以下是現(xiàn)場(chǎng)速記。
樂(lè)普生物科技股份有限公司 信息技術(shù)部 高級(jí)總監(jiān) 毛磊
毛磊:非常感謝我們主辦方包括范總的邀請(qǐng),能有這么一個(gè)機(jī)會(huì)來(lái)向大家學(xué)習(xí)以及做一些心得的分享與交流,非常感謝!
時(shí)間已經(jīng)到11點(diǎn)半了,大家已經(jīng)聽(tīng)了一個(gè)上午,也比較累了,但是我發(fā)現(xiàn)在座的還是座位非常的滿。大家都非常的喜歡學(xué)習(xí),這個(gè)我覺(jué)得就非常好,我也很喜歡學(xué)習(xí)。我也想把我這些在工作跟實(shí)踐中學(xué)到的東西跟大家做一些分享。
對(duì)于藥企來(lái)說(shuō)我可能是個(gè)新兵,我最初是在電子設(shè)備制造業(yè)做的時(shí)間比較久,后來(lái)又去了服務(wù)行業(yè),在一個(gè)公關(guān)跟廣告行業(yè)里頭中國(guó)NO.1企業(yè)做IT負(fù)責(zé)人,后來(lái)又回歸到制造業(yè),回到了傳統(tǒng),因?yàn)橹圃鞓I(yè)還是我們強(qiáng)國(guó)的根本。
稍微介紹一下我現(xiàn)在所在的公司,樂(lè)普生物科技股份有限公司是一家制藥企業(yè),是以自己的開(kāi)發(fā)、研發(fā)去針對(duì)腫瘤治療的企業(yè),是挺新的企業(yè),18年才成立。到今天為止我們已經(jīng)實(shí)現(xiàn)了公司的上市以及產(chǎn)品的上市,我們公司的使命始終是以通過(guò)醫(yī)藥的創(chuàng)新,提高患者的生存質(zhì)量,這是我們的使命。
公司因?yàn)槭且粋€(gè)創(chuàng)新型的公司,所以基于三個(gè)大的基礎(chǔ)平臺(tái):包括之前的單抗,現(xiàn)在比較注重的是ADC還有一款是針對(duì)于腫瘤的溶瘤病毒,已經(jīng)上市的產(chǎn)品是單抗部分,去年上市了,有兩種適應(yīng)癥是它針對(duì)的對(duì)象。
因?yàn)槲覀兪亲鯥T的,我們來(lái)交流我們自己的核心內(nèi)容。剛才開(kāi)篇的時(shí)候咱們雷博士提到了未來(lái)的數(shù)據(jù)也會(huì)成為公司的戰(zhàn)略資源,這個(gè)發(fā)展趨勢(shì)已經(jīng)得到了越來(lái)越多的人以及企業(yè)的認(rèn)同。
數(shù)據(jù)是資源,這個(gè)大家毫無(wú)疑問(wèn)的。但是現(xiàn)在它給墜上了戰(zhàn)略?xún)蓚€(gè)字,是它的地位和它對(duì)公司的價(jià)值產(chǎn)生的變化。它在公司里頭有沒(méi)有真正成為戰(zhàn)略級(jí)的資源?這個(gè)可能每個(gè)企業(yè)還在不同的理解跟不同的發(fā)展階段。
對(duì)于一個(gè)藥企尤其是創(chuàng)新型的藥企來(lái)說(shuō),確實(shí)數(shù)據(jù)是蠻致命的。因?yàn)槲覀兛赡茏隽藷o(wú)數(shù)次的實(shí)驗(yàn),花了很多、很多的投入,時(shí)間與金錢(qián),最終得到的可能也就是很核心的一點(diǎn)-數(shù)據(jù)。這些數(shù)據(jù),如果說(shuō)有遺失或者被竊取,對(duì)我們公司是相對(duì)致命的打擊。
