【IT168 信息化】

　　十一届全国人大常委会对保守国家秘密法修订草案进行二审。全国人大代表冉崇伟认为，“传统的保密工作主要是通过管理手段实现的。而信息化时代的保密工作，应该是管理手段和技术手段的有机融合，缺一不可。”

　　从事信息安全工作的冉崇伟代表从技术角度提三点建议。第一，关于涉密信息系统管理的技术问题。从技术上讲，要确保涉密信息系统安全的基本原则是，严格做到涉密计算机系统、涉密存储设备与非涉密的计算机系统及其网络和存储设备的物理隔离，俗称内网和外网要完全物理隔离。内网的设备不能连接外网，同等重要的是外网设备也不能连到内网。建议增加一条，“不得将非涉密计算机、非涉密存储设备接入涉密信息系统”，或者把第24条第3款的内容再充实一下，修改为“不得将非涉密计算机，非涉密存贮设备接入涉密信息系统或者存储、处理国家秘密信息”。

　　“在未采取防护措施的情况下，在涉密信息系统与互联网和其他公共信息网络之间进行信息交换”，实际上，涉密信息系统与互联网进行信息交换对信息保密是十分有害的，采取一般的防护措施，比如通常的防火墙、杀毒软件、查杀木马软件是很难做到内网信息保密的。因此，这一条容易引起误导，建议取消这一款。或改为“在未得到保密管理部门和技术安全部门许可的情况下，不得在涉密信息系统与互联网及其他公共信息网络之间进行信息交换”。

　　“擅自卸载、修改涉密信息系统的安全技术程序、管理程序”，这一条本身没有错，但是只讲安全技术程序和管理程序是不完整的，其实信息系统的安全，除了程序以外，系统参数也非常重要。建议把一款改为“不得擅自卸载、修改涉密信息系统中的管理程序、安全技术程序和有关参数”。

　　第二，关于手机与保密的关系问题。保密法修订草案中没有明确指出这一点。实际上，在举办重要会议的时候，手机很容易造成泄密。市场的主流手机特别是3G手机的功能非常强大，其中就具备窃听的功能。因此，建议在保密法修订草案中明确增加一条有关手机保密的条款，“重要涉密会议与会者应当关闭手机，主办单位应当开启手机信号干扰装置”。

　　第三，因为大型企业的商业秘密也是国家秘密的组成部分，英国的保密部门就曾经对英国的300强企业在保密方面进行指导，我们是否可以借鉴。建议“对机关、单位的保密工作进行指导和监督”改为“对机关、单位和大型企业的保密工作进行指导和监督”。
 

　制定IT治理框架

　　优化后的应用程序和项目组合将保证IT与业务的统一，但是，这种统一并非永远都是自动实现的。为了避免刚刚获得的收益赴之东流，企业必须不断追求IT与业务的统一。

　　保持IT与业务的统一不是件容易的事，需要有流程上的保证，以便持续监测应用程序并且衡量 KPI （关键绩效指标），进而保证收益的可持续性。ITG框架便是保证收益可持续性的灵丹妙药。有效的IT治理是一个持续不断的过程，它可以:

　　·保持应用程序和项目组合的战略统一

　　·监测应用程序和项目

　　·明确决策权威部门并敦促其履行职责

　　这个框架包括政策、组织结构、角色和责任，以及清晰界定并获得一致认同的业务度量方法。该框架需要获得有效的ITG工具的支持。ITG框架将有助于应用程序组合和项目组合的治理和管理。可以在项目立项时提供决策支持。

　　监测组合的必要性不言而喻。问题是：怎样监测？监测什么？需要什么样的仪表盘才能使所有的决策都建立在充分的信息分析之上？

　　IT组合中的每项资产和每个项目都应该进行检查，看看是否有利于持续产生业务价值，这一点是很必要的。同时需要制定一个流程来持续寻找进行优化的适当机会。

　　很多因素，尤其是业务流程的变化、市场变化或新的技术趋势，都会影响组合中的各个元素。新的变革（例如新技术的引进）也会影响组合。治理流程应该能够判断这些因素的影响程度。业务流程的变更不容忽视，因为这些变更可能影响组合中的某些元素。有效的ITG框架应该能够迅速发出警告并追踪这些可能受到影响的部门。

　　评估框架的有效性

　　ITG框架应当提供对组合进行诊断的评估方法，并在它与业务目标不一致的时候发出警报。应当将评估方法植入数据储存库，以便提供正确的信息。ITG框架应当能够收集数据，并且生成有关资源使用、变量、应用程序支出和项目支出的评估方法。这些信息可以显示在应用程序以及项目健康度仪表盘上。

　　企业需要确保获取到每个项目的真实数据。项目监测的数据点应该是变量（进度表、工作成果、预算等等）、问题和范围变化、获得的价值、资源分配、ROI等。

　　监测每个项目的风险也同样重要。ITG框架必须提供有效的风险管理规划。每个项目都应当提供风险概况中预测到的每个风险的缓解计划、紧急情况应对预案。每个项目都应该进行同类风险评估，例如安全、规则遵从度、资源、供应商可靠性、秘密信息等风险。仪表盘中必须包括风险监测这一项。

　　通常，决策的优劣取决于决策者是否能够全面掌握应用程序组合中的所有要素。如果无法清楚地了解组合的构成，组合变更的成本就会很高，效率也会降低，企业在以下方面就无法做出明智决策:制定应用程序变更优先级；对应用程序进行更新换代；应用程序维护外包。

　　应用程序维护和支持是一项非常艰难的工作，因为应用程序间彼此依存，交叉引用，即使应用程序的所有者也无法找到维护和支持的非常好的方法。

　　解决方法就是设计一个应用程序组合仪表盘，以便持续不断地监测应用程序组合的绩效和适合程度。应用程序组合仪表板是建立在应用程序库基础—也就是中央存储库—之上的，其中包括了不同来源信息汇聚而成的重要数据，并且这些数据持续获得更新。

　　评估方法可以保证评估的安全性，包括应用程序内包含的或访问的数据的敏感性、访问类型和威胁类型。评估方法也有助于建立风险概况。

　　使用正确的框架

　　应用程序库为企业提供快速参考，帮助企业深入了解可用的产品和系统，发现现有技术的补充方案。应用程序库也可以作为系统参考，避免应用程序的重复开发或者部署。在授权进行新的应用程序开发之前，应用程序所有者可以对现有库存进行快速的检查，确认没有可以实现类似需求的其他应用程序实例。

　　IT经理也可对企业现有的应用程序组合有更好的了解，从而更有效地控制升级、维护和获得许可的成本。

　　在对组合进行合理化、优化调整后，企业可以寻求更多的优化资产的机会。为了实现资产和项目组合的平衡，必须上马应用程序和项目组合框架，还要结合ITG框架的实施。平衡资源和资产需求将为企业提供一个有关IT投资和资产的全面、准确的视角。如果没有有效的框架，企业只能做无用功，随着业务环境的变化而不断调整软硬件。这将耗费大量资金，并消耗员工的生产力。面对如今全球商业环境与生俱来的复杂性，企业有必要运用通用框架对系统进行控制，同时获得在不可预测市场取得成功所需的灵活性。

　　应用程序组合管理、项目组合管理和ITG框架的组合将确保绩效的持续改进，并保证应用程序组合始终处于非常好的水平。这将直接影响企业快速适应业务变革，实施革新、新技术应用、变革和资源有效管理的能力。