在杂技里，有一种“帽子戏法”经久不衰，3顶帽子被抛来抛去，在平衡能力超强的杂技演员手中总是不会失手。而对于企业中的CIO来说，不仅要知晓最新的信息技术，还要当好管理者的角色，其中的平衡能力一点都不亚于把玩“帽子戏法”的杂技技巧。

　　John D并不是赫赫有名的大人物，但也不是一个平凡的人。他曾经是美标公司的副总裁兼CIO，当时管理着美标公司全球的IT团队，也是该公司战略与规划团队的核心成员。

　　John D毕业于美国西北大学管理学院，拥有MBA学位，之前他还在芝加哥洛约拉大学学习，拥有计算机科学学士学位和综合学科硕士学位。管理和计算机科学可以说是他的专业了。对计算机的兴趣来自于他早年的工作。20世纪70年代末，Jonh D在Timex Sinclair机器上编写汇编程序，之后他开发了各种软件平台。这都为他日后担任CIO这个角色打下了浓厚的技术烙印。1982年，他还创办了一个BBS，在当时引起了不小的轰动。而他对于商业的兴趣来源于他在上世纪80年代中期，创立并运营了一个专注于呼叫中心的软件企业。

　　现在，John D是美国某著名牛仔裤生产公司的副总裁兼CIO。该公司的创始人是来自加州的Jeffery和Kym夫妇，两人酷爱牛仔裤和音乐，他们夫妇誓将牛仔与摇滚乐视为这辈子最忠实的信仰。True Religion的忠实顾客中，Cameron Diaz(卡梅隆?迪亚兹)、George Clooney(乔治?克鲁尼)都是中国观众非常熟悉的明星。

　　不管是在高档洁具生产厂家，还是在光鲜亮丽的服饰制造公司，John D先生都工作得如鱼得水。对于这些不同的公司，他们的人、财、物如何进行流动，身处其中的CIO是如何平衡管理与IT之间的关系，又是如何对于每一个棘手的项目进行化解的？《CIO INSIGHT》中文版杂志借“第二届中美CIO峰会”召开之际，与TrueReligion的副总裁兼CIO—JohnD先生进行了探讨。以下就是我们的对话记录。在你的职业生涯中，曾经担任过总裁、总经理、合伙人、首席信息官CIO等，很多角色。

　　在你的经历里，能详细说说在你担任CIO的时候每天的日常工作是什么，工作的职能是什么？

　　Johm D：我之前为不少的公司服务过，曾经也自己创办过公司。我当CIO的时候，是在美标公司，是来到True Religion之前的工作。美标公司是1861年在美国新泽西州成立的，在我进入到美标公司时，它就已经有上百年的历史了。它有三大支柱产业：洁具、空调及汽车。美标公司对于中国市场的关注从上个世纪80年代就开始了，从1984年到1995年，美标公司在中国先后成立了公司总部和7家独资或合资工厂(注：分别是上海两家，广东3家，天津1家，北京1家，主要是洁具、五金和浴缸的生产厂家)。

　　当时，我是在美标公司全球IT部门，这3条业务线的IT管理都属于我们这个团队负责。我有一部分团队的成员驻在香港，主要支持着中国的工厂，例如上海等分公司等。我的工作主要是确保IT系统支持业务发展和增长。我的主要工作职责一是通过有效地使用IT技术将公司的业务最大化，让IT技术成为公司业务发展的有力支持。二是内部简化流程，使之对于IT的依赖最小化。

　　对于一个公司来说并不是IT系统越多越复杂越好，关键是适用。对于上百年的公司来说，他们会继承很多的系统。有时为了管理众多的系统要花费我们团队很多的精力，必要的简化是非常重要的。而我会把我的注意力集中在流程上以获得成功。现在我在TrueReligion工作，担任CIO这一角色，这是一家新兴公司，业务增长非常迅猛。在亚洲和欧洲的业务增长都很快，不过从信息技术主管这个岗位来看，与前一个工作没有什么太大的差别，我也是这样来定位自己的职责的，即关注流程。

