洋蔥式信息安全觀察-起點：IT規劃

洋蔥式信息安全觀察-起點：IT規劃

4 人贊了文章

作者：gk

更多文章，請訪問 --http://www.sec-un.org

題記：在和Bruce頭腦風暴後，這一系列文章將用洋蔥命名。洋蔥的結構是一層又一層的，因此命名含義之一是逐層來寫信息安全的規劃、設計和落地；洋蔥的味道又是辣中帶甜的，因此再一個含義是將來會結合信息安全人士的生活寫出信息安全的辣與甜。

信息安全人員一般是通過信息資產梳理來完成信息安全所需保護目標的價值界定的，這一結果通常是定性的或定量的，對於CSO/CISO來講，如何能夠在高管會議上簡單明了的介紹信息安全對於企業的價值呢？我想這一點可以從信息技術在企業業務活動中的價值著眼，亦即從IT規劃階段出發。本文希望能夠給CSO/CISO帶來一些新思路。

我們所處的社會已經全面步入信息時代，企業對信息化技術的依賴也越來越重。然而隨著信息化技術的推廣，很多企業都面臨發展的玻璃天花板，如何才能更好的發揮信息技術的作用？信息化規劃的任務擺在了管理者面前。

信息化戰略規劃入門易、精深難，從業者入門學習，形意皆差強人意，此後經歷形似而意非、形似意似等階段，部分從業者可達到形意貫通的能力，他們能夠良好的將企業業務與IT進行融匯貫通的分析，並結合技術發展，為企業作為度身定做的規劃方案。

簡單的說，IT戰略規劃看起來只有三板斧的招式:分析現狀、規劃藍圖、設計實施路線，然而三板斧後面，每招皆有若干式，每式皆可在未用盡前變化，變化實際則依環境而去，如此生生不窮，為諮詢師功力之所在。

以財務為例進行簡單說明。

企業中，財務工作貌似標準，其IT系統應用也形成激烈競爭的局面。然而企業性質、規模和企業架構決定對財務的管理需求也不盡相同。財務組織架構的層級，使用地點、時間、人員角色等等，變化複雜，則需要結合以動態企業架構模型進行分析，部署、定製需要進行深入了解，諮詢顧問無法一蹴即就。

企業性質，從不同維度分析（以下為簡單分析，非窮舉），可以有項目型企業、運營型企業，也可依行業劃分為金融、電信、製造，製造業又可分為離散製造、連續製造，其財務工作因其性質而需要進行定製。

從規模上看，小型企業可能只需要進行日常財務工作和成本分析，無需全面的資金管理(例如：可能會進行借貸、但不通過發行股票或企業債進行融資)，而大型企業則需要進行全面的資金管理，甚至需要設置企業資金部，在不同的分、子公司之間進行資金協同。

從組織架構上看，企業在廣泛的業務劃分和地域分布情況下，擁有眾多的工廠、倉儲、物流實體，如何為他們設立財務管理和服務，必然對IT系統形成影響。能否以動態企業架構進行解決，則是判斷財務系統的關鍵。

從人員角色的設置上，將會影響財務處理的流程，不同企業由於合規、風險與內控的需求，對角色的理解、定義和授權也不盡相同，因此產生的流程變化複雜，這也是規劃與設計工作需要進行分析和建議的內容。

從時間上看，企業可能為了滿足自然年/月、特定的年/月而進行財務處理，例如很多企業的財年與自然年/月/日不同，從而形成多口徑的財務報表。

財務系統的挑戰還包括：結合經營活動的全面預算管理、成本分析（例如：原材料、成品、在制品、返工成本等；基於項目的成本分析與基於產品的成本分析；基於作業工序的成本分析）、技術限制（例如：郊野施工單位的網路連接問題、運輸作業的移動性問題）等。

