从金融到交通、从电信到制造、从能源到互联网，所有行业都曾面临数据管理当中的难题；随之而来的是越来越多的CIO和IT经理因为企业数据管理不当引发的事故而引咎辞职。

       惠普公司日前对中国166家大型企业的关键业务数据管理进行了一次调查，结果显示，近1/3的企业并不了解业务对数据保护的具体需求；47%的企业数据保护系统滞后于业务目标，同时，有57%的企业业务恢复系统滞后于业务目标。这意味着，中国企业的数据管理存在着不容忽视的问题。如果考虑到数据管理不仅仅是单纯的技术问题，它还与管理流程的制定与优化、人员职责的分工与培训，以及法规遵从等中国企业的传统弱项交织在一起，就不得不承认，目前中国企业的数据管理处在一个相当不健康的状态。很明显，这种状态对于企业的数据管理是一个严重的隐患。
       为此，惠普公司推出了一个叫做“适应性数据高可用管理”的解决方案，该方案建立在惠普IT成熟度模型理论系统上，主动化发现和识别数据管理中存在的潜在风险和隐患，通过分析问题背后的成因，找到对症下药的解决方案。方案的名字虽然有点拗口，但这种“隐患胜于明火，责任重于泰山”的态度和思路是正确的；有助于改变目前企业信息化建设中存在的“头疼医头，脚疼医脚”的思路。不过，对于日益复杂和庞大的中国企业信息系统的安全来说，仅仅这一个方案不啻杯水车薪，还远远不够。

安全问题的紧迫性

       开始于上一世纪中后期的中国信息化进程，在很长一个时期内，并没有进入企业业务和管理的核心，而是一直徘徊在它的边缘。在这种情况下，电脑、服务器或数据出点问题，对企业的业务和经营管理可能会有点影响，但影响程度有限。因为，在IT系统与业务和管理处于两层皮的状态下，业务和管理对于IT系统是免疫的；就算是负责部分流程的电脑彻底坏了，把这一段流程用手工操作顶上，一样可以对付，只不过速度慢点而已，但仍然处于可以忍受的范围。事实上，很长一段时间内，中国企业就是这样运作的。

      但是，从2000年开始的新一轮信息化，使这种情况发生了根本性的改变。随着以ERP为代表的IT系统在中国企业内大规模的推进，中国企业业务和管理迅速实现了基于IT系统的自动化。在这种新的自动化状态下，IT系统不再是边脚料，而成了整个企业运作和管理的基本框架；电脑不再是可有可无的配件，而成了须臾不可或缺的核心设备；数据不再是决策的辅助材料，而成了一切经营和管理战略的基础。一句话，从此以后，IT系统与企业的业务和管理成了你中有我、我中有你的一体，任何一方的变化，都会对另一方产生直接而迅速的影响，业务和管理失去了对IT系统的免疫能力。在今天的中国企业里，对于CIO和IT经理来说，管理IT系统就意味着管理业务，这已经不是一句空话，而是实实在在的现实和日常工作。这也是为什么绝大多数CIO和IT经理都把保证IT系统运行安全，当做自己工作底线的原因。

       随着信息化进程的深入和越来越多的IT系统投入生产，在累积效应下，IT系统变得越来越昂贵。据《亚太地区信息化技术应用展望报告》的数据，从2005年开始，未来3年中国信息化将进入一个高速增长期，年均增速预计达15%，报告预计2007年仅行业信息化部分的IT投入就将达到3817亿元，比2004年的2549亿元增长49.7%。到2008年，中国信息化建设的IT投入累计将超过1万亿元。对于如此庞大的一笔资产，如果不能保证它的正常运行和安全，对于企业来说是不能接受的。

       或许更重要的是，虽然在许多企业，IT系统与后勤、财务和人事等部门一样被划入广义的支持部门，但IT系统毕竟与算盘和办公桌椅不同，相比之下，IT系统不但更昂贵，对它的管理也要复杂得多，也正是如此，如果IT系统出了问题，它导致的后果和损失也就更为严重和广泛。这也是近几年来，越来越多的CIO和IT经理因为担心系统“健康”问题而夜不能寐的原因之一。

       从金融到交通、从电信到制造、从能源到互联网，所有行业都曾面临数据管理当中的难题；随之而来的是越来越多的CIO和IT经理因为企业数据管理不当引发的事故而引咎辞职。

悲剧能避免吗

       那么，这种预警机制，能够应用到中国企业的数据管理建设上来吗？这需要对中国信息系统安全事故发生的时间、事故的性质做定量的统计和分析才能得出结论。但基于以往发生过的信息系统安全事故的经验主义的总结，这种可能性是存在的。

       中国企业的信息系统建设，不是一个个孤立进行的，从总体上看，存在着相当多的共性，比如，在差不多同样的时间内，各个行业的企业都在上ERP；又是在差不多同样的时期内，大家都在推出自己的网站；然后在差不多的时间内，大家又开始上CRM、SCM等。这是由信息系统建设的内在规律决定的，所有的企业一般都是按照这个步骤推进的，在某个时间段内遇到的问题和困难，以及可能面临的风险，自然是相同的。

       一般来说，在信息化建设中，不同行业的企业遇到的主要困难也大同小异。从CEO对信息化建设的重视程度不足到“信息孤岛”难题，从业务部门配合力度不够到CIO从重视技术转向重视业务。更重要的是，从全球来看，不论硬件还是软件，也包括IT系统的实施公司，数量并不多，所以，就整个IT系统的建设而言，确实存在着相当程度的同一性。事实上，知名的IT供应商的产品、服务和实施，都是在某个行业内领先企业的信息化实践中学习、总结和提升后，复制或者推广到整个行业中去的，从本质上讲，不同企业的IT系统具有天然的同一性。

       基于此，我们可以得出大致的结论，当一个企业发生数据管理事故时，这个企业所在行业内的其他企业就面临着发生同样事故的风险。伴随着今年证券公司空前火爆而来的，是整个行业信息系统安全事故的空前活跃，证明这个结论基本上是正确的。因此，和北京市公安局的《每周主要警情提示》一样，信息化领域同样存在着建立数据管理预警机制的可能。

       当然，由于“家丑不可外扬”的心态，获取、收集、统计和发布信息系统安全事故肯定不是一件容易的事情，但也绝对不是一件不可能的事情。事实上，由于互联网的出现，只要某个企业发生了信息系统安全事故，无论保密工作做得多好，或早或晚，总会被外界发觉，而且总会被捅到网上。当然，这中间需要大量的组织和协调工作，不可能一蹴而就。

       对于CIO来说，目前切实可靠的是，先从自己部门入手，建立起企业数据管理的统计、预警机制，提醒本部门的员工注意信息系统的安全。可以设想，随着信息系统在企业业务和管理工作中的重要性日益增强，中国信息系统安全预警机制也会由点到面地逐步建立起来。（CIO  Insight ）