尽快建立起以处理预案为核心的信息系统风险管理体系,使未来自己面临各种情况都有章可依,而不用自身总是按照特例违规处理一些特别情况。
对于信息主管来说,飓风集团运营维护中心主任唐军所遇到的运维管理与行政管理流程之间冲突问题是常见的。一方面,按照一般的行政管理流程,重大决定应由上级领导来决策;而另一方面,有时有些情况由于比较紧急,所以来不及采取逐级上报的方式。这就必然给信息主管带来了麻烦。不汇报工作而自行决策,一旦出现了问题,信息主管将面临承担全部责任的严重后果;而采取传统的逐级上报的方式则可能耽误时机,给企业的信息系统造成更大损失。这就成为信息主管两难的选择了。
问题存在于行政流程的缺失
其实,本案例中问题的核心并不是运维管理与行政流程之间的矛盾问题,而是因没有运维管理预案而造成的紧急情况下的行政流程缺失。
对于一个数据大集中、系统大集中的企业来说,信息系统的稳定运行,对于整体企业的业务正常运营都起着十分关键的作用,因此必须保障信息系统的安全。
在具体工作过程中,由于信息系统本身的技术复杂性,还受到各种外部条件的影响,会出现各种非正常的现象(例如,病毒感染、黑客入侵、过热宕机、磁带存储出错、系统文件崩溃等)。
各种情况给信息系统带来的影响有所不同,因而对应的处理方式也就会有差异。一般来说,需要对各种可能出现的非正常情况进行分级管理,形成不同的处理预案。
建立不同的处理预案
有些特别紧急的情况(如系统文件崩溃、黑客入侵等),信息主管需立即采取措施以防出现严重的后果。这时,处理预案中就应规定信息主管就有权直接决策。
而有时,虽然信息系统出现了异样的问题(如某台交换机过热),但在短时间内(如10分钟内)还不致引发严重后果,这时处理预案中就应规定信息主管不必延用常规的逐级审批的上报方式,而直接向企业核心领导(如CEO或CIO)电话汇报,并提出解决方案建议。
在企业核心领导决策后,由信息主管组织技术人员对问题进行处理。而非紧急情况出现时(如因磁带本身原因造成的存储失败),就可以采取常规的、逐级上报的方式来获取上级领导的决策意见。
显然,本案中唐军面对的问题属于第二类情况,如果有规范的处理预案,而且时间上应该足够其向企业核心领导汇报后,得到领导的支持下,再进行处理工作。但往往是很多企业的信息管理制度不完善,以前很多情况没有出现过,也没有设立各种紧急情况的处理预案。
一旦特别情况出现,信息技术人员和信息主管就不知该如何处理,通常会根据自身的判断来直接决策。而这种决策会使信息主管或信息技术人员自身承担很大的风险(自作主张的风险)。这一切如果有企业领导已批准的处理预案就不存在这种风险了,而这种处理预案本身就规定着各类情况下的行政流程。因此,在有比较完善的处理预案的情况下,运维管理与行政流程之间是没有矛盾的。
形成系统风险管理体系
因此,对于唐军来说,近期就要做的一件事就是尽快建立起以处理预案为核心的信息系统风险管理体系,使未来自己面临各种情况都有章可依,而不用自身总是按照特例违规处理一些特别情况。这样就可以使企业的信息管理更加有序,同时也有效地保护了自己。
不过,对于大多数企业的信息主管来说,建立一套十分完善的信息系统预案库也不是很容易的事,毕竟每个人的经历有限,不可能把所有情况都充分地考虑到。
这时,信息主管就可以通过两种渠道来解决这一问题。其一,是通过广泛地参观和学习其他信息化建设比较完善的企业的作法来充实本企业的预案库;其二,是在日常工作中逐步完善和充实预案库。
也就是说,一旦信息系统出现了前所没有的新情况,信息主管在解决问题后,就把这一特例作为以后的惯例(形成一类新的预案)来处理。这样,企业的信息系统的风险管理体系就会逐步完善起来。