共享財務中心在集團型企業中的廣泛應用使其複雜度進一步提高，例如：共享中心和分支機構許可權如何劃分、如何銜接，對共享中心和分支機構的人員技能及數量的要求。

IT技術領域也在不斷變化，雲計算、大數據、HTML5、區塊鏈……各種概念層出不窮，有些技術可以改善IT基礎設施（例如：雲計算），有些技術在改變應用技術（例如：HTML5）而有些技術則在某些領域內直接與業務相融合，衝擊傳統業務模式（例如：區塊鏈技術對傳統記賬技術的衝擊）。這些技術的應用在IT戰略規劃中也應予以充分的評估。

在信息化規劃中，大家廣泛採用企業架構作為規劃的方法論。自從上世紀80年代Zachman提出企業架構方法以來，較為流行的企業架構工具包括TOGAF、DoDAF、FEAF等。總結起來，企業架構基本可以分為四層：業務層、數據層（或稱信息層）、應用層、技術層。對應分解為4個層次的模型，包括業務模型、數據模型、應用模型和技術模型。

比企業架構更早使用 「架構」一詞的是建築業，因此企業架構的研究特徵與建築有著共通性。例如：建築業設計時要從房間結構設計向地基展開，企業架構的設計自業務向技術展開，實施時則自技術向業務實現逐步部署，而二次開發則如同室內裝修，通過定製實現細節的差異化。

在設計時，通過逐層分解，盡量減少兩層設計間的耦合，能夠帶來的明顯利益就是加大各層之間的設計和部署的獨立性，提高並行能力，同時各層間的所需技能可以進行深化加強。例如：硬體、操作系統、資料庫、中間件、應用可以進行分別設計和選型。解耦後企業架構在邏輯設計階段對系統各層主要參數獨立設計、獨立驗證。

解耦過程中，仍然存在一定的強依賴性的關係，例如：操作系統與硬體間的固定依賴關係，由於CPU架構的不同，在選定硬體的同時，即等同於將操作系統限定在一定的範圍內，進一步操作系統對資料庫形成選型影響。解耦的關鍵在於解耦率，即解耦的百分比越高，各層設計越獨立自主，但解耦在一定程度上是犧牲了計算效率來獲得的。隨著硬體的發展，計算效率在多數行業已經不再是瓶頸，因此犧牲部分效率的換來各層設計的獨立性越來越成為主流趨勢，尤其是在雲計算概念提出後，這一趨勢更加明顯。

如同民居設計出來是為了居住一樣，系統的設計是為了具體商業環境的應用，無論是將計算機用於傳統流程的替代，還是以信息系統為競爭點改造業務流程，甚至是進行業務創新，最終要體現在業務表現形式上。因此，分析業務環境是企業架構設計的一部分，而且是第一步。以下，我們就架構的四層進行簡要分析：

業務架構：業務架構是企業架構的頂層設計，影響數據架構、應用架構，當進行計算機化的時候在一定程度上受信息系統技術制約。（略，由於各行業的業務差別，本文不研究業務模型）

數據架構：數據架構研究業務過程中數據的相互關係，以及數據的採集、存儲、加工和使用的能力。企業在研究數據架構的過程中，還應當結合信息安全，對數據的許可權進行適當管理，以確定數據使用恰當性。由於數據架構（以及即將提到的應用架構）是介於業務和技術的中間層次，因此往往形成企業架構設計的真空，典型的現象是業務人員抱怨IT不懂業務，IT人員抱怨業務需求不清晰。數據架構設計的重點在於數據模型的設計，包括制定數據的訪問許可權計劃（創建、使用、更改、刪除）。

數據架構是IT規劃中的重中之重，良好的數據架構決定了信息的質量，因此我們就數據架構規劃中的一些工作進行展開：

一、 數據識別

數據既然是事物的客觀描述，那麼數據就是先天而存在的，在數據識別過程中，筆者認為需要做到：

1、 數據的定義，是對事物的客觀描述，識別那些能夠作為事物或動作組成特徵的屬性，例如：機房溫度、起止時間。在數據定義的過程中，我們還需要判斷屬性的冗餘性是否需要，例如溫度描述是否需要採用攝氏度、華氏度兩個度量單位，還是定義其中一個度量單位為標準屬性，而另外一個為推算數據。 數據的冗餘在某些場合下能夠起到提高處理速度的作用，因此一定程度的數據冗餘是有必要的。

