网络信息安全度量和考核指标体系(7)-终结篇之扁鹊再世
今年桌子上用的是安言咨询Robin送的小台历,每个月都有一个小故事,通过这个小故事引申出某个方面对安全管理的启发。都很有启发,先谢过Robin。
六月份的故事是关于扁鹊的,“名医起死回生,神医防微杜渐”。 我把这个故事引申了一下,把扁鹊兄弟和安全运维以及安全度量给搞了次“联想”。故事的原文是这样的:
扁鹊是公认的名医,其实他还有两个哥哥,医术比扁鹊还好。一次,魏文帝问起此事,扁鹊解释说:我的两位兄长才是真正的神医。我大哥治病,是在病情发作之前。他所在的地方人们身体健康,根本不生病,所以他的名气无法传出去,只有我们家的人才知道。我二哥治病,是在病情初起之时。他所在的地方人们患上轻微的小病很快就痊愈,所以他的名气只有在本乡传播。我扁鹊治病,是在病情严重的时候。一般人都见我经脉穿针放血、皮肤上敷药等大手术,以为我医术高明,名气因此响遍全国。
直接从这个故事我们可以发现,从层次和境界上,显然扁鹊先生的大哥最高明,通过“善谋”和布局,达到不战而屈人之兵,上之上者也。二哥其次,发现事故苗头,就立即采取行动。而扁鹊则需要兴师动众,通过中盘苦战才能取得胜利。但是,在不同的企业环境下、不同的信息网络安全环境下、不同的安全度量考核指标下,他们兄弟三人就可能得到截然不同的成绩。
这也为我们的IT安全经理们提供了一下参考思路。
在大多数国内企业和组织里,信息安全意识相对于西方发达国家和跨国公司来说尚有较大差距,不管是从高层管理者,中层经理,还是普通员工,对于信息安全团队的举措不是很理解,为什么除了反病毒之外还要搞那么多信息安全的东西,有了防火墙,还要每个月打补丁,都是自己人,还要花银子搞ID等等。
在这种情况下,如果考核指标中,包含诸如:每年发生安全事故不超过n次,更细致一点,还定义上事故等级,例如不发生P1(最高级事故)2次。这种情况下,安全经理是很容易“挂”了的。因为扁大哥之所以能够实现“根本不生病”,那是因为在家乡做了多年的努力,各种制度、体系、意识、工具手段(药方、食疗、锻炼等)。这种情况下,指标最好修订为“重大安全事故解决及时率,及时响应率什么的”,或者根本就不提“事故”,而把考核指标建立在“流程”上,例如补丁及时率、漏洞修复率、ID符合率等。
因为基础不牢,事故早晚会发生。安全经理暗暗修炼扁鹊的“大手术”和“中盘战法”,等待“病情”的发展直到发作。某一天,安全事故发生了。手术成功后,一定要给领导和群众认认真真搞个总结,再开出一个二个“补强”药方。这样,慢慢修炼成了“扁鹊”的名声,P1事故也就慢慢少了,才有可能有机会,熬成“大哥”的境界。“大哥”的境界需要企业领导的支持。
注意不同发展阶段和成熟水平的安全目标,设置适当的考核指标,逐步建立安全团队的Credit。注意,扁鹊是安全经理,大哥是CISO。
下面转帖一篇同样由扁鹊故事而来的安全帖子,“雨中飞翔”写的很棒!