保護(hù)好數(shù)據(jù),我們現(xiàn)在面臨的挑戰(zhàn)確實(shí)越來(lái)越嚴(yán)峻了,大家會(huì)列舉的很多了。有的是被動(dòng)型的,別人要來(lái)攻擊,竊取你,甚至我們還發(fā)現(xiàn)一個(gè)公司上市之前跟上市之后,由于你的關(guān)注度不同,你受到了攻擊的程度有可能是十倍級(jí)的,上市之前你可能是個(gè)小公司,大家不太會(huì)關(guān)注到你。一旦你成為公開(kāi)市場(chǎng)的公司,你就會(huì)被關(guān)注,你受到的攻擊會(huì)成倍甚至成十倍的增長(zhǎng)。
最近幾年勒索病毒很厲害,它不僅僅是搞破壞,以前更多的病毒是搞破壞,現(xiàn)在不是了。人家是有非常明確的經(jīng)濟(jì)利益的訴求之下,一批很專(zhuān)業(yè)的人士來(lái)攻擊我們。
相比較而言我們的專(zhuān)業(yè)水平跟他們比還是有弱勢(shì)點(diǎn)的,因?yàn)榇蠹腋乙粯尤粘5墓ぷ饔写罅康氖窃跐M足各個(gè)部門(mén)的訴求,真正能把時(shí)間跟資源投大安全上的其實(shí)蠻少的。人家是專(zhuān)門(mén)做這個(gè)行業(yè),專(zhuān)門(mén)以此為利益訴求的,所以一個(gè)非專(zhuān)業(yè)的跟一個(gè)專(zhuān)業(yè)的在對(duì)抗的過(guò)程當(dāng)中,我們的挑戰(zhàn)是非常大的。
老板也知道,安全重要。但是老板常問(wèn)的是你的投入和你的產(chǎn)出。我們始終是在一個(gè)有限的資源,包括時(shí)間包括人力包括我們自己的關(guān)注度,在一個(gè)非常有限資源的情況下,怎么去應(yīng)對(duì)?并且我們也不敢跟老板夸??谡f(shuō)投了這個(gè)錢(qián)安全就解決了,我相信我們?cè)谧囊埠茈y回答這個(gè)問(wèn)題。
第二個(gè)是這個(gè)行業(yè)的變動(dòng)帶來(lái)的人員頻繁變動(dòng)。
生物制藥這幾年還是蠻火的,所以人員在行業(yè)里頭的流動(dòng)是蠻頻繁的。因?yàn)榛鹇?,不停的有新的公司不停的有不同的行業(yè)的人涌進(jìn)來(lái),所以人員變化的頻繁會(huì)帶來(lái)的是知識(shí)產(chǎn)權(quán)的泄露的風(fēng)險(xiǎn)會(huì)很大。大家也都是看中的是在公司的經(jīng)驗(yàn)。
往前三年疫情,疫情的影響對(duì)大家來(lái)說(shuō),可能是工作的不方便。對(duì)IT來(lái)說(shuō),逼著我們有更多的要把開(kāi)放到互聯(lián)網(wǎng)上,因?yàn)榇蠹乙蛹肄k公,居家辦公的時(shí)候只能是通過(guò)遠(yuǎn)程的方式來(lái)接入,遠(yuǎn)程的方式接入就意味著我們要把更多的開(kāi)放出去。原先的做法是保護(hù)起來(lái),我把我們數(shù)據(jù)鎖起來(lái),這種方式可能會(huì)越來(lái)越困難,因?yàn)楫吘谷思沂窃诰蛹肄k公,你就得給人家提供辦公的條件。
第四塊是法規(guī)的要求。
因?yàn)檎麄€(gè)制藥行業(yè)跟我之前從事過(guò)的幾個(gè)行業(yè)比,相對(duì)來(lái)說(shuō)在法規(guī)的要求上面會(huì)更高一些,是一個(gè)強(qiáng)合規(guī)性要求的行業(yè)。這些年也看到了無(wú)論是國(guó)家還是行業(yè)、監(jiān)管,對(duì)企業(yè)擁有的數(shù)據(jù)來(lái)證明你自己的質(zhì)量也好或者是你的管理也好是要求越來(lái)越高。所以你的數(shù)據(jù)性的要求會(huì)被提得很高。
