項目綜合管理：缺陷、安全管理二位一體

申請免費試用、咨詢電話：400-8352-114

馬克斯·韋伯（1864-1920）和他的組織理論　  

　　 西方古典管理理論有三位先驅(qū)，除了我們已經(jīng)介紹過的泰勒和法約爾之外，第三位就是被稱為“組織理論之父”的馬克斯·韋伯。  

　　 韋伯的主要著作有《新教倫理與資本主義精神》、《社會和經(jīng)濟(jì)組織的理論》等。韋伯的官僚組織模式的理論，即行政組織理論，對后世產(chǎn)生了最為深遠(yuǎn)的影響。  

　　 韋伯認(rèn)為，任何組織都必須以某種形式的權(quán)力作為基礎(chǔ)，沒有某種形式的權(quán)力，任何組織都不能達(dá)到自己的目標(biāo)。人類社會存在三種為社會所接受的權(quán)力：  

　　 傳統(tǒng)權(quán)力（Traditional Authority）：傳統(tǒng)慣例或世襲得來；超凡權(quán)力（Charisma Authority）：來源于別人的崇拜與追隨；法定權(quán)力（Legal Authority）：理性--法律規(guī)定的權(quán)力。  

　　 韋伯認(rèn)為，只有法定權(quán)力才能作為行政組織體系的基礎(chǔ)，其最根本的特征在于它提供了慎重的公正。原因在于：⑴管理的連續(xù)性使管理活動必須有秩序的進(jìn)行；⑵以“能”為本的擇人方式提供了理性基礎(chǔ)；⑶領(lǐng)導(dǎo)者的權(quán)力并非無限，應(yīng)受到約束。  

　　 有了適合于行政組織體系的權(quán)力基礎(chǔ)，韋伯勾畫出理想的官僚組織模式，具有下列特征：  

　　 1、 組織中的人員應(yīng)有固定和正式的職責(zé)并依法行使職權(quán)。組織是根據(jù)合法程序制定的，應(yīng)有其明確目標(biāo)，并靠著這一套完整的法規(guī)制度，組織與規(guī)范成員的行為，以期有效地追求與達(dá)到組織的目標(biāo)。  

　　 2、 組織的結(jié)構(gòu)是一層層控制的體系。在組織里，按照地位的高低規(guī)定成員間命令與服從的關(guān)系。  

　　 3、 人與工作的關(guān)系。成員間的關(guān)系只有對事的關(guān)系而無對人的關(guān)系。  

　　 4、 成員的選用與保障。每一職位根據(jù)其資格限制（資歷或?qū)W歷），按自由契約原則，經(jīng)公開考試合格予以使用，務(wù)求人盡其才。  

　　 5、 專業(yè)分工與技術(shù)訓(xùn)練。對成員進(jìn)行合理分工并明確每人的工作范圍及權(quán)責(zé)，然后通過技術(shù)培訓(xùn)來提高工作效率。  

　　 6、 成員的工資及升遷。按職位支付薪金，并建立獎勵與升遷制度，使成員安心工作，培養(yǎng)事業(yè)心。  

　　 韋伯認(rèn)為，凡具有上述6項特征的組織，可使組織表現(xiàn)出高度的理性化，其成員的工作行為也能達(dá)到預(yù)期的效果，組織目標(biāo)也能順利達(dá)成。  

　　 韋伯對理想的官僚組織模式的描繪，為行政組織指明了一條制度化的組織準(zhǔn)則，這是他在管理思想上的最大貢獻(xiàn)。  

　　 Gartner認(rèn)為，在評估IT安全管理和缺陷管理技術(shù)時，安全經(jīng)理應(yīng)當(dāng)就如何集中資產(chǎn)分類數(shù)據(jù)，并部署所需的減災(zāi)工作流系統(tǒng)，給予慎重思考。  

