Outlook 2013發出去的多附件的Word類型文件其內容與文件名相互混淆的現象。沒辦法，IT只有打上針對補丁的補丁了。當然，若干年前賽門鐵克誤刪啟動文件的事件，也必要在這兒重提了。

4. 根據企業的安全策略監控網絡和系統資源的濫用與誤用情況，如有需要可以對員工運用即時通訊工具的聊天記錄等進行敏感信息的偵察。

具體操作的可行性，一定要事先和公司的法務溝通哦，以免人家告你侵犯隱私，neng死你。另外，在實施上，最好是用第三方成品的監控分析軟件。盡職免責是很重要的。

管理決策

IT管理決策層多由一個首席信息官和IT各子部門的帶頭人組成。正如亞歷山大大帝說過：“由獅子率領的羊，遠勝由羊率領的獅子”。在實操中，往往他們與其他業務部門的代表一起組成信息安全委員會，履行如下職責：

1. 信息安全相關項目和服務變更的發起、規劃和管理。

在當前各個企業里，各類管理人員基本上都受過項目管理的相關培訓甚至已持有證書。因此在日常運行中融入項目制是司空見慣的。好的管理者要在項目的起始階段發揮重要作用。我只談我的一點感受：因為套用“馬斯洛需求層次”信息安全項目不同于一般的IT項目，它解決的不是“能不能用”的問題，而是“用著放不放心”的問題。因此任何信息安全相關的發起都要體現對業務的好處或是提升的價值。而且這種價值要能在企業內部，至少是企業所有者所認可和意識到的。而這將是你后期工作的根基。說過分一點：所有以業務為敵的信息安全項目都將以失敗告終。與其最后扼腕嘆息、名聲掃地，不如一開始就不要開展。

說到發起、規劃，我的腦子里突然想起柳傳志提到過的管理三要素：搭班子，定戰略，帶隊伍。而定戰略時要有一定的前瞻性，凡是周全考慮。IT技術日新月異，千萬不可禁錮發展的空間。很多系統初始設計的局限性是滯后才體現的。比如說最新技術可能帶有一些自身的安全漏洞，而這些與生俱來的fault可能會被另一種技術所迅速迭代了。所以我們不要盲從最新的技術，“且行且珍惜”，不然還會導致IT部門人員長期處于“布朗運動”的狀態，“累成狗”似的。可見，雖然身處發展前沿的IT框架下，我們信息安全管理者還是不要過于fashion，淡定，淡定啊!

2. 定期對整個系統進行風險識別、分析、評估和管理。

我們所規劃和維護的系統不能流于形式成為one-time job。就算一開始構建得固若金湯，時過境遷，技術發展，內外漏洞在不知不覺中滋長。因此不可小看定期評估與審計這種舶來品，曾子他老人家不是也經常“日三省乎己”嗎?定期給自己的系統“抓虱子”吧，以免“千里之堤毀于蟻穴”。

3. 制定針對企業整體信息安全管理體系框架描述的信息安全的方針和手冊，完善并更新各種安全管理和操作的具體流程。

還記得《杜拉拉升職記》里提到的嗎：“你是先邁左腳，還是先邁右腳，都能在SOP(標準作業程序)里面找到答案”。所以說“雖然是人總會犯錯”，霸特，標準化流程化可以把各種誤操作降到最低。

4. 對供應商和外包商進行安全管理并對其合同進行風險約束。

正所謂“手中有糧心中不慌”，有了和他們的合同，你會覺得自己手中的硬件和服務資源充沛了許多。而且他們也無形中會有“一榮俱榮，一損俱損”的行業名聲連帶感。

5. 為信息安全的操作和管理提供支持，調配資源并定期審查這個系統的安全達標情況。

我曾聽到過一位IT管理決策者向我坦言，他從基層人員慢慢自我提升上來，回首走過的路，發現以前做底層操作實施人員的時候，僅僅機器打交到反而是最簡單的，因為有明確的對與錯。而越往上走，越多的要和人打交，他發現可以遵循的“手冊”越少，面對形形色色的人員，特別是理科IT男的時候，要想實現“支持，調配資源”，真是好難，好難啊!(我這里可沒有詆毀wuli理科IT男的意思，雖然我自己也是。)而且因為你是領導，我們常說的要負有“領導責任”，所以該出來為屬下頂子彈或背鍋的時候，你可千萬別含糊哦。 “人在江湖飄、哪有不挨刀”的?

而說到定期審查達標情況，除了policy的貫徹，第一手數據還是來自于各種記錄(logs)。而不管是外審、內審還是自己審，看的都是各種運營中的記錄哦。相信不少看官和我一樣是從微軟的Windows意識到log的魅力和重要性的吧?衍生這個概念，其實我們在做任何項目、任何系統的時候都要牢記記錄(包括各種check point data)。這又要說會到ITIL里提到的配置管理數據庫了，所以說如果你不夠前瞻性，那么就做好記錄，步步為營吧。那句話怎么說的“雷鋒叔叔只是把做的好事都記在日記本里了。”你該知道學習雷鋒有多么重要了吧?