我想把我這些年在這個(gè)領(lǐng)域的一些實(shí)踐跟心得我們總結(jié)一下。
因?yàn)槊總€(gè)人面臨的環(huán)境跟問(wèn)題可能都不一樣,我更多的分享不是說(shuō)我做了什么,而是說(shuō)我在針對(duì)我們作為這樣的一個(gè)群體,是在企業(yè)里頭去從事IT的工作,我是怎么思考的?我是怎么去解決問(wèn)題的方法,這個(gè)可能有通用性更強(qiáng)一些。因?yàn)榫唧w的內(nèi)容是每個(gè)企業(yè)都有自己的特殊的訴求,所以可能內(nèi)容上面會(huì)有差異。
通過(guò)這些年的實(shí)踐與思考,我覺(jué)得做安全這個(gè)角度上來(lái)說(shuō),可以跟所有人打通的或者跟老板去對(duì)話的,這兩條是比較關(guān)鍵的。一個(gè)是合規(guī),對(duì)于藥企來(lái)說(shuō)合規(guī)是一個(gè)下限不是一個(gè)上限。合規(guī)就意味著有些東西是必須做。第二條利益,老板肯定關(guān)心的是投入產(chǎn)出比,老板經(jīng)常說(shuō)的是不要跟我講那些專(zhuān)業(yè)的術(shù)語(yǔ),確實(shí)專(zhuān)業(yè)術(shù)語(yǔ)是我們要掌握的。核心跟老板對(duì)話的還是利益,我們這么干保護(hù)的是什么?花的代價(jià)是什么?這個(gè)事情發(fā)生的概率是什么?如果說(shuō)我們花了很大的錢(qián),保護(hù)的是一個(gè)很低的概率的事件,可能老板想想這個(gè)事情,要不我們買(mǎi)個(gè)保險(xiǎn)行不行?我們換個(gè)思路去解決問(wèn)題了,哪怕它損失了我買(mǎi)個(gè)保險(xiǎn)可能也就解決這個(gè)問(wèn)題了。所以合規(guī)與保護(hù)公司的利益可能是我們可以跟高層甚至跟所有的人去交流的,我們做安全的一個(gè)很好的目標(biāo)。
怎么做?有了目標(biāo)以后,我們說(shuō)怎么去實(shí)現(xiàn)這個(gè)目標(biāo)?我的理解是要三位一體:管理上面一定要重視,一定要在管理上面去付出努力。因?yàn)槲覀冏约焊慵夹g(shù),容易陷入到技術(shù)的圈圈里頭。今天看了一個(gè)新的防范技術(shù),比如我買(mǎi)了一臺(tái)新的防火墻,這個(gè)技術(shù)很好。但是其實(shí)大家仔細(xì)去看,我們企業(yè)里頭買(mǎi)新設(shè)備的也不少,但是你那些最基礎(chǔ)的管理是不是到位了?防火墻的設(shè)置是不是還是當(dāng)初廠家給你做的設(shè)置?有沒(méi)有根據(jù)公司業(yè)務(wù)的變化做很顆粒度越來(lái)越細(xì)的設(shè)置?有沒(méi)有動(dòng)態(tài)的更新?甚至很低級(jí)的問(wèn)題,就是咱們管理員的密碼有沒(méi)有設(shè)得很復(fù)雜并且能做到定期的更換。
