“2009 IT风险管理”之道

　　简而言之，微软的理念就是“让安全易于管理，令管理更加安全”，两者相辅相成，密不可分，就像一个硬币的两面，对立统一而又密不可分。项目经理博客

　　宏观策略与微观措施相结合

　　构建一个更安全的IT环境和IT系统，宏观战略和微观措施同样重要。项目管理者联盟

　　在当前这个非常时期，虽然企业受到经济下滑的影响，IT预算有可能相比以前有所缩减，但企业仍然希望即使在节约IT成本的情况下可以使用相当、甚至更好的解决方案来加固企业的IT系统，以面对不断变化的安全威胁。项目管理论坛

　　何迪生对此抱有充分的信心：首先，IT已经不仅仅是企业的成本中心，一套完善、健康的IT系统完全可以成为企业业务的助推器，帮助企业成功。少花钱多办事主要是落实到几个方面——第一是企业内部管理成本，信息管理不能复杂，复杂的管理必须要花时间花钱去参加很多的培训或者是招聘更多的管理员;第二就是企业希望厂商最好能够提供一站式的服务，具体来说，信息部门尤其是安全部门都希望减少服务交付的时间，他们需要简化服务供应商的数量，让服务提供商尽量是单一厂商。当前，有些用户的方案都是集成商把多家厂商的产品打包来做的，这个成本显然高于单一厂商的集成解决方案。

　　何迪生特别强调ROSI——安全投资回报率，通过这个指标，可以向企业负责人介绍安全投资的回报和业务表现。项目管理者联盟

　　如果一个CIO或者是CEO，或者是相关的利益方，不能够认识到保护数据的重要性，那么将很难说服他们投入足够的资源来用于解决IT风险的问题。但是，与商业直接密切相关，与股东权益直接相关的信息，都必须要采取一些措施保证投入足够多的钱和资源来解决安全防护问题。显然这不是一个轻松的工作，比如用ROSI去充分说明其重要性。项目经理博客

　　在具体措施上，大致可以分为如下步骤：转自项目管理者联盟

　　首先应当进行商业的风险评估，从商业发展的角度来看，什么是最重要的东西，如何来保护。项目管理者联盟

　　然后，才能进入制定策略和公司的流程的阶段。讨论的安全的组织架构，这都是如何实施这些战略的基础。比如，可以组成一个虚拟的安全团队，动员各个部门的力量参与进来，包括人力资源部门和营销部门，让他们都理解安全性与重要性。项目管理者联盟

　　下一步是安全的架构和控制，关于公司的政策和流程。项目管理者联盟

　　随后进行安全的确保，令每一个部分运转正常，并通过一系列的测试验证其是否可以防止黑客侵犯。club.mypm.net

　　通过安全监测来确保整个流程都是有效的。对于大公司，有可能需要每季度进行一次，或者是每月一次，来确保网络每天都是安全的。项目管理者联盟

　　最后就是安全评估。安全主管需要知道如何来和领导进行沟通，来展示一下这个系统它的功效。项目管理者联盟

　　对于微软这样的安全厂商来说，构建一套完整的安全生态系统，必须能够应对这些挑战，包括防御攻击和不必要的通信干扰，并且尽量预知用户的业务发展趋势，并努力提高自身的安全透明度，以便为用户提供最优的安全防御方案。项目管理者联盟

　　从技术革新上看，目前以微软为代表的安全厂商正在努力推动分层的系统安全建设模式，包括了：负责ACL、RMS以及数据加密的数据层;强化防病毒结构的应用程序层;负责操作系统强化、修补管理、身份认证和HIDS的主机层;统筹网络段，开展IPSec和NIDS的内部网络层;管理防火墙和VPN等设备的周边设备层;以及提供防护、锁定、追踪功能的物力安全与策略通告层。这些技术层和非技术层组合在一起构成了企业实践中的深层防御(DID)机制。项目管理者联盟

　　何迪生建议，目前最为有效的企业安全生态系统建设战略，除了要从技术上进行革新，同时还要为企业提供最佳的安全实践与操作方式指导，同时安全厂商与企业的CIO最好能够与一些国际安全组织进行合作，比如与ISACA, ISSA, CFIP-ISA和BCM保持交流可以获得最新的安全防御指导意见，有助于安全生态圈的搭建。项目管理者联盟

　　在了解了一般方法，以及如何评估安全管理的效果之后，用户可以借此改善安全防护的水平，来提升保护IT环境的能力。而在技术方面的很多因素，比如怎样保护系统，加密等深层次的技术知识，都可以利用在日常保护IT的工作中去。但是对于IT风险管理，只有技术还远远不够，它更多是有关于战略、流程、人、框架等各种元素，这几个组成部分都是非常重要的。项目管理者联盟

　　其中，何迪生特别提到了流程——安全效果的获得还有赖于安全有效的管理流程。凡是涉及到流程问题，单独依靠安全厂商是不够的，还需要用户企业的努力，其中至少体现为：第一，企业的决策层支持安全流程的建立;第二，需要进行专业的商业风险分析;第三，依靠业务和IT的人员一起建立安全策略;第四，构建安全架构并进行部署;第五，持续不断地开展系统安全监控。项目管理者联盟

　　对此，何迪生指出，只有将安全管理流程与深层防御体系组合在一起，才能构成最佳的企业安全策略，而这也是企业建设安全生态圈并最终获得安全体验的必由之路。项目管理者联盟

　　结语项目经理圈子

　　在三年前，何迪生曾对媒体表示过他的担忧：中国很多企业对信息安全重视非常不够。而现在，他承认这种情况已经发生了很大的变化。项目管理者联盟

　　“中国企业对信息安全、IT风险的重视程度越来越高了，尽管对于应该做什么、怎么做还不够清晰，但是在主观思想和重视程度上，已经达到了相当高度。许多发展和需求处于起步阶段，发展速度非常的快。”项目管理者联盟

　　尽管中国企业在安全建设问题上，还存在着一定的误区，比如认为购买昂贵的大型防火墙、杀毒软件或者有关的安全产品就能提供很好的防护。“就如同一个昂贵的防护门，但是却没有锁好。这依然起不到很好的安全防护作用。”何迪生表示，昂贵的产品和解决方案并不一定适合企业自身的需求。项目管理者联盟

　　其实，在这一两年中，发生在何迪生身上的改变，并不仅仅是他对外界变化的认知，两年前还几乎不能用汉语对话的他，现在已经能够讲一口流利的普通话了。然而，在他身上，从未改变的是他对安全理念的传播意愿与布道精神。bbs.mypm.net

项目管理者联盟 版权所有 | 京ICP备10055250号-11 | 京公网安备 11010202009440号