2、 數據的測量，對數據的定義，需要附加以測量手段才能實現，無法測量的數據定義，應當予以識別。例如：溫度計根據使用場景，其測量的溫度上、下限不同，表示的單位不同（攝氏度、華氏度），而高爐溫度僅在現代測量工具（例如：紅外測溫）出現後才獲以精確測量並加以控制。

二、 數據職責與組織

數據在產生、加工處理成為信息的過程中，對於企業不同部門和人員而言，都具有不同的職責，因此：

1、 識別數據職責，確定在數據全生命周期中，創建、修改、刪除及調用的許可權，不僅僅能夠使數據質量能夠認責，同時也是數據安全的需求。

2、 數據管理組織需要，根據數據職責的識別結果而相應構建相應，以提高數據生產、處置的效率，數據組織的構建的要點在於根據各自所負責的職責來識別溝通渠道，以溝通管理為核心進行構建。

3、 數據管理流程在所識別的溝通需求上進行定義，以保持數據管理過程的始終一致性。從而可以藉助標準化的流程提高持續改進的可能性。

三、 數據質量與標準

數據質量管理一直以來是數據管理人員的挑戰。我們在開篇時以鋼鐵為例，提到了原始數據（鐵礦石）的重要性，原始數據的良率決定了後續加工處理的成本。因此，數據質量的管理的重點在於原始數據。

1、 原始數據的產生的控制，通過對原始數據的控制，可以避免「邊治邊污」的循環。藉助邊界控制或預定義進行管理。例如：性別數據為男、女。

2、 通過原始數據的自校驗和約束，提高數據質量。例如：身份證號的信息中，我們可以對字串長度、部分位元組與出生日期進行校驗、身份證號的全字串校驗（最後一位為校驗字）。

3、 制定統一的數據標準。現在很多行業都推行行業數據標準，企業可以在行業數據標準的基礎上進行拓展，制定企業內部數據標準，同時兼容行業標準，利於行業內的企業間數據交換。

四、 數據管理工具與人員能力

數據管理工具是數據處理能力的根本，不同的工具所能夠帶來的生產效率不同，專業的數據倉庫（DW）通過特有的數據分析語言，能夠帶來比傳統資料庫（例如：RDBMS）更高的效率，對於大規模數據處理而言是有必要的。因此合理選擇數據處理工具，能夠提升投資回報比。

數據管理人員的能力則決定了數據工具發揮的效率，對工具、業務的理解和應用能力不同是數據管理人員的差異，通過對工具的操作體現在數據處理的結果上。由此可見，數據管理人員的能力的兩個關鍵要素是：業務能力、工具能力。

五、 數據治理

數據治理，是企業數據管理基本環境的支撐，根據長期的項目經驗總結，數據治理需要高層管理人員的支持才能有效推動。

應用架構：首先我們應當注意應用架構不是應用系統，應用架構以業務流程為參考，對應用功能進行劃分、集成。應用架構需要和組織架構進行交互，以優化企業活動的權責。應用架構往往和企業流程再造，以及企業流程管理相互結合執行。在關聯性多元化企業集團，應用架構的設計更為複雜，尤其是採用共享職能的集團企業。應用架構體現了一個企業對流程管理的成熟度和文化環境。

技術架構：技術架構負責企業架構的具體實現，涉及應用系統、應用系統開發技術，以及應用系統所依賴的計算、網路、存儲和設施環境等。

從前面的分析看，業務模式是IT戰略規劃的輸入，IT戰略和業務戰略在規劃中密不可分。由此，我們需要了解業務戰略制定的依據，以及IT自身的發展特性，從而對IT進行規劃。

不同的企業（或者集團）的業務發展不盡相同。企業是向專業化（P）發展，還是向協同化（C）發展？協同模式是橫向協同模式，還是縱向協同模式？企業產品的在競爭中是靠快速研發（I）新產品進行差異化競爭，還是靠降低成本穩定生產（O）的產量競爭？

