怎样建立信息安全管理体系？ 一般要经过以下几个主要步骤

前段时间Gartner公布了2019年首席信息官议程调查（The2019 Gartner CIO Agenda survey），共收集了来自全球89个国家与地区的逾3000位首席信息官所提供的数据。

数据显示：商业智能和数据分析将成为2019年CIO的首要预算投入领域。

2019年投入新资金或追加资金的前五大领域

①商业智能与数字分析（business intelligence and data analytics）——42%

②核心系统改进与转型（core system improvements and transformation）——33%

③人工智能与机器学习（AI and machine learning）——33%

④网络安全与信息安全（cybersecurity and information security）——32%

⑤数字化业务计划（digital business initiatives）——30%

作为新一代智能BI服务商，观远数据致力于践行AI+BI服务理念，通过敏捷化（Agile）、场景化（Accurate）、自动化（Automated）、行动化（Actionable）、增强化（Augmented）的5A实施路径，为企业客户提供新一代数据分析及商业智能解决方案。

本文由CIO发展中心根据“第二期CIO闭门云聊天”活动中各嘉宾观点整理

数字化转型，是一件上升到企业层面，牵涉深广的"大事"，因此IT部门与业务部门的正面交互不可避免。

继第一期CIO闭门云聊天成功举办后，CIO发展中心于6月24日再度举办线上视频会议——“第二期CIO闭门云聊天”，依托线上视频平台，各位CIO朋友们在线开展互动交流，深挖转型机会点，共话发展新机遇。

本次活动中，特别邀请到瑞再咨询管理副总经理张辉担任嘉宾主持，张辉总作为专注企业端到端数字化体系建设与创新21年的行业专家，曾担任上海贝尔安弗施亚洲区IT负责人、双环传动集团IT总监等职位，多年的数字化实践，使其积累了极为丰富的实战经验。

本期活动将话题聚焦于企业中的IT部门与业务部门， 核心议题为：IT部门如何与业务部门协作，提升数字化效率？各位嘉宾从多个维度分享了他们与业务部门协作的方式方法 ，可谓干货满满，我特整理成文，内容如下。

在大家的谈论中，能够发现部分企业中的业务部门具有一定的甲方或使用者思维，对于IT部门提出需求，并不在意如何实现，而且对于外购和开发，也会认为是IT的事情。因此这类企业中的IT部门往往会处在一个艰难的境地，想要改变这样的局面， IT推动者就必须具备“软”领导力和沟通技巧，这样数字化转型的长期性才不会受到影响，才更具有可持续性。

瑞再咨询管理副总经理张辉也抛出话题，他讲到：谈到IT与业务两个部门的微妙关系，已经成为不论是数字化的负责人，还是企业的管理者，都会面临的一个巨大挑战，那如何使IT战略与业务战略匹配，从而推动业务的转型增效。过程中IT应如何与业务部门配合，保证项目的落地？

几位嘉宾分享了他们的做法，可以概括为3点：

1

强化沟通技巧，破冰活动至关重要

来自医药行业的刘总谈到：IT与业务部门的协作对于项目能否顺利开展起到了至关重要的作用，而两者协作最大的难点就在于沟通，往往IT部门的同事比较内敛，所以 很多时候与业务之间的沟通并不顺畅，为了打破这种局面，组织了IT与业务部门之间的团建活动是必要的，轻松的活动代替了机械的会议沟通，通过这样的活动，双方不但增加了信任感，而且少了很多沟通障碍，项目的推进也更加容易。

2

明确项目目标，共建信息化团队

IT部门如果想要推进某些变革，就一定要让业务了解到该项目的目的，并且能够解决哪些问题。如果沟通困难，可以在推进过程中，于业务部门选取骨干人员成为关键用户，一起组建信息化团队，并且从企业层面对这些人员的晋升给予政策倾斜，具体到工作推进过程中，便由关键用户在业务部门内部进行推动。