據(jù)我的了解咱們很多數(shù)據(jù)庫(kù)的密碼是不敢換的,為什么?理由當(dāng)然有很多。因?yàn)檫@個(gè)數(shù)據(jù)庫(kù)可能跟外面連接很多,很多都會(huì)跟這個(gè)數(shù)據(jù)庫(kù)連接。如果你換了密碼以后,有可能服務(wù)就會(huì)中斷,但就是因?yàn)檫@個(gè)連接越來(lái)越多,數(shù)據(jù)庫(kù)的密碼不能換,其實(shí)這個(gè)風(fēng)險(xiǎn)比我們說(shuō)你花很多的代價(jià)去買(mǎi)高級(jí)的防護(hù),那這個(gè)風(fēng)險(xiǎn)來(lái)得更大一點(diǎn)。
所以我們說(shuō)三位一體的思想是管理上一定要重視并且要落地的,技術(shù)上面依據(jù)我們的能力,就跟我們家里頭買(mǎi)車(chē),有錢(qián)買(mǎi)奔馳,沒(méi)錢(qián)買(mǎi)普通的車(chē)一樣能過(guò)。技術(shù)上面,就目前而言我們更多的技術(shù)是買(mǎi)來(lái)的,還不是自己的團(tuán)隊(duì)開(kāi)發(fā)出來(lái)的。如果說(shuō)我們手頭有足夠的技術(shù)力量,我說(shuō)我們要開(kāi)發(fā)這個(gè)邏輯上是可以的,但是成本與效率相對(duì)來(lái)說(shuō)會(huì)是低下的。
再其次就是第三塊所有的管理跟技術(shù)都需要人去落地,對(duì)人的這種教育也好、提醒也好,羅嗦、多說(shuō)兩遍總還是需要的。
我們談數(shù)據(jù)的安全管理,首先一條我們要先了解我們自己企業(yè)的數(shù)據(jù)分布在哪,哪些數(shù)據(jù)是我們的很核心的數(shù)據(jù)?這一條很關(guān)鍵。我們上來(lái)說(shuō)所有的數(shù)據(jù)都重要,如果要這么干的話,我們就沒(méi)法開(kāi)展工作了。老板給你的預(yù)算就那么點(diǎn),你說(shuō)你有本事把所有數(shù)據(jù)都保護(hù)好,這個(gè)是大概率做不到的事情。
所以我們肯定講,我們要抓重點(diǎn)。抓重點(diǎn)就會(huì)牽扯到我們要跟數(shù)據(jù)的擁有方和產(chǎn)生方去談你的數(shù)據(jù)的關(guān)鍵在哪?這種關(guān)鍵性可以從兩個(gè)維度上去談:一個(gè)是它的價(jià)值,這個(gè)數(shù)據(jù)帶來(lái)的價(jià)值是正向的并且很大的,那這個(gè)數(shù)據(jù)很關(guān)鍵;還有一個(gè)是從反向去談,如果說(shuō)這個(gè)數(shù)據(jù)丟了會(huì)怎么樣?如果說(shuō)一個(gè)數(shù)據(jù)被你的競(jìng)爭(zhēng)對(duì)手竊取了,你也沒(méi)有什么損失,這個(gè)事情其實(shí)反過(guò)來(lái)說(shuō)你對(duì)社會(huì)做貢獻(xiàn)了。
我們跟這些數(shù)據(jù)的持有方去談數(shù)據(jù)關(guān)鍵性的時(shí)候,大家可能都會(huì)遇到一個(gè)共同的點(diǎn)。就是說(shuō)我們不搞業(yè)務(wù),我們距離人家的業(yè)務(wù)還是有差距,比如說(shuō)我到一個(gè)制藥企業(yè)來(lái),對(duì)于醫(yī)藥的很多知識(shí),我跟那些研發(fā)部門(mén)、臨床部門(mén)談的時(shí)候就很匱乏。在很匱乏的情況下,你去問(wèn)人家你這個(gè)數(shù)據(jù)什么是關(guān)鍵的?人家可能很禮貌性的拒絕了我,可能會(huì)說(shuō)都關(guān)鍵,這個(gè)數(shù)據(jù)都重要。