由此我們可以看到，企業的經營模式主要組合包括CI、CO、PI、PO四種主要模式。而根據企業經營模式的特點，我們應當制定不同的IT戰略：

CI：在此業務模式下，企業期望發揮協同效應，獲取超額利潤，並可能採取一定的補貼措施，來平衡產業鏈的發展。並且企業的產品研發速度迅速，利用差異化產品進行市場競爭。例如：電信運營商。在此模式下，企業要發揮協同效應，信息化是關鍵抓手，並且信息化能力的敏捷度是差異化競爭的關鍵點。因此，企業需要敏捷的IT架構來支撐業務運營，對信息溝通的依賴程度非常高，企業可適當考慮增加IT的投入，保障IT開發和運維的能力，並努力降低IT運維成本。

CO：在此業務模式下，企業對信息協同需求高，但IT架構可以保持相對穩定。因此IT規劃中，需要關注信息協同的能力，並爭取降低IT開發和運維的成本，保持IT架構的穩定性。形成產業鏈的基礎產業可歸於此類，例如：製造、物流、原材料供應合一的集團型企業。

PI：此種業務模式下，企業走向專業化發展，對研發速度要求高，如果是IT強相關，可適當考慮增加研發能力，例如：車輛研發、生物科學類企業，對IT計算能力要求高，但所採用的應用類型相對固定，可構建按需提供服務的雲平台。

PO：在此類業務模式下，企業的IT相對穩定發展，可以參考歷史數據對需求進行定義。IT投入與增長穩定，是較為容易規劃的類型。

當然，現實中的企業絕對不會是單純的4種模式，而是多種模式的組合和變換，因此對於IT決策者來講，需要動態的調整IT戰略，來適應業務的轉換，並且合理分配IT資源，針對不同的IT階段，由此，對於企業而言，IT治理的重要性也不可小覷。

在我們研究了IT戰略定位（業務-IT在企業中的作用以及關鍵關係），並完成了IT與業務的分析後，如何實現IT戰略定位的問題擺在了面前。IT戰略規劃的下一步，我們將採用繪製IT戰略地圖來解決。

提到戰略地圖，我們第一個想起的就是平衡記分卡（BSC），筆者認為，在IT戰略規劃中，BSC仍然是重要工具，根據實際項目經驗，筆者在借鑒平衡記分卡的同時，結合實際需要對其實施予以了調整。

平衡記分卡分為4個關鍵維度：財務、客戶、內部、學習與成長。在信息化高度發展的時代，員工已經成為企業的關鍵資源，因此筆者在實施中將後兩項進行了變化，強調員工在創新、差異化競爭，以及員工在後工業時代對企業的影響，變化後的企業關鍵維度成為：財務、客戶、人力資源、內部。

我們首先應當注意到，變化前後財務指標仍然是第一指標。這一指標無論是在企業還是非盈利組織都是最重要的指標，是衡量企業、項目健康因素的關鍵指標。對於IT來講，目前有幾種形式：在集團（企業）中獨立財務核算，成立獨立的公司；作為企業的部門存在；在集團（企業）中成立共享中心，獨立於子公司。即使是第一種情況，由於獨立的信息公司並非充分市場競爭的，所以財務指標如何計算，是IT戰略規劃中的一個挑戰，筆者認為虛擬結算和模擬市場競爭可以很好的解決這一問題。在繪製戰略地圖時，首先我們要解決的就是IT的財務問題，並分解為可實現目標。

作為企業的營收來源，客戶一直是管理的重中之重，上世紀九十年代中後期，各種管理理論均引入客戶導向引入這一概念，逐步形成精準營銷的理念，並藉助諸如CRM等技術落地。客戶需求、客戶畫像、大數據均進入企業研究的視野，由IT進行執行。在本階段，我們需要分析客戶對IT服務價值的需求和貢獻，該分析應從企業戰略角度出發，避免業務部門因對IT技術的應用收益的知識缺失而形成有偏見的決策。我們應當注意，IT戰略規劃始終是和企業戰略結合在一起的，本階段最易形成業務戰略和IT戰略的各自為戰，高級管理層的參與對本階段的成功至關重要。