由扁鹊三兄弟故事引发关于安全管理的三点感触
http://qzone.qq.com/blog/38756914-1241017952
近期看到于丹《庄子心得》中引自《史记》的一篇小故事,感触颇深,写出来与大家共勉。 有一次魏文王问名医扁鹊说:“你们家三兄弟都精于医术,到底哪一位最好呢?”扁鹊回答说:“长兄最好,中兄次之,我最差。”文王再问:“那么为什么你最出名呢?扁鹊回答说:“我长兄治病,是治病于病情发作之前。由于一般人不知道他事先能铲除病因,所以他的名气无法传出去,只有我们家的人才知道。我中兄治病,是治病于病情初起之时。一般人以为他只能治轻微的小病,所以他的名气只及于本乡里。而我扁鹊治病,是治病于病情严重之时。一般人都看到我在经脉上穿针管来放血、在皮肤上敷药等大手术,所以就以为我的医术高明,名气因此响遍全国。”
联系到企业的安全管理,有以下三点感触:
感触之一:安全对企业就如同健康对人一样,是天大的事。
可能大家都听说过一个比喻,即对一个人来说,财富、名誉、地位等一切看似美好的东西其实都是O而已,没有了健康这个1,即使有再多个O也没有什么意义,只有拥有了健康的身体,一切追求和努力才会有实际价值。安全在企业中的地位也是如此,没有安全,企业追求的经济效益、工作业绩乃至长远发展都是空谈。安全工作做不好,生产不能正常进行,员工不能安心工作,效益也会因此降低,甚至企业还要为此承担巨大的损失。所以说,企业安全也和健康一样,需要我们在日常工作中细心地呵护、精心地管理,防患于未然;在出现“小症状”时,需要我们及时地治疗和处理,以避免“病情”加重;在出现“大病”时,需要有“精湛的医术”和有效的措施去治疗,以免危及企业自身。安全对企业而言,就是天大的事!
感触之二:要向名医学习,大力提高安全管理人员素质。
治病要靠好大夫,扁鹊大哥在病情未发作之前即能铲除病因,二哥能在病情发作之初即手到病除,扁鹊能治病于严重之时,可见他们三兄弟医术之高明。同样,安全管理人员的工作能力对搞好企业安全工作也是非常重要的。
要提高安全管理人员的素质,应从以下几个方面抓起:
一要提高安全管理人员的查病能力,即发现问题的能力;
在事前能够发现可能存在的风险,在事中能够发现已有的隐患,在事后能够发现真正的“病因”,以便对症下药。要具备这种能力,首先要熟悉企业状况和生产特点,其次要熟悉各生产环节的操作规程和标准,再就是要掌握职工队伍的具体情况,只有这样才能去发现问题进而去解决问题,否则就会造成安全风险识别不清楚、不准确,控制措施不得当、不科学,安全问题不能解决的现象。这是治病的基础,也是做好安全工作的前提。
二要提高安全管理人员的治病水平,即解决问题的能力;
对事前发现的问题要积极预防,对事中发现的隐患能够及时排除,对事后发生的事故能够有效处理,以使企业的损失减至最少。要具备这种能力,不仅要熟知企业情况,还需要有过硬的安全管理知识、丰富的现场生产经验和事故处理技巧,这是治病的关键,也是做好安全工作的重点。
三要提高安全管理人员的保健能力,即日常管理的能力;
安全管理人员要知晓企业什么时候需要补充什么营养,了解企业需要加强什么部位的锻炼,清楚企业什么时候需要进行身体检查,要及时提醒企业什么行为是有害健康的,如通过安全教育、培训、宣传使所有企业职工懂安全、会安全、管安全,形成良好的安全意识和操作习惯,使企业运行始终处于一种安全状态。这就要求我们的安全管理人员工作要具备积极的工作态度和扎实的工作作风以及对企业高度负责的精神,这虽然不一定会为人所知,但确是比生病后再治病还要高明的能力。
感触之三:三兄弟缺一不可,安全管理需要引入风险防控机制。
目前在生产企业中,安全不可谓不重视,管理不是没有强化,但为什么安全事故还是时有发生呢?为什么还总是在吸取教训可教训总是不断呢?其实大家都很清楚,安全事故的发生不外乎违章操作,如果大家都能严格遵守操作规程按标准办事,安全事故一定会被有效控制的。可如何有效控制?靠我们管理人员整日的安全宣传、安全检查能够做到有效控制吗?我觉得肯定能起到一定作用,但还远远不够。安全管理是一个系统工程,不是靠几个人几个部门就可以管理好的,只有建立起一套完善的系统并使之有效运行,我们的安全工作才会有明显的改观。