因?yàn)槟闶莻€(gè)門(mén)外漢,他跟你覺(jué)得談不到一塊去。我有沒(méi)有可能成為門(mén)內(nèi)漢,有沒(méi)有可能成為專(zhuān)業(yè)比他更高的呢?我覺(jué)得成為專(zhuān)業(yè)比他更高的不可能,因?yàn)槊總€(gè)專(zhuān)業(yè)都需要花大量的時(shí)間和精力,我能把我自己的這點(diǎn)工作整明白,我已經(jīng)付出很多的努力了。
我想進(jìn)一步了解它的時(shí)候,作為IT領(lǐng)域或者從事數(shù)字化領(lǐng)域的,我個(gè)人感覺(jué)兩個(gè)工具或者兩個(gè)武器是我們比較擅長(zhǎng)的:第一個(gè)是我們比較喜歡系統(tǒng)性的思考問(wèn)題。這是我們工作以及我們現(xiàn)在無(wú)論是大系統(tǒng)被嚴(yán)格的這么培訓(xùn)、學(xué)習(xí)過(guò)程中養(yǎng)成的,因?yàn)槲覀兛偸且肭宄?,這個(gè)系統(tǒng)跟模塊關(guān)系,模塊跟模塊之間的關(guān)系,這些東西你不捋清楚,我們?cè)诖顚?shí)踐過(guò)程中這個(gè)系統(tǒng)會(huì)出問(wèn)題的。所以把我們養(yǎng)成我們想一個(gè)事情我們就會(huì)從系統(tǒng)性的角度去思考問(wèn)題。
這張圖展現(xiàn)的是我對(duì)這個(gè)企業(yè)的整個(gè)流程的梳理,就是這個(gè)公司的業(yè)務(wù)它是一個(gè)長(zhǎng)流程,它從研發(fā)一直到自己的臨床實(shí)驗(yàn),一直到最后的產(chǎn)品生產(chǎn)以及與銷(xiāo)售。這個(gè)流程很長(zhǎng),每個(gè)流程,每個(gè)環(huán)節(jié)里頭都會(huì)有它的很關(guān)鍵的數(shù)據(jù)。我們拿著這個(gè)圖跟我們?nèi)魏我粋€(gè)部門(mén)談的時(shí)候,別人起碼也獲取到一點(diǎn)點(diǎn)價(jià)值,說(shuō)你看你還懂得這一點(diǎn),能讓我看清楚我在整個(gè)鏈條里的哪個(gè)位置,上下游的關(guān)系,起碼在聊天的時(shí)候我們有一個(gè)比較平等的位置,他講他生物的東西我不懂,但是起碼我能給他看到一個(gè)全貌。
這是一種方式,相互有價(jià)值的對(duì)話是在于我們雙方對(duì)對(duì)方都有價(jià)值的產(chǎn)生。再白一點(diǎn)說(shuō),他跟我談話的時(shí)間不是白花的,我也給他創(chuàng)造了價(jià)值,人家才愿意跟你聊。這是一個(gè)思維的方式。
每個(gè)企業(yè)這個(gè)圖都會(huì)有改變,但是這個(gè)思維方式是通用的,這就是系統(tǒng)的一種思維方式??梢泽w現(xiàn)在流程,也可以體現(xiàn)在價(jià)值鏈的圖。就是工具有很多種,上下游、產(chǎn)業(yè)鏈的劃分,甚至我們可以把視野再打開(kāi)一點(diǎn),因?yàn)槲覀儸F(xiàn)在要做數(shù)字化可能會(huì)牽扯到公司內(nèi)部跟外部,我們?cè)谡麄€(gè)產(chǎn)業(yè)鏈的上面我們?cè)谀膫€(gè)位置。