進行客戶管理後，到底是流程規範化為客戶貢獻更大，還是企業員工對客戶貢獻更大？筆者就此引入另一個研究成果：5個為什麼（5W）。5W認為所有的問題最終都可以歸結為人的因素，筆者深為認同，尤其是在不確定性高的領域（諮詢、軟體、服務）。因此，在針對IT戰略規劃的過程中，筆者更推薦將人力資源管理作為戰略地圖的下一個步驟，取代內部（流程），這一轉換體現了以知識為核心競爭力的產業特色，在敏捷項目中尤其如此。針對人力資源的設計，將聯繫客戶層面，以與客戶接觸點作為設計基礎，包括企業內部的業務接觸點。採用業務接觸點的理念，可以有效的判斷活動的客戶價值，並為此選用合適的人員。

流程的設計應當滿足客戶、內部人員雙重需求，業務過程的優化或業務流程重組將圍繞企業管理的要素進行，避免為了有流程而設計流程。

最後，企業應當設置合理的KPI系統來保障IT戰略的可測量性，KPI應當包括前向的（考核）和後向的(預測)。Co

KPI(關鍵績效指標)是很多公司/團隊所關心的問題，良好的KPI體系，可以促進企業的持續改進。一個良好的KPI體系應當具備哪些特徵呢？

一、KPI應當與戰略保持一致

企業制定KPI必須要有目的性，筆者曾與很多企業進行交流，發現一些企業制定的KPI並無立足的基礎。企業制定KPI的目的性一定要明確的和戰略發展保持一致，關注與戰略相關的成功因素，排除非關鍵因素。

例1，某企業發展到一定程度，其主營產品的市場佔有率、利潤率都達到了預期目標，其利潤如何利用就成了企業需要進行戰略級規劃的問題，可能的方案包括分配給投資者、進行規模性再投資、擴展新業務、存進銀行等一系列的可選性。企業的選擇可能是個複雜的組合，但針對任何列入戰略目標的選擇，則需要為其制定相應的KPI。例如：投資新業務的KPI可以定義為投資回報率、投資回收期等。

例2：某企業業務發展迅速，IT是發展的核心，為了保持持續增長，而市場上的 人員數量和質量在一定時期相對固定，發動大規模的獵頭也未必是一個可行的方法，該企業可能會制定長期科技人員戰略，包括人才的培養、保留等政策，並為其制定相應的KPI。

二、KPI應根據組織架構的複雜度進行分級

即使是生產同樣的產品、相似規模的企業，不同的組織架構也會產生並同的KPI。筆者在此並做贅述，比較一下身邊的企業即可窺其一斑。

三、KPI是動態的

隨著生命周期而變動，例如：產品將經歷研發、投產、市場投放、產能爬坡、市場成熟、退出等階段，每個階段所需要實現的目標不同，如果套用不同生命周期的指標，將對產品帶來致命打擊，即使是相同生命周期的不同產品，其考核指標也會有區別。將生命周期與KPI進行匹配需要頂層設計，體現出戰略引領運營。

由於KPI是隨著企業不同階段動態發展的，因此企業管理者應當注意KPI的調整，包括周期性評估調整、為了特定目標的臨時評估與調整，管理好KPI的全生命周期。例如：銷售量在研發期、利潤率在產品退出期可能非良好的的KPI。

四、KPI數量設置

很多教學中提出KPI的數量應保持在 5-8個左右，並提出過多的數量的KPI不利於跟蹤、無法識別關鍵因素，而過少的的KPI則有可能疏於管理。現實中KPI的數量應當根據需求而定，不能一概而論，能夠保持和戰略的一致性並幫助提升流程效率即可，無需為了湊足數量而制定過多的KPI。

