漫谈信息安全设计与治理之企业合并的IT整合-时间:2017-09-04
闲谈信息安全规划与办理之企业兼并的IT整合
年关将至,廉哥所供职的公司传出了将要与同范畴别的一家公司并购的音讯。我身边的小伙伴对此的榜首反应是:“这是好音讯吗?”我心中暗自好笑:It depends on…为啥?因为哥在这儿现现已历过两次企业并购了,一次是我们是被并购方,一次是收买方。
作者:陈|2017-09-04 10:06
调研:你是个心口如一的人吗?
年关将至,廉哥所供职的公司传出了将要与同范畴别的一家公司并购的音讯。我身边的小伙伴对此的榜首反应是:“这是好音讯吗?”我心中暗自好笑:It depends on…为啥?因为哥在这儿现现已历过两次企业并购了,一次是我们是被并购方,一次是收买方。众所周知,近年来,各个企业把信息视为其中心竞争力的组成部分,事务运用因而而激增,其关于IT体系的效劳与支撑力度天然也是“高标准、严要求”。而企业兼并,貌似一蹴即至的作业,但实际上其胜败与不然高度依靠乃至取决于IT体系的整合--这个“萧何”。
【廉环话】闲谈信息安全规划与办理之企业兼并的IT整合
一般状况下,在IT办理层获悉并购的音讯时,其仍处于保密的状况。因而IT部分应该迅速行动起来组成一个专门的项目组,运用这有限的时刻,战胜两边IT相关信息不对称亦或不全面的困难,充沛起到相似“我们长”的效果,层层把关、有条有理的,在兼并前后发挥活跃的效果,也表现我们ITer的水平与价值。
兼并前
一句话归纳就是:做好IT尽职查询(Due Diligence )。详细来说,要借用业界常说的“十倍预备”做到如下的几个方面:
首要,最根本的就是两边各自清点,罗列出相似于下图的IT效劳与运用体系的清单。其规模大体包含:网络效劳、主营事务、作业邮件、电话移动、效劳台、用户桌面、文档库管、协作通讯、视频会议、商场开发、财政人事、IT东西和安全审计、以及虚拟化与云效劳等范畴。应当留意的是无论要兼并的两家企业其事务是同范畴仍是不同职业,在填写清单里的详细内容之前,需求IT办理层对清单条目的分类做好区分,这样在项目组成员填写的时分才干有的放矢,生成的清单才具有可参照性和比照性。别的,因为每个人的视点和见地不同,因而在填写的过程中关于“注释和状况”的描绘信息是十分必要的。
【廉环话】闲谈信息安全规划与办理之企业兼并的IT整合
有了上述的清单,下一步就能够进行软件、硬件和人员的核算和分类了。能够参照我们在前期闲谈的资源办理章节中所聊到的财物与配置办理的办法进行展开。不过值得留意的是:
· 硬件设备体系的清单要留意阐述体系异构性和本身存在的兼容性以及备件等问题。
· 软件效劳体系的清单则要留意厘清同质性、辨认当时所运用到的功能模块和软件技能支撑程度的问题。
· 而考虑到人员的活动性,关于从业人员的清单内容,不需求向那次闲谈中说的那样对应到详细的人,而是应该落实到人物,拜访权限以及其所对应担任的软硬件模块等。
· 与财政/行政部分协作,列出如上期核算与预算闲谈里说提及的IT部分的本钱与核算,包含费用资金开销的清查,软/硬件财物以及效劳的价值清单等。
接下来,两边企业就应该根据上述所搜集和自查到的材料,进行进一步的“文档收拾”和总结归纳了。详细包含:
· IT体系框架图和网络架构图。能够参照那些我们在警匪大片里常常看到的办案人员画的那种思想导图,并可进行分层、分级的部分细化展现。
· IT相关的规章制度。比如说企业关于交际和即时通讯软件的情绪、运用以及发布/转载/披露等方面是否有显着的约束战略。
· IT开展战略,如近期需求更新的技能和采纳的安全措施等。
· 现在在开发的技能、效劳或许是ongoing的一些IT项目。
· 与第三方协作参与的合同、托付第三方的SLA和MA等。关于IT外包比较多或已有运用到了云效劳供给商的状况,要生成效劳与合同对应的列表。
· 重审BCP和DRP。即,对网络、效劳及数据的灾备计划和发作问题时的康复流程与应急预案进行稽核,标示出MTD、RTO和RPO、以及review和演练时刻等重要信息。
· 对体系与效劳的当时性能瓶颈、留传问题以及投诉痛点等进行照实的记录与翔实的描绘。当然也能够表现一些要害事务部和IT办理层的片面顾忌。
· IT合规和安全实务,承认本身体系的基线,罗列出近一、两年发作过的网络和安全的事情和问题。