3

部门轮岗体验，加深双方工作认知

通过轮岗的方式，让IT技术人员与业务部门的人员来进行工作的互换，这样的方式 不但能够进行人才培养，同时也让大家能够深刻地了解对方的想法 ；第二通过轮岗， IT人员也会做业务，业务人员也更懂技术，双方共同讨论项目的氛围更好，利于项目的推进 ；第三点就是 IT的技术目标要与业务目标对齐，并且让业务部门的领导和人员担任大型IT项目的经理，项目组核心成员也由业务人员担任。

传统意义上来说，业务部门会把IT定义为系统和工具的提供者，认为IT不需要懂业务，IT在业务分工里只是一个保障角色。但是随着数字化转型的持续火热，今天越来越多的企业由技术引领公司业务，当业务落地需要技术交付的时候，IT就不只要解决技术问题，还需要理解业务，因此IT角色的转变以及在企业中的定位，对于与业务部门之间的关系产生着深远影响。

对此， 某消费品行业CIO温总表示，一般来说，甲方公司对于IT的期待会有两个大的方向，一个就是作为后台的支撑部门，为前端业务提供支撑；另一个方向就是希望IT发挥业务领导作用，给前端业务提供指导。 针对第一类期望，IT部门需要进行IT或者是工单的建设，让前端业务的需求得到及时响应。针对第二类期望，则需要一个强大的业务加IT，对于大型的集团公司可以采用COE的模式，如果是业务集中的单体公司，则ITBP模式更合适。归根结底，数字化的目的在于给企业带来业务价值，这样的话，说服业务部门以及管理层推动项目才更容易。

来自高 科技 行业的沈总表示IT与业务部门的协作，可以从两个维度来考虑采用何种策略，一个是目的，另一个是方式。 举例来说，如果在项目中，两个部门的目的相同，方式不同，则可以采用竞争的方式；目的和方式都相同，IT部门与业务部门可以采用合作的方式；目的不同，方式方法相同，可以采用联盟的方式；如果目的和方式都不同，则冲突较大，道不同不相为谋。所以与业务部门的协作，需要首先明确与业务部门的目的与方式是否一致。

由于95后对于C端软件有比较深刻的认知，所以对于B端软件易用性和智能性的要求非常高，有嘉宾建议可以采用两种方法解决，第一个就是让这些小伙伴加入到整个项目实施过程中，让他们更加深刻地理解需求是如何开发出来的，并且明确B端和C端的逻辑差异。第二是从项目管理的维度来给他们灌输相关的内容，满足某些必要的需求，将非必要需求砍掉，或者在以后迭代的过程中可能再来适当添加。对于CIO 来说，可以将IT需求进行分级，由IT部门来控制核心系统，如果外围系统没有与核心系统集成，那么会提出相应的使用建议，决定权给到用户自己，对于一些个性化需求，可以采用外部采购小软件和插件来满足。

“在企业中，有些项目和需求需要业务部门来主导，以提升其积极性。对于有独特想法的90后和95后，可以帮助其明确任务和目标，在限定的范围内进行创新。未来对于既懂技术又懂业务的综合性人才的培养，也是非常重要的。”分享嘉宾汪总强调说。

当然对于企业中年轻群体的需求，有些是确实难以落地的，所以需要进一步引导这些年轻的关键用户怎样提出需求，怎样讲清楚需求。使其明确应当是从整个流程出发，来提出一整套需求，而不是从某个点出发，只有这样，才有可能使需求能够快速落地。

很多IT同仁表示，IT部门在企业里没有话语权或是话语权很弱，而且IT部门的工作大都是被动式响应或救火，很难去用IT来引领业务，IT与业务部门的协作非常困难。而且让人苦恼的是，当企业中真的出现了一些“事故”以后，IT部门也得不到老板的重视，而是成了背锅侠，老板会将责任归结到IT的身上，这也是很多CIO所困扰的问题，如何规避这一问题？

瑞再咨询管理副总经理张辉发表了他的看法：“事故”一定不是老板想要看到的，但往往“事故”让企业痛了，老板才更愿意推进某些项目，作为IT负责人，一定要未雨绸缪，提示老板某些地方是有改善空间的，并且存在风险，如果不改善，可能会出现严重的问题，给企业带来损失。一旦IT从未提出相关的风险报告，出现问题了，那IT有着不可推卸的责任。需要注意的是即便提出某些风险预警后不能马上去实施，那也非常有必要，甚至可以采用分期的方案，来逐步实施，帮助企业避免不必要的风险。