外包人員

話說我們公司前幾年有個電話系統服務公司，他們會定期派服務工程師來我處維護，每次我都會拿出可樂雪碧等招待他們，記得有幾次一個毛頭小伙子，順手欲把開瓶喝了一半的可樂帶進機房，被我制止了。不了過了一段時間，我居然在同行口中聽聞到了說我們公司摳門，連一口水都不給外包人員喝的謠言。這頓時讓我有種“我將真心照明月，奈何明月照溝渠”的心塞。

其實，企業在不增加固定人員成本的情況下，根據與第三方簽署的服務合同，外包人員定期以直接(如上門)或者是間接(如遠程)的方式提供專業技術服務，這大概是時下“分享經濟”早年的雛形吧。當然，外包人員對于信息安全來說是把“雙刃劍”。從管理學來說，將信息安全的風險進行了分攤和轉嫁;而從運維角度看，卻可能有些技術斷層和重復投入(別急，下文有解釋)的可能。可見外包人員在對企業提供服務的同時應當做到如此幾點以保證該企業的信息安全：

1. 上門服務前，先聯系并告知企業接口人到訪的具體時間和工作內容概述。

2. 出入企業辦公區域時應接受必要的安全檢查。

3. 技術操作的全程接受接口人的陪同和值守(此處特指非常駐服務人員)。

4. 操作之前出示施工單;完成后填寫并提交接口人簽署完工單。

5. 有義務和責任不泄漏并保護該企業的信息和知識產權。

6. 建立例會制度，及時溝通和解決服務過程中雙方發現或碰到的問題。

我們再從業績考核的角度來看看。對于甲方來說，應該注重的是下述兩點：

1. 進場服務外包人員的服務時間的量化管理;

2. 人員的工作完成效率和滿意度評審。

作為甲方，應當在服務合同簽署之際就考慮制定短期甚至是中長期的對外包人員的類KPI考核標準，并保證執行的客觀性。這邊有了第一手的數據，不但是對企業內部管理層負責，對于各類外包商的整體“形象”也會有綜合評判。

說到評判外包商，每年甲方在談外包合同也要注意技巧，因為畢竟服務人員是由外包商所提供的，特別是那些按次服務，且到場人員不固定的合同，如果談合同的時候甲方只想著壓低價錢，所派過來的人員素質和水平是可想而知的。我個人經驗覺得根據整體行業或經濟形勢給定一個增長幅度，再按照實際服務效果的反饋給予適當的加減足矣。這樣提供商也會在簽合同的時候心服口服的。

另外，從甲方企業自身來說應當采取兼容并包的“開門辦事”作風。由于每個公司都有自己的管理風格和控制流程，而企業IT主管雖談不上是“閉門造車”，外包服務提供商及其服務工程師則很少有機會參與客戶IT管理或決策。他們普遍淪為由企業IT主管傳達具體指令開展工作的“臨時工”。然而實際上，往往他們才是最了解用戶的需求、最善于給IT系統把脈的“痛點按摩師”。因此，我們何不多創造點機會將他們“請進來”，或是凝聽或是QA，讓他們也能充分發揮主觀能動性。

當然從員工個體來說，無論contractor和regular都是工作上的partner，愉快的一起“玩耍”很重要，不應有什么貴賤之分。然而實際情況則是，對于駐現場的外包人員，常會有種蛋蛋的憂傷：一方面在服務公司出了問題時無人幫忙擔當，team building、seminar基本沒有他們的份;另一方面，基本不進自己母公司，就算偶爾回去辦事也處于“人我兩相忘”的狀態。還有些諸多因素，甚至是個人問題，都會導致外包人員一旦有改變的機會，他們很容易選擇跳槽。人員流失無疑對甲方和乙方企業都是風險和影響。有句話說得很對“人才因為企業而進行，卻因為老板而離開。”大家可以仔細品味一下其中的道理了。別問我怎么講得怎么仔細，哥曾經就是光榮的一員，而且是“大寫加粗的”!

不過，我們也要警惕另外一種極端現象：就是那些外包界的“老炮兒”，他們反客為主，或是將技術“荒于嬉”、或是自恃牛掰，常將散漫態度帶到甲方現場。我就曾聽說有乙方外包人員，居然在甲方辦公室里上班期間溜輪滑，并把睡午覺叫做“與地面平行會兒”的。你這么能玩兒，“你咋不上天呢?”，這完全是在用慢性毒藥“自費武功”嘛!真心提醒這樣的外包人員，指不定哪天就有“接盤俠”的空降了。甲方不是傻瓜，丟卒保車好過全軍覆沒的道理他們清楚著呢。

總的說來，畢竟中國的外包企業實在沒法像國外那樣做得professional，由于面對簽署服務的企業增多，服務人員的流動，很難保持服務水平的一致性和延續性。所以企業自身應當要求外包方“完善流程，文檔儲備，實時更新，如實記錄，順暢溝通”這五個方面。

算上這一期，廉哥根據自己這些年來實際工作和操作的經驗，花了3次和大家漫談了企業信息系統特別是安全治理環節中的人員管理的各個方面。正所謂“三分技術，七分管理”，管理的對象是人員，同時管理的主體還是人員;人員既是治理的基礎，也是治理的核心。因此只有通過動態發展的策略去“做足文章”，才能把信息安全的運維和治理做到有證可據、有約而循、有責可追、防范于未然。

有朋友可能會問：那巨廉哥接下來還和大家嘮嗑點別的什么嗎?我的回答是“確定一定以及肯定!”好了，末了，我套用的一句《機動戰士高達》的經典彈屏來回答各位：“前方高能!”

【51CTO原創稿件，合作站點轉載請注明原文作者和出處為51CTO.com】