　　 在提高減災(zāi)效率并滿足新制度要求的雙重壓力驅(qū)動下，集缺陷管理和IT安全管理于一體已迫在眉睫。  

　　 在評估IT安全管理和缺陷管理技術(shù)時，有關(guān)人員要考慮到如何集中資產(chǎn)分類數(shù)據(jù)及提供所需要的減災(zāi)工作流管理系統(tǒng)。那些希望利用缺陷評估技術(shù)來提高IT系統(tǒng)安全性的部門，應(yīng)當(dāng)在計劃要求下，把缺陷評估技術(shù)和安全配置策略相結(jié)合。  

　　 分析  

　　 缺陷管理流程和技術(shù)的目標(biāo)就在于，發(fā)現(xiàn)、評估缺陷，并執(zhí)行及維護(hù)系統(tǒng)配置，以創(chuàng)造一個更為安全的環(huán)境。而安全管理技術(shù)的總目標(biāo)在于，把安全數(shù)據(jù)轉(zhuǎn)換成可以依此執(zhí)行的安全信息。因此，缺陷管理和IT安全管理的安全效果就取決于它們改變環(huán)境的能力。除此以外，這兩個技術(shù)領(lǐng)域的職能要求，也是依“部門制度符合性”而定。  

　　 工作流管理系統(tǒng)  

　　 由于缺陷評估工具、安全配置策略符合性工具及IT安全管理技術(shù)的價值都跟它們引起變化的能力大小密切相關(guān)，因此，在工作流支持領(lǐng)域，技術(shù)提供者們需要遵循一系列的規(guī)則要求。在此，兩種工作流需要支持：  

　　 1. 長久的“宏觀”工作流，包括人為干預(yù)及決策；  

　　 2. 短期的“微觀”工作流，能對事件作出自動回應(yīng)。  

　　 專業(yè)化的工作流支持系統(tǒng)應(yīng)囊括于各自的產(chǎn)品中—主要是為安全部門的事故支持，以及企業(yè)工作流系統(tǒng)的集中化—以支持減災(zāi)及事故反應(yīng)工作。這涉及到一系列的IT行政、業(yè)務(wù)及支持領(lǐng)域。  

　　 此外，顧客需求的顯現(xiàn)屬于自動回應(yīng)工作流系統(tǒng)，尤其是在IT安全管理和缺陷評估技術(shù)領(lǐng)域，這是由于病毒泛濫且迅速蔓延所引起的混亂所引起的。  

　　 資產(chǎn)類別  

　　 在缺陷評估、安全策略符合性及IT安全管理工具中，需要運用到IT資源類別，以支持“業(yè)務(wù)導(dǎo)向”的分析工作及缺陷的緩解工作的進(jìn)行。缺陷評估工具、安全審計和策略符合性工具都需要運用到資產(chǎn)分類數(shù)據(jù)，以進(jìn)行業(yè)務(wù)導(dǎo)向風(fēng)險的報告及缺陷分析工作，并驅(qū)動減災(zāi)工作流系統(tǒng)的運行。  

　　 此外，IT安全管理職能也需要運用資產(chǎn)分類，來評估某些特定的IT資源自身所攜帶的“威脅”的優(yōu)先級，制定業(yè)務(wù)導(dǎo)向的安全度量，并驅(qū)動減災(zāi)工作流系統(tǒng)。  

　　 安全產(chǎn)品應(yīng)能滿足特定用戶所需要的IT資源的類別，如，業(yè)務(wù)單元，業(yè)務(wù)功能、應(yīng)用實施、地理學(xué)以及支持責(zé)任和義務(wù)等。安全軟件商所提供的產(chǎn)品應(yīng)當(dāng)具有這種本質(zhì)屬性，就是不但能發(fā)現(xiàn)資產(chǎn)，還能對其進(jìn)行分類。  

　　 但是，資產(chǎn)分類存在于一系列眾多不同的網(wǎng)絡(luò)、系統(tǒng)及安全管理產(chǎn)品中。從某種意義上來說，資產(chǎn)分類數(shù)據(jù)的規(guī)范化及維護(hù)，也代表著IT業(yè)務(wù)的勞動投資，因此，安全管理技術(shù)應(yīng)當(dāng)具備能從企業(yè)“儲藏室”中“進(jìn)口”資產(chǎn)分類數(shù)據(jù)這種能力。