剛才說(shuō)的是第一個(gè)工具就是系統(tǒng),系統(tǒng)的思考方式。系統(tǒng)的思考方式也不僅僅是我們,其實(shí)在中國(guó)航天事業(yè),咱們的錢(qián)學(xué)森錢(qián)老最初面對(duì)中國(guó)這么薄弱的研發(fā)環(huán)境,材料各方面都搞不上,那怎么辦?就取系統(tǒng)的最優(yōu)。
我們?cè)倭牡诙€(gè)工具-項(xiàng)目。項(xiàng)目管理是我們?cè)谡麄€(gè)我們的職業(yè)生涯過(guò)程中也是會(huì)被無(wú)數(shù)次鍛煉出來(lái)的一種能力。項(xiàng)目做得好,那就意味著咱們?cè)谡麄€(gè)組織資源、協(xié)調(diào)資源的角度上面來(lái)說(shuō)我們具有我們的優(yōu)勢(shì),我們?cè)诟鱾€(gè)部門(mén)協(xié)同的過(guò)程中,我也發(fā)現(xiàn)很多部門(mén)它的專(zhuān)業(yè)性不錯(cuò)的。但是你說(shuō)讓它干一點(diǎn)超越它本部門(mén)的,超越它專(zhuān)業(yè)以外的事情。咱們隨便說(shuō),注冊(cè)部老板給他一個(gè)活,要求什么時(shí)間把注冊(cè)文件交給藥監(jiān)局,這個(gè)事可不是注冊(cè)部自己能干完的,這個(gè)需要協(xié)調(diào)很多個(gè)部門(mén)去為它提供前期的事情才能夠完成的,這個(gè)項(xiàng)目管理在這個(gè)領(lǐng)域里頭具有很大的可以發(fā)揮的作用,IT人員就可以進(jìn)行對(duì)話與溝通。
前面說(shuō)的是我們的兩個(gè)武器。這一張PPT想說(shuō)的是作為IT的人,我們可能要想辦法擠到制定規(guī)則的這一堆人里頭去,我們要參與或者說(shuō)參伙。公司的整個(gè)管理體系有很多的IT可能覺(jué)得那個(gè)管理體系是其他部門(mén)的事情,跟我們IT關(guān)系不大,我們搞技術(shù)的干嘛要攙和到人家的管理體系里去?其實(shí)我們所有的事情都被人家管理體系所管著呢。
如果我們有機(jī)會(huì)甚至我們沒(méi)有機(jī)會(huì)我們要想辦法創(chuàng)造機(jī)會(huì)參與到制定規(guī)則里頭去,這樣定出來(lái)的規(guī)則才是能夠?qū)崿F(xiàn)我們管理意圖的這樣的一個(gè)規(guī)則。對(duì)于一個(gè)藥企來(lái)說(shuō),有GMP,這是民間的劃分方法,這個(gè)不是很科學(xué)的,但是現(xiàn)實(shí)中是這么運(yùn)行的。
我們就積極的參與進(jìn)去,一開(kāi)始我對(duì)GMP體系了解很少,因?yàn)楫吘共皇且粋€(gè)行業(yè)的。從進(jìn)入到工廠慢慢的理解它的GMP管理的核心跟它的制度的具體內(nèi)容。我在去年的時(shí)候我就做了一件事情,把我們北京工廠的GMP涉及到自動(dòng)化系統(tǒng)的整個(gè)體系搭建了,之前它的管理體系文件是借鑒了,借鑒別人的體系文件有一個(gè)好處就是看起來(lái)很高大上,但是明顯的弱點(diǎn)是它不落地,它跟我們具體操作實(shí)踐的落地性方面欠一些,我們就得反過(guò)來(lái)是以下往上看,我們既要滿足合規(guī)的訴求也要去實(shí)現(xiàn)我們自己在具體管理、具體操作層面上的便利性,同時(shí)也要通過(guò)這種管理制度去約束我們的這些客戶,我們這些用戶的使用的規(guī)范性。