　　是否可以这样说，对于制造企业来说流程是头等大事。而面对其他领域内大家所关注的IT安全与IT系统风险，对于你所处行业的CIO来说，管理大于技术，你们是不是就会把关注等级降低一些？

　　情况并不是这样的，在关注流程的同时，我同样关注IT安全与IT系统的风险。对于制造企业的信息化来说，有时会让人有这样的错觉，流程大于一切，但是实际情况是，在这个行业中的CIO所思考的是让IT技术成为流程背后的那只手，只有在信息系统的支持和帮助下，流程才能得以顺利实施。

　　正如这次在中美CIO峰会上的安全分论坛所谈论到的主题一样，“风险管控与业务连续性”。业务的连续性非常重要，但是如果一旦出现安全事故，信息系统上的一些安全漏洞出现时，就有可能无法保障业务的连续性。

　　另外，在这次大会上，我将会探讨关于使用虚拟化技术作为一种机制来提供业务连续性，并且会探讨我们正在使用的流程模型，以确保我们能够理解所有的角色和正确的访问控制，包括对所有的系统的网络的访问。

　　请问你关注哪些安全方面的技术？为什么？

　　加密和身份认证及授权这些是非常有效的安全解决方案，我们很关注。尤其是对于访问控制，在目前的工作中，我对其关注程度比较高。我更倾向于构建一个分布式的安全架构，它包含有身份认证(用以确认使用者是谁，他怎样来证明自己的身份)、授权(使用者能访问哪些资源)、加密(主要在存储和传输数据时用)，另外还有一些索引(像登录日志等)和管理等。在IT安全体系中，连续性规划和灾难恢复是另外一部分重要的工作，这些主要是解决我如何来确保访问是没有问题的。

　　在面对安全攻击时，主要要防范来自哪些方面的攻击？你认为面对安全攻击时，CIO是不是组织中首先应该承担责任的人？在面对安全攻击的时候，要区分是来自外部还是内部的攻击。更多的时候，很多的安全攻击是来自于公司内部人员所产生的，我更倾向于遇到此类事件时，首先要联络公司的财务主管，CIO不应当是第一个承担责任的人。

　　对于大多数运营受法规限制的组织来说，加强安全监视是一个基本运行要求。随着世界各地很多机构的规范性要求不断增加，迫使组织要加大力度来监视其信息系统，检查资源访问请求以及确认登录和注销网络的用户的身份。出于法规要求方面的考虑，公司可能还需要将监视的安全数据存档特定的时间长度。这些措施都将有效防范安全攻击。

　　你在第二届中美CIO峰会上的议题是什么？是怎样的经历促使你有这样的灵感

　　在这次大会上，我演讲的主题是“利用流程推动安全”。正如我先前所说的，CIO对流程的关注度很高，但是流程不是全部。我们的企业要和各种各样的组织打交道，有内部的，有外部的，各种各样的人。

　　其实信息系统有时更像是管理思想的体现，它会在某种程度上标准和规范人们的行为。CIO要做的就是利用科学的方法收集数据，系统地分析问题产生的原因，把握不同因素之间的联系，并从中找出解决问题最有效的方案。建立学习型的组织也是我想达到的效果，在组织内传递知识，营造开放、自由的组织文化氛围，可以更加有利于团队的合作。

　　曾经听说，美标公司有一些特别的人才培训方法。有没有哪些形式让你觉得印象比较深刻美标确实是一家善于学习的公司，特别是向他人学习。记得曾经有一个叫星期五集会的培训，在每周五早晨上班前20分钟里，美标的办公室内几乎都见不到员工的踪影，因为那是星期五集会的时间。在星期五集会上，人人都有机会当老师，人人都有可以向他人学习。在每期的星期五集会前，召集者会提前设立一个讨论分享的主题，有时是市场部的新市场活动方案，有时是某位销售人员的成功案例，有时是征求广大员工对准备上马的系统的想法与建议，有时甚至是某位同事谈如何提高外语技能等等。这些形式活泼多样的培训方式促进了团队建设。