千企千面，不同的企业有着不同的实际情况，但能够发现的一个共性问题是IT与业务部门之间的“偏见”，首要的导致因素就是沟通不畅、执行不力，想要实现IT与业务部门之间的高效协作，不妨从沟通方式着手，以沟通为桥梁，充分减少或消除IT与业务之间的认知偏差，这样或许能够推动IT与业务的有效融合和相互理解。

往

期

精

彩

企业数字化转型期间的那些坑，你踩过几个？

打造研发信息安全的“六边形战士”——浅谈研发信息安全的六层防护体系

CIO群讨论企业数字化转型中需要与标杆企业“对标”吗？

上系统与数字化转型（一）：数字化转型核心是开展业务数字化

CIO深度聊 | 数字化转型应如何明确技术团队与业务团队的定位？

关于CIO发展中心

「CIO发展中心」于2005年由一群热衷于中国CIO职业发展的CIO 们倡导发起，并以「聚合中国CIO力量，助推CIO商业价值」为宗旨。旨在通过学术和经验交流、知识和理念宣传来促进职业规范的推进、成长环境的改善以及队伍素质的提升，进而促进信息应用水平提升，推动CIO机制的建立和完善。

本文经CIO发展中心授权转载

信息安全管理体系策划与准备。策划与准备阶段主要是做好建立信息安全管理体系的各种前期工作。内容包括教育培训、拟定计划、安全管理发展情况调研，以及人力资源的配置与管理。

确定信息安全管理体系适用的范围。信息安全管理体系的范围就是需要重点进行管理的安全领域。组织需要根据自己的实际情况，可以在整个组织范围内、也可以在个别部门或领域内实施。在本阶段的工作，应将组织划分成不同的信息安全控制领域，这样做易于组织对有不同需求的领域进行适当的信息安全管理。在定义适用范围时，应重点考虑组织的适用环境、适用人员、现有IT技术、现有信息资产等。

现状调查与风险评估依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行调研和评价，以及评估信息资产面临的威胁以及导致安全事件发生的可能性，并结合安全事件所涉及的信息资产价值来判断安全事件一旦发生对组织造成的影响。

建立信息安全管理框架：建立信息安全管理体系要规划和建立一个合理的信息安全管理框架，要从整体和全局的视角，从信息系统的所有层面进行整体安全建设，从信息系统本身出发，根据业务性质、组织特征、信息资产状况和技术条件，建立信息资产清单，进行风险分析、需求分析和选择安全控制，准备适用性声明等步骤，从而建立安全体系并提出安全解决方案。

信息安全管理体系文件编写：建立并保持一个文件化的信息安全管理体系是ISO/IEC27001:2005标准的总体要求，编写信息安全管理体系文件是建立信息安全管理体系的基础工作，也是一个组织实现风险控制、评价和改进信息安全管理体系、实现持续改进不可少的依据。在信息安全管理体系建立的文件中应该包含有：安全方针文档、适用范围文档、风险评估文档、实施与控制文档、适用性声明文档。

信息安全管理体系的运行与改进。信息安全管理体系文件编制完成以后，组织应按照文件的控制要求进行审核与批准并发布实施，至此，信息安全管理体系将进入运行阶段。在此期间，组织应加强运作力度，充分发挥体系本身的各项功能，及时发现体系策划中存在的问题，找出问题根源，采取纠正措施，并按照更改控制程序要求对体系予以更改，以达到进一步完善信息安全管理体系的目的。

信息安全管理体系审核。体系审核是为获得审核证据，对体系进行客观的评价，以确定满足审核准则的程度所进行的系统的、独立的并形成文件的检查过程。体系审核包括内部审核和外部审核(第三方审核)。内部审核一般以组织名义进行，可作为组织自我合格检查的基础；外部审核由外部独立的组织进行，可以提供符合要求（如ISO/IEC27001）的认证或注册。