· 与IT相关的知识产权状况。比如说:那些并非直接运用了第三方的成品软件,而是要求其按照企业需求所定制开发的软件体系,其托付定制部分的知识产权就应当归于甲方企业而非第三方一切。
· 对IT部分岗位进行如:职权规模、薪酬水平、培训开展等属性的符号。
· 罗列企业日常运营以及从事项目活动中的IT相关资质认证的持有状况。特别要标明安全方面资质的规模与年限。
一切这些IT相关的清单和文档总结预备就绪之后,下面就是“互动”环节了。
· 两边的项目组成员进行实地互访。互访的内容包含:对IT部分和部分事务办理人士进行询问与座谈、对数据中心或呼叫中心的实地观赏、以及运营与事务流程的模仿展现等。
· 相互交换所收拾的清单和各种文档,由收买方牵头草拟出点对点的两边状况对照表(如上述表格的绿色与粉色所示)。
· 收买方要特别留意被并购方的SLA、MA和NDA等合同里的条款,协同法务部分对在并购后的可能呈现的合规以及法律危险进行考量。
那么,通过上述各种客观与片面相结合的查询办法,两边项目组成员坐到一同,合谋符号或直接对要害的体系、网络以及效劳进行重要程度进行定级,并有用的辨认出和预见到并购后企业可能呈现的各种危险或碰到的兼容性问题。本阶段的“干货”就是要共同拟定出施行IT体系整合的途径图和详细的施行步骤,一起勾勒出并购之后IT体系的全体办理和出资方向。当然,最终要构成的可行性陈述要提交董事会报批。
兼并后
一般在合同阶段的IT体系整合的实际操作过程中,每个项目组成员都会感觉到“时刻紧,使命急”的真理。因而,这儿我给小伙伴们也罗列出自己的一些“前车之鉴”。
· 任何要素的不到位都会成为“那颗击倒巨人的石子”。比如说数据库对接或迁移时呈现的不兼容等。因而项目组要提早拟定好兼并首日(Day One)的行动计划和计划,我们在这一点上能够参考哥前期闲谈的“发布办理”章节,当然应该更为缜密和翔实。
· 如果确真实并购过程中碰到了问题,其实办法也有许多。比如说传统的形式是:为了保险起见,能够两边选用“双活”战略,即签署诸如过渡效劳协议(Transition Services Agreements)的来进行缓冲,以规定在并购后的一段时刻内能连续借用本来各方的一些旧的IT效劳与体系。
· 别的,现在云核算与效劳得到了广泛运用,不少企业也能够暂时租借云空间来供给兼并期的不间断过渡效劳,直至新的企业拿出更好的解决计划,再渐渐的bring down它们。
· 一起,前面闲谈的项目办理环节也和我们聊过,一旦兼并开端或许完结,用户乃至客户的问题会雪崩式的添加。相应的新企业的呼叫中心和其协助体系的作业量也会急速添加。因而,提早拟定好预案、分配好资源、以及做好helpdesk与floor supporting的预备作业能有用的防止投诉或灾祸的发作。
· 此外,在事务安全的视点上说,IT体系整合之后,效劳的一切者和运用者可能会相应的发作变化,进而发生相应的安全隐患和漏洞。因而要做到会集的乃至是细粒度的操控。我们仍是应该依托体系赋权根本原则,给予人物相对应的权限分配,以下降人员活动所带来的权限积累或留传所带来的危险。
· 最终是IT团队问题,如前期和我们聊过。兼并之后,作为IT办理层要在确保团队成员的根本利益的前提下,从头界说他们的作业scope。而在下降人员的活动比率的一起,应适当的采纳“末位淘汰制”,并提高全体的战斗力来面临兼并后新的应战。
由此可见,关于企业的并购的IT整合其实就是哥前面和我们聊过的各个章节的一个“小归纳”。你说兼并是好音讯吗?要成为成绩传扬的一段美谈,仍是弄得最终一地鸡毛?It depends on you and your team.
好了,谈着、谈着就聊到年末了,感谢各位小伙伴以“一向阅读潜水,偶然点赞冒泡”的办法在精力上支撑廉哥挥毫了半年。记住微信上各种鸡汤都曾提到过扎克伯格每年都定下一个小方针来应战自己,不让自己的脑子进入“舒适区”。其实哥也是这么自勉的。关于本年保持的每周一次更新的纪录,哥是不会自豪的。我们就let bygones be bygones吧。记住电影《东邪西毒》里有句经典台词是:“每个人都会通过这个阶段,见到一座山,就想知道山后边是什么。”那么下一年廉哥是否还会以“传教士的精力”用幽默的语言和我们持续谈技能、谈办理、谈安全呢?你猜!