华为轮值董事长徐直军:我们到底是流程的奴隶还是主人?(5)
2023-04-26 来源:飞速影视
质量分过程质量和结果质量,过程质量如果不构筑在流程中,把业务都跑完了,质量单独在外面存在是不可能的。质量要求也好,质量标准也好,我们要构筑在流程里面,过程质量也有要求有标准,能够得到保证。过程质量有保证才能确保结果质量。基于过程质量的管理能带来结果质量,由于追求结果质量迫使我们到源头来管控过程质量。
内控是内部要求,目的是防止腐败,控制风险。我们最早搞内控的时候,把内控和流程分离。内控在这边搞得热火朝天,流程在那边搞得热火朝天,后来发现存在问题,就把两者合并了。内控就是我们公司内部要求的风险管理和防腐败。本质就两个点:一个叫职责分离,目的是防腐败和财务风险;另一个是关键控制点,在关键控制点要有控制要素和控制程序。内控也必须构筑在流程中。内控若在流程外,不在流程里,是不可行的。我们原来支撑流程建设的是流程部,支撑内控建设的是内控部,两个部门各行其是。后来发现问题后,我们把流程建设和内控建设部合并。至于SACA、CT干啥?就是跟质量管理一样,看流程执行到关键控制点和需SOD的时候是否按流程内控要求遵从了。
信息安全是内部管理要求,是围绕核心资产进行管理和保护。核心信息资产产生于哪里?是产生于业务流程中的。所以信息安全也要构筑在流程中。以前信息安全管理是修万里长城,修了好多年,防不胜防,发了100多个文件。后来发布了EMT决议,把信息安全的管理思路调了180度,要求不要到处防,不要去修万里长城,首先只防核心资产。要防核心资产,首先要把核心资产识别出来,只有识别出来了才好进行保护,要识别出来及很好地保护还是得基于流程。
信息安全部转变观念,不修万里长城了,把100多个信息安全的文件清得快没了,这也是为什么大家感觉好点了。
同时把信息安全和共享两个职责都放到信息安全部,要求既要抓信息安全,也要抓信息共享,信息安全部的考核指标是既有信息安全,又有共享,这样就好多了。现在到各个部门去看,很少有人反馈说搞信息安全搞得啥都看不到。既然不是核心资产就通通共享,是核心资产就在核心资产保护的环境下也共享起来。通过考核共享率,这样就没有特别极端了,合理多了。要把信息安全构筑在流程中,流程走到哪里,核心信息资产就定义到哪里,保护到那里。核心资产怎么定义?由业务部门来定义,基于流程来定义。
网络安全也是一样的。网络安全我们强调的是产品在各个流程中要具备网络安全的能力、要有防御能力。
本站仅为学习交流之用,所有视频和图片均来自互联网收集而来,版权归原创者所有,本网站只提供web页面服务,并不提供资源存储,也不参与录制、上传
若本站收录的节目无意侵犯了贵司版权,请发邮件(我们会在3个工作日内删除侵权内容,谢谢。)
www.fs94.org-飞速影视 粤ICP备74369512号