舉個(gè)很小的例子,大家如果在藥廠里頭負(fù)責(zé)到藥基部分,無(wú)論是生產(chǎn)的還是實(shí)驗(yàn)室的這些設(shè)備。用戶忘記密碼,是一個(gè)很常發(fā)生的一件事情。如果說(shuō)在一個(gè)潔凈車(chē)間里用戶說(shuō)忘記密碼要求重置,人家生產(chǎn)在那等著你去也得去不去也得去,但是你要金屬一個(gè)潔凈車(chē)間,光換衣服來(lái)回幾次消毒半小時(shí)花去了,你進(jìn)去拿管理員密碼重置密碼,它還嫌你姍姍來(lái)遲,這就是我們的處境。
怎么辦?我們說(shuō)用戶不應(yīng)該忘記密碼,這個(gè)事情好像有點(diǎn)違反人性。因?yàn)槲覀円环矫嬉笏拿艽a要三個(gè)月更換一次,復(fù)雜度要很高。那怎么辦呢?我們?cè)诠芾碇贫壬系孟氤鲛k法來(lái)。
一方面是以前對(duì)于這種忘記密碼的事情,默默的都呈現(xiàn)在IT人員日常工作里面了,我們把它凸顯出來(lái),我們讓忘記密碼去提申請(qǐng),讓他的領(lǐng)導(dǎo)知道。他自己也不好意思啊,比如一個(gè)月要提三次忘記密碼,他的領(lǐng)導(dǎo)估計(jì)也該說(shuō)他了,你不能老忘記密碼。讓這個(gè)問(wèn)題浮出來(lái)。
第二個(gè)是我們要正向的引導(dǎo)用戶,說(shuō)咱們?cè)O(shè)密碼怎么設(shè),密碼放在哪比較合適,又安全又方便記憶,這些小技巧得傳遞給人家。要不然的話,你光把問(wèn)題暴露又沒(méi)有給他很合適的解決方式,這樣就會(huì)造成矛盾的激化。矛盾激化對(duì)于IT部門(mén)來(lái)說(shuō)也不是什么好事,因?yàn)镮T部門(mén)在藥企里面相對(duì)來(lái)說(shuō)屬于支撐地位,雖然我們自己想成為一定的跟別人成為合作伙伴,人家未必看得上我們。所以我們用管理制度,用我們的服務(wù)的改變?nèi)ビ绊懙轿覀兊挠脩簦@就是我們要提的參與到整個(gè)管理體系的搭建。
管理體系的搭建,不僅僅是說(shuō)面上的參與,可能還需要付出很大的代價(jià),要把我們的管理思想與措施落實(shí)到一個(gè)一個(gè)的管理體系文件里頭。因?yàn)楣芾眢w系不是一個(gè)文件構(gòu)成的,剛才上面的結(jié)構(gòu)顯示了前面有最高級(jí)的也要SMP還有SOP還有操作記錄,起碼是四個(gè)等級(jí)的構(gòu)成。這張圖怎么來(lái)的?這張圖是我去年想動(dòng)我們廠的GMP體系,我在動(dòng)之前總是要花點(diǎn)功夫把人家的體系先完全的融會(huì)貫通,這就是把它融會(huì)貫通的基礎(chǔ)上面重新再造。這張圖是這么來(lái)的。
講完了前面的管理這一部分,我們?cè)僬f(shuō)中間的人員培訓(xùn)。
人員培訓(xùn),老生常談了,做信息安全都在講員工的安全意識(shí)很重要。我們談怎么樣能夠把這個(gè)安全意識(shí)真正的給員工樹(shù)立起來(lái)?除了家長(zhǎng)式的嘮叨以外,因?yàn)閲Z叨多了人家可能也不見(jiàn)得聽(tīng),我們還是要想盡一些辦法。這就是我們想的辦法,把它放到法律層面,讓HR跟我們一起合作,跟員工去進(jìn)行簽保密協(xié)議也好或者說(shuō)把它落到更細(xì)節(jié)的地方,然后再進(jìn)行宣慣、培訓(xùn),可能還要再加上一些技術(shù)手段。
