关于管理体系的想法

在最近十年的变化中，企业内部的IT产生了很大变化。IT直接和业务产生作用。过去是经常要把业务映射到IT支撑上，显得有点虚。互联网化的企业，带来的变化就是IT直接就是业务。IT技术不再是支撑，是企业直接的生产力。

随着互联网企业对安全要求的提高，感觉对体系的要求也开始增加。特别是在安全技术上东一榔头西一帮，在各个点投入之后，又要考虑如何把安全纳入管理范围。安全要求体系，这个体系又不是独立，需要归拢于整个信息管理体系中。很难想象企业信息管理没有体系，却能让信息安全管理体系落地。往前推又有企业管理体系，没有企业管理的体系，信息管理体系也只是空架。

管理的作用就是有效的组织资源。小手工作坊其实是不需要太强的管理，因为组织资源不是一个太困难的事，老板吆喝一声就行。只有当资源使用开始变多变复杂，产生阻力时，就需要强化管理。管理或大或小，始终是需要的。

很多人单独的看信息安全管理体系。但ISO27000/20000信息安全管理体系，恰好是和ISO 9000质量管理体系一脉相乘的。质量管理体系又和企业管理缝合。许多技术人员抱怨领导什么都不懂，却看不到管理也是知识和经验的积累。而且是从另一角度建立起来的。

现在的挑战是如何建立适合新环境的管理。比如互联网公司。不希望管理成为瓶颈。尽量沟通直接，而不是形成妨碍交流的屏障。打破部门各司其职的壁垒。比如用项目管理横跨各个部门。各部门原来各司其职的静态方式会发生变化。体系只是框架，需要人用大脑去活用，填充，充实。

用通俗的话去描绘，就是为了应付，比如别再被***了。比如系统瘫痪了想办法尽快恢复，怎么优化nginx。临时解决了问题，下次再重复发生呢？写文档写步骤。日常要监控起来。要重点监控几个服务器。每天要更新补丁。写个周期性的文档。服务器检查checklist。写个机房服务器访问制度。好了一堆东西。够用了。

这无头无脑的事很多，部门人也没共识。也不知道是不是还有遗漏，听说机房断电，导致服务器宕机。这没底了，要考虑多少事。这时需要一个指南，有个最佳实践，到底要大的方面考虑多少事。根据指南实践好好想想。尽量能周全点。领导要求看报告做了哪些事，要做哪些？领导更关注宏观上面呢，怎么汇报。这些组织活动就需要通过管理来完成了。