笔者这标题颇有看热闹不嫌事大的风格。但这就是当下的新闻所引出的关键问题:
究竟供应链安全这件大事,在企业组织内部归谁管?
| 笔者: | 国际认证信息系统审计师(CISA) 软考系统分析师 软件工程硕士 |
| 一、相关新闻及笔者观点 |
展开话题之前,先插入相关新闻链接。话说,这事已经几乎是无人不知:
笔者在之前关于供应链安全的文章,比如:
已经清晰地表达了这样一个观点:
企业组织的供应链安全,远远超出了信息化建设及网络安全责任部门(以下统称信息化部门)的职权范围,涉及到业务上的供应链管理、供应商管理等领域,即使是扩大到企业组织整体信息化治理的范畴,也无法将其完全收入。
可能是论题太大,文章太长,上面笔者那文章读者寥寥。
所以今天就以实例讨论供应链安全管理,本文也就1500字不到。
| 二、争议的源头:什么是信息化设备? |
泛化的供应链安全,是企业组织维持正常运作所需要的一切输入,既包括比特,也包括原子。
不用说,传呼机和对讲机当然属于原子。
但传呼机和对讲机,属于信息化设备吗?
比如传呼机,从功能上看,是信息的单向接收设备,从作用上看,是个人通信设备,它有个关键特点:
不连接到计算机网络,无论局域网或者互联网。
这也据说是黎巴嫩真主党选择使用传呼机而不是手机的原因,要避免手机被入侵。
至于对讲机,它可以双向通信,但它和通常理解上的,基于数字化的信息设备相距更远,因为其工作机制是:
模拟通信。
于是乎,这类设备,一直都是企业组织内部资产管理上的争议点。
而资产管理,是供应链安全管理绕不过去的关键点。
| 三、供应链安全管理责任归谁? |
在大量的企业组织中,把基于“计算机”概念的设备归入信息化设备,这基本没有争议。
进一步地,把能连接到网络的设备,包括连接到移动通信网络的设备归入信息化设备,因为这类设备必然会产生网络安全风险。
时至今日,信息化建设和网络安全的共生关系,“一轮双翼”,已经是定论。
但对于有通信性质但不接入任何网络的设备,界定其管理类责任的争议就从来不断:
谁都不想管。
其实也并不是管理部门都已经知道供应链安全不好管,只是单纯地认为少个香炉少个鬼,管少一点自己的责任就自然少一点。
在著名的太阳风软件供应链安全事件发生后,任何企业组织的信息化部门基本都会对软件供应链安全有了比较明确的认识,知道责任所在。但对于泛化的供应链安全,也就是笔者在上面指出的观点,会自然而然地认为:
这不是自己的职权范围和责任。
而其他管理部门,会得出类似的结论:
这不是我有能力管的。
关键是,大家都会发现,泛化的供应链安全,实质就是:
无限责任。
| 四、问题的出路只能且必须是协同共治 |
时至今日,尤其是最近这几天的事件发生后,泛化的供应链安全问题已经到了必须引起重视的时刻了。
正如信息化在企业内部从单纯的技术概念逐步演变为战略性治理要求一样,泛化的供应链安全问题同样需要从分散在企业组织内各个管理部门的内部事务,提升演变为会影响到企业生死存亡的战略性协同治理要求。
具体地,企业组织可通过供应链要素多元化、强化内部协同、提升风控技术运用能力、加强员工培训及制定应急计划等手段,全面评估并管理供应链风险,确保供应链的安全与稳定。
无限责任并不可怕,只要有科学的风险评估结论为依据,加上采取恰当和有效的风险控制措施,管好供应链安全并不是不可能。
注:题头图由豆包生成。
点赞和转发都是免费的↓
还可以看看这些内容:
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...