這是年前的時(shí)候,趁著春節(jié)之前,大家要返回回家。趁著春節(jié)之前,我就組織了一次全員的信息安全的培訓(xùn)。因?yàn)榇蠹乙x開(kāi)熟悉的無(wú)論是工廠還是辦公環(huán)境,大家的電腦要帶走,電腦帶走以后你所處的環(huán)境就會(huì)比在工廠里面的會(huì)更復(fù)雜一些,這個(gè)我們就跟大家要提勒索病毒帶來(lái)的危害。
最起碼大家年前的時(shí)候有一點(diǎn)點(diǎn)意識(shí),年后我也收到反饋,用戶意識(shí)到了,比如他收到一些來(lái)歷不明的郵件他會(huì)及時(shí)的跟我們分享,說(shuō)這個(gè)郵件幫我們看看是不是垃圾郵件或者是不是一種偽造的騙取信息的文件?起碼我們感覺(jué)到用戶的意識(shí)在增長(zhǎng)。
技術(shù)體系的防護(hù),其實(shí)我不想成為這方面的重點(diǎn),因?yàn)檫@方面每個(gè)公司的技術(shù)架構(gòu)、邏輯都有差異,沒(méi)有完全可參考性,這是一方面。第二方面在專(zhuān)業(yè)的安全公司可能會(huì)給大家出更多的安全的建議,這里面只是想提一條我們始終是在有限資源的條件下做事情。有的時(shí)候我們會(huì)覺(jué)得人家的建議很好、方案也很好,我們?cè)趺崔k?如果我有錢(qián)不在乎錢(qián)當(dāng)然沒(méi)問(wèn)題,但是我沒(méi)有遇到到。
在緊張資源情況下,怎么去開(kāi)展工作?一定是要找到切入點(diǎn),找切入點(diǎn)是每個(gè)IT從業(yè)者要自己去想辦法的。從整個(gè)規(guī)劃藍(lán)圖到每個(gè)層面,每個(gè)層面基礎(chǔ)性的工作要做到扎實(shí),甚至提到管理員密碼的更換,關(guān)于管理員密碼的更換,相信在大家的職責(zé)范圍跟權(quán)限范圍內(nèi)是能做到的,有的時(shí)候多一事不如少一事,你換了數(shù)據(jù)庫(kù)密碼說(shuō)不定哪個(gè)系統(tǒng)會(huì)跑出來(lái)用不了了。
所以這些事都是可以去做,把它做到一個(gè)扎實(shí)的角度就能夠讓大家的安全有一個(gè)基礎(chǔ)保障。其實(shí)就是我們盡可能的花少成本的基礎(chǔ)上獲得更大的收益。是不是能夠足夠安全?這件事情還要重新評(píng)估,這些是屬于基礎(chǔ)性的工作。但是我們看到的很多時(shí)候是說(shuō)我們的基礎(chǔ)性的工作并沒(méi)有做到位,帶來(lái)的一些事故。
對(duì)我剛才的分享進(jìn)行小結(jié):
我們整個(gè)的安全建設(shè)的目標(biāo)可以跟老板談的無(wú)外乎合規(guī)和利益,兩大條。從它的解決的方法跟思路的角度上來(lái)說(shuō),我總結(jié)下來(lái)我倡導(dǎo)的是管理、技術(shù)、人員三位一體的立體的推進(jìn),在實(shí)踐過(guò)程中我發(fā)現(xiàn)這三者的關(guān)系不是加法而是乘法,這三者任何一個(gè)環(huán)節(jié)有出現(xiàn)大的漏洞都會(huì)拉低你整體的安全,它是個(gè)乘數(shù)關(guān)系。任何一個(gè)環(huán)節(jié)做得好一樣會(huì)被放大,所以我的觀點(diǎn)就是把這三者平衡的去發(fā)展好,尤其是在我們現(xiàn)有的約束性條件下。
我的分享就到這,也感謝大家!
京公網(wǎng)安備 11010502049343號(hào)