DNVGL大中国区产品经理   宋琳

今天我的主题是IT管理的御膳坊。其实御膳坊是阿里的一个公司，它是做数据分析的，不管你的需求是什么，我总有一则适合你的饭菜给你端上来，这个饭菜是企业的饭菜，给商户做这种精准营销。

02年我在飞利浦半导体，当年做了两个大项目，一个是中国的身份证芯片，大家口袋当中的第二代身份证芯片，面临的是无数要来破坏国家安全数据的间谍。当年我是全国的大项经理，我原来的角色是项目经理和质量经理，后来做了二代证被迫往安全去管了。

03年我就进入了认证行业，现在已经是差不多快十五年了，这两年见证着中国的信息安全。中国的信息安全管理现在很一般，为什么？你会发现因为IT人在管理，他们技术层面还可以，数据层面基本全完蛋，这就是中国信息安全管理的基本现状。你不懂业务的话，你做的只是一层表面的东西。

首先把现在IT管理的现时的标准跟大家交流一下，之前IT很少有标准，很多标准是基于汽车领域通讯领域去做的，IT只是基础设施维护当中的很小的一部分，跟水电气空调是并在一起的，这两年出现最多的标准是IT业的标准，不管是国家的还是国际的，风起云涌。

我们先讲管理的基本定义，因为我本身就是做管理的，基本上都是在企业一线工作。我跟我女儿就说一定要去一线工作，接地气说人话。所以一般企业的管理，不管你是什么行业，我们说管理就是需要一堆人经过一段时间的磨合，去达到某一个目标，这才叫管理。你说我就是端起杯子，喝杯水，这叫一个动作，不需要管理。

一般的管理有体系管理、流程管理、项目管理、内控管理、全方位的风险管理，这些都叫做管理，所以如果有人说宋老师，我们老板就说要做一个全面风险管理你帮我们做，这种活没法接。组织架构、职责权限，先把架构搭起来，其他的都不要紧，目标清单上三五条，直接明了。

团队成立起来以后，我经常说的一句话叫做清单不散，管理不乱。我们先把清单列上，详细引导有的放矢的时候，管理是积累的，是有效的。清单未来一定是可以调整的，程序就是告诉我们的员工我们应该怎么办？Checklist是最好的程序。

那么对于管理来说是过程重要还是程序重要？过程是一个公司的执行力，比如说变更管理，要有备份，写得很好，但是打补丁升级的时候没有东西，这个时候就是程序写的完美，过程不行。管理真正的好坏，20%取决于我们的过程，我程序写的怎么样。80%是取决于这个公司的执行力，写的再好，你不值钱，没什么用。

所以管理的基本要素就是这个，当我们接到了一个很头疼的项目的时候，也许有思路，也许没思路，先把边路搭起来，把清单列出来，再开始考虑，从哪几个角度去解决问题，然后完了再按照我们的程序去做，持续性地留下一些相关的记录，这个过程需要什么就是资源，这是管理的不败的法宝。

在行业管理的热点中，27000是一个底层的管理体系，面面俱到。27000相关的法律法规，商业秘密、国密商密，红头文件，商业秘密等。是信息安全的一个分支，个人隐私保护是另一个分支，是100%的就是信息安全的一个部分。这两年个人隐私出来的标准实在太多了，并且很难。设备卖到欧洲去，不能写人脸识别，因为侵犯人隐私，这部分很严格。去欧洲展布展的时候，他们的摄像头装在那，必须写明你已经进入我们的展区。

通过20000说难也难，说不难也不难，其实它的通用性比较强，就关心你是用什么样的方法去落地的，另外20000和27000怎么去做整合的，工具最重要，千万不要让它变成IT运维人员的一种负担，要有很多的工具跟日志，做一些契合，这是我的小建议。

今年我很忙，我得天天去关注特朗普在说什么，他一说什么，很多企业就给我打电话，为了中国的业务马上进口激光头，因为激光头是我们缺的东西。我们现在要越来越多关注外围条件，业务连续性就是考虑让你的业务能够进行下去的。每一个动作都是由不同的系统组合，而任何业务缺少的任何一环，你就办不了，因为它是法规要求。

工作流的作用和核心系统差不多，如果光关注核心新系统，不关注重要的外围系统，业务是成不了的，BCM就是解决这个的，你站在高楼上看管理会更加透彻，是我们所有管理都没想到的，最后一道门。

问题：牵头部门是怎么把不同部门的事情牵起头来的？

回答：风控老大是要有这个意识的。如果我来做的话，业务部门参与一些就行了。你要把要搞的业务清单发出来，确定好我们的范围流程。以后业务部门的人有问题，把这些人召集在一起，用一个培训的方式让他们把流程图画出来，比如黑名单、校验、后台、审核等等，会有一个简单的梳理。BIA需要给重要系统打星号，这是应该的，另外可以跟他商量一下每个系统的要求。要基于流程去用，而不是基于点击数去用，那是不对的。

注：本文只是宋总现场授课小部分摘编，完整视频资料3小时，全文实录约1万字，我们会在本期研修班结束后制作视频专辑和纸质专刊，届时分享，敬请期待。