五、KPI的數據科學性

KPI本身的科學性需要注意，錯誤的KPI可能導致與戰略相背離。本文僅就兩個常見問題進行分析

1、統計學問題:樣本數量，層層分解後，樣本不足，造成統計結果異常，這是最常見的問題，並且容易識別。例如：某村以全國平均死亡率來制定本村的火化率與數量即成為笑傳。

2、去單位問題:統計時，採用百分比（或類似去單位的方法）進行多變數整合，而在去單位的過程中，則容易產生新的數學問題。如下所示（以IT工作常見的變更為例）：

第一個月

第二個月

請注意，在上表中團隊B在兩個月中變更成功率的指標均表現不俗的 ，然而請看在整合後的結果，如下：

KPI是個嚴謹的數學體系，因此解決以上問題的方法是制定符合數學規律的KPI體系。

總體而言 ，KPI的制定需要識別戰略目標和成功因素，在此基礎上進行分解，並保持動態調整，形成PDCA閉環，才能保障KPI體系的有效性 （這也是我們在很多實踐中努力追求和實現的）。

談到IT規劃，我們還需要考慮多層級集團企業的管控模型，基本可以分為三種模式：財務管控（投資管控）、戰略管控（協同管控）、運營管控（深度管控）。（註：筆者在三種模式後給了新的命名，以詮釋其要點。）

這三種模式的關鍵點分別是：

財務管控以投資為中心，集團公司對子公司的考核依據財務指標，尤其是ROI（投資回報）指標，集團公司對子公司進行高度授權，子公司有自主決策的許可權，包括做什麼和如何做，子公司接受集團公司的財務考核及監管（風控、內審），並做到遵紀守法、合規。在此模式下，集團合公司和子公司的信息傳遞範圍、內容相對標準，集中在關鍵職能部門，對信息協同的要求並不高。財務管控型通常是因為集團公司對子公司業務不專業，不得已而為之，或者是非相關多元化且並非集團的重點戰略方向，因此管理較為粗放。

戰略管控模式是指集團公司為子公司指明發展方向，利用集團的管理權，實現子公司間的協同效應，在多元化企業，尤其是相關性多元化企業，對信息的橫向/縱向傳遞能力要求非常高。（筆者在將來將就多元化企業戰略管控進一步展開）

運營管控模式是指集團公司對子公司進行精細管理，這不僅需要集團公司具有專業化的管理能力，同時又需要集團公司和子公司之間保持信息溝通暢通有效。典型的案例是集團公司的下屬公司均從事相同業務，但分布在不同地域，例如：電信業、銀行業、保險業，業務模式統一使得集團公司具有充分的業務管理技能，在信息科技成熟到可以跨地域管理時，管理權逐漸上收，從而做到集團公司對子公司能夠實現運營管控，管理可以精細到具體的活動，涵蓋期整個生命周期過程，包括從計劃、實施到成果。

通過以上分析，筆者認為集團公司和子公司之間的管控模式選擇與信息科技能力休戚相關，信息科技的運用是管理模式能否實現的關鍵。因此多層級集團型企業在選擇管控模式時，應同期評估自身的信息科技應用能力，並以企業管控和信息科技相輔相成為基礎，制定企業戰略發展計劃，是信息科技在實現業務戰略目標時，能夠發揮整體協同作用，使企業間各子公司的協同效率儘可能高，同時做到協同成本儘可能降低。而信息科技在多元化企業的橫向協同能力，在單一業務模式下的垂直管理能力，需要受到企業的重視並加以利用。

筆者認為在制定信息科技戰略時，應避免唯信息科技論，脫離業務戰略的實際，同時也應當考慮信息科技的發展對業務的影響，應當前瞻性的看待信息科技和業務領域的關聯，通過信息科技創新影響業務未來的發展。

後記：在一次聚會上，Bruce問我寫了這麼多隨筆，是否能夠寫一個系列？這些內容和信息安全有什麼關係？本文即是在此思路上，將過往的隨筆貫穿起來。在此向Bruce對本文編訂過程中的幫助表示感謝！

推薦閱讀：