扁鹊三兄弟的故事告诉我们一个道理:事后控制不如事中控制,事中控制不如事前控制,即预防比整治重要,整治比处理重要。这是针对事前、事中和事后控制的重要性而言,在一个系统中,三者缺一不可,都需要我们认真学习并运用到实际工作中去。
一要学扁鹊大哥,治病于未发之时,强化安全防范工作。
加强安全防范,就是要重视加强形势任务教育,通过大力宣传安全规章制度、安全法律法规、安全典型人物和事迹、安全事故案例等,提高干部职工对安全工作重要性的认识,筑牢思想防线;就是要重视加强安全技能建设,通过理论培训、技能训练、竞赛演习等,提高干部职工的安全管理和操作技能,筑牢能力防线;就是要重视加强安全基础设施建设,加大对安全工作的经费投入,深入开展安全科技研究,筑牢本质安全防线。
在安全管理体系中,这属于事前控制,要求我们对生产各个环节的安全风险进行识别提示、风险评估并采取安全教育、培训、资金投入等有效措施予以防范,这是安全事故最有效的方式,这也是扁鹊之所以说“长兄最好”的原因,虽然这项工作不会如扁鹊那样出大名,但确是应该引起企业领导的高度重视。
二要学扁鹊二哥,治病于初起之时,强化隐患整治工作。
古人云“祸患常积于忽微”,“千里之堤溃于蚁穴”,小节不拘,蚁穴不堵,往往是酿成大祸的前兆。强化隐患整治,就是要加大事故隐患的查找力度,采取定期检查与突击检查相结合,专业检查与综合检查相结合,重点抽查与普遍检查相结合等方式,使安全隐患没有藏身之处。通过建立和执行安全隐患整改通知单制度、整改情况反馈制度、整改情况回访和销项制度等,确保安全隐患得到及时彻底整改。
这就是安全管理体系中的事中控制,虽然不及扁鹊长兄“治病于未发之时”高明,但确是其有效补充。这同样要求我们对各生产环节可能出现的安全隐患进行识别提示、风险评估,并对出现的安全隐患采取安全检查、整改销项和严格考核等有效措施予以控制,使小患不至于进一步发展乃至酿成大祸。
三要学扁鹊本人,治病于严重之时,强化问题处理工作。
重视问题处理,就是要重视强化安全规章制度的执行,不断提高制度的执行力,以制度的强制力杜绝违章指挥、违章操作和违反劳动纪律现象的发生;就是要重视强化管理机制的执行,把安全工作与评先评优、单位的经济利益、领导干部的政绩挂钩,坚持有成绩、有贡献必奖,有问题、有失误必罚,做到不迁就,不照顾,严考核,硬兑现;就是要重视强化安全责任事故的查处,严格执行安全生产责任追究制,坚决按照“四不放过”的原则处理事故,对事故责任人要像扁鹊治病那样,敢于动刀子,下猛药,进行严肃处理,以事故的处理警醒和教育干部职工,在安全生产工作中切实担当起应有的责任。
这是安全管理中的事后控制,即事故发生后的处理环节,是对事前、事中控制的补救,亡羊补牢,为时未晚。只要我们在该环节建立有效的处理措施,严格执行“四不放过”原则,企业的损失就有可能被降低到最小程度,事故的教训就有可能被真正吸取,类似的事故才有可能不再发生。
事前、事中、事后控制是安全管理体系中的三个环节,三者中以事前控制为主,事中控制为补充,事后控制为补救,缺一不可,互为补充,都需要以相应的制度予以保证,需要严格的执行予以落实。只有如此,安全事故才能得到有效地控制,企业的安全工作水平才能得到大大地提升。
安全管理是我们工作的重中之重,关系到企业的方方面面和每一位员工,在此希望相关人员能从扁鹊三兄弟的故事中得到一些启发,以期对企业安全管理工作有所裨益。
jack的评论很有趣。
“大哥”的年代需要领导的理解和配合,信息安全工作地标杆体现到了另外的维度,例如企业的核心竞争力、保险费用的降低、特殊领域的进入、公众形象的提升等。
9年前,我从数据局离职时和领导谈话,还提到了安全作为营收和竞争力的问题,从扁鹊的故事看,就早了。因为还处于先扁鹊时代。
成为大哥要领导的安全意识以及大力支持,否则N年都没有得病,领导会认为是否有必要设这么一个大哥,最后会也会挂,毕竟在领导眼中安全是没有利润的。关键时刻出现,平淡时主动退出也许这就是大哥。山西的安全很重视,恐怕这就是国家安监局局长去做省长的原因了。
关于二哥最好,出点事情,马上迅速解决。领导会happy,但又不能不重视。偶尔出点事情,然后马上解决,不断用安全刺激下领导。
扁鹊是个技术牛人,仅适合当个救火队队长。老出问题肯定不适合当安全的负责人了。当个小头头不错。