ITSM更多是标准化、规范化。

至于效率，个人认为，提升的方式就是输入输出标准了，能够提高各个接口衔接的效率。

至于整体运维效率的提升，还需要从制度、标准、人员、平台等维度综合考虑。

目前，比较流行的词汇，如IT治理结构、IT治理模型、 IT治理标准等，其概念定义、内涵和外延均比较混乱，这不利于IT治理的传播、推动与发展。

根据权威的ITGov中国IT治理研究中心界定：

IT治理=IT治理思想+IT治理模式+IT治理体制+IT治理机制（ITGov中国IT治理研究中心，2008） IT治理模式解决有关管理思想、管理方式方法层面的问题，是具有方向性、框架性的高度概括，其涉及的内容，

第一是组织在IT治理工作中所遵循的治理思想或坚守的治理理念（治理观念）是什么；

第二是治理的结构问题，其中包括根据组织发展目标确定的IT治理定位（采用什么样的治理方式和治理途径）、治理运行的要求、治理关系的原则等三个方面；

第三是治理的运行机制，即涉及IT治理流程及制度体系、组织的价值观、IT文化及沟通机制、IT绩效管理与激励约束机制等。

同时，为保障治理模式行之有效，需要建立IT治理自身的绩效评估、持续改进提高的良性循环机制。ITGov中国IT治理研究中心通常只把治理思想理念和治理结构及方式纳入治理模式的研究范畴，而把治理流程层面的内容纳入治理运行机制的范畴； 治理机制的涵义，是指治理体系结构及其运行机理，治理机制又细分为运行机制、动力机制、约束机制。运行机制是指组织IT相关基本职能的活动方式和运行关系；动力机制是指推动信息化可持续发展的内生动力产生与运作的机理；约束机制是指对IT治理行为进行约束与纠正的功能与机理。通过细分的运行机制、动力机制和约束机制，就比较容易理解什么是治理机制了。ITGov中国IT治理研究中心根据当前的国情和信息化发展所处的阶段，强调把建立完善信息化全生命周期风险管理控制体系作为构建落地的运行机制的主要内容，把信息化绩效评估作为信息化可持续发展的内在动力机制，把信息化风险管控体系和绩效问责共同作为约束机制。

总之，在治理思想治理模式、治理体制、治理机制四个概念中，治理思想回答的是方向性问题，治理模式侧重于具有代表性、稳定性治理方式、治理路径，治理体制倾向于解决各相关主体的治理范围、责权利及其相互关系的准则等问题；治理机制所要解决的是运行机理、动力和约束问题。IT治理思想决定IT治理模式，IT治理模式决定IT治理体制和IT治理机制，可以说有什么样的IT治理思想，就会有什么样的治理模式，有什么样的IT治理模式，就会有什么样的IT治理体制和机制。

依据上述思路，ITGov中国IT治理研究中心自主创新了符合中国国情的“中国企业IT治理框架”，该框架有七要素组成：科学的信息化发展观、IT商业价值、IT治理方法、IT治理绩效、IT治理决策模式、IT风险管理控制体系、核心IT能力。（ITGov中国IT治理研究中心，2008）

IT建设运行的管理机制。IT治理的关键要素涵盖IT组织、IT战略、IT架构、IT基础设施、业务需求、IT投资、信息安全等，主要确定这些要素或活动中“做什么决策？谁来决策？怎么来决策？如何监督和评价决策？”。围绕着IT建设全生命周期过程，构建持续的信息化建设长效机制，是IT治理的目标一致，因此，整个IT建设生命周期都是IT治理的对象，包括IT组织与规划、IT建设与交付、IT运行与维护、IT评估与优化。IT治理的国际最佳实践就是基于各个对象治理的成熟的方法论和工具，包括CobiT、ITIL、ISO27001、Prince2等。

以上就是关于现在企业越来越重视IT了，大家觉得未来企业IT建设的预算投入会集中在哪几个领域呢全部的内容，包括:现在企业越来越重视IT了，大家觉得未来企业IT建设的预算投入会集中在哪几个领域呢、CIO深度聊 - IT如何与业务部门高效协作、怎样建立信息安全管理体系 一般要经过以下几个主要步骤等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！