第2章 网络安全视角下的企业管理

企业的管理涵盖企业运作的方方面面，必然涉及企业的网络安全相关范畴。

从渊源上来说，企业中的网络安全话题相比于企业管理来说，只是个相对年轻的、次要的话题，而且也只是因为在近30年来，随着信息技术的快速发展对企业有了比较大的影响力之后，才开始走入大部分企业最高管理者的视线。

现代意义上的管理学的发展历程，可以追溯到20世纪40～60年代，是以彼得·德鲁克（Peter Ferdinand Drucker）博士的卓越工作所奠定的基础开始的。而网络安全工作，乃至其中的网络安全管理（以下简称为“安全管理”），则是在20世纪70～90年代才得以出现并开始发展的。

这为我们提供了一个绝佳的机会——可以从网络安全的视角来审视企业管理。我们正需要在新时代和新环境中反思企业的运作方式，以谋求能够有更加有效的战略或过程使企业实现自身的目的。可能正是因为网络安全管理的发展恰好是现代企业管理理论形成的时代，很多网络安全管理的要素和方法，与企业管理有着很直观的相关性，这恰好启发我们，如果可以从新时代网络安全专业的视角来审视进而借鉴一些已经经过实践检验且切实可行的企业管理方法，对于我们做好网络安全工作，是否会有积极意义？

1.管理（或企业管理）是什么？

企业管理无论表现为何种方式，最终都指向由人对人进行管理。管理的目的是使企业内部的人际之间的关联能够彼此和谐，人与人之间能够处在一种相互协作、互相配合的状态，以便最大化集体利益或企业的利益。企业的利益就是指实现企业之所以存在的任务和目的（或使命）所涉及的相关当事人的利益。相关当事人包括三类：企业内部的利益相关方（如企业的所有者、雇员等）、外部的利益相关方（如业务相关的上下游企业、消费者或服务对象）以及与企业有间接关系的利益相关方（如政府监管机构、网络空间、自然环境等）。

进一步来说，企业管理涉及人们共同在某项事业中进行的合作问题以及作为整体进行协作的问题，所以，企业管理绝对不是通过某种单一的方式或方法就可以达到预期目的的工作，也不是一件一劳永逸的工作。企业管理是企业当中一项“永恒”的事业：只有开始，没有终点。人们长期从事一项事业的动力来源，从根本上说是其自身的内因。即人们只有认可所从事的事业的价值或目的，乐于并对此满怀希望时，才会坚持下去，才会去克服一个个障碍，战胜一个个挑战，坚定地前进。文化是促成人的这种内因的形成，使人保持信念的重要原因和载体，是人的精神追求和心理寄托所构成的环境。

具体到对企业的管理而言，就需要从企业文化或企业所处的文化环境中寻求力量和灵感。所以，构建适合的企业文化，或者，如果能着意去发现并努力顺应文化发展的趋势，那么，企业的管理就会处在良性的循环之中，企业就会越来越兴旺。每一个企业都需要明确认识到自身的价值，为实现自身价值树立共同的目标并形成统一的价值观，还需要将这种价值观凝练成简明扼要、独一无二的表述，通过时常的、公开的强调来促进达成一种共同的愿景（即对完成使命的憧憬，给予希望）。使命感、价值观和愿景，构成了一种精神追求的氛围，这就是企业管理所需仰赖的企业文化，是“管理”所必须深深根植其中的土壤。

管理从来不是一个静止的状态或者某种预设的一成不变的规范。企业面临的环境在变，人是对环境最为敏感的环节，所以，管理就是要以最快速度适应人的变化，需要把握机会并根据需要而变。唯一不变的就是变化本身。企业管理的变化是为了促使企业及其成员能够得到更好的发展，是有目的地去变，这是对管理本身的管理。管理求变不是为了变而变，更不是随便去变。而且，管理的变化需要根据情况果断地变，大多数时候，变化所能带来的积极效果和变化所需的时间长短成反比关系，当然，这不是说要“瞬变”，而是要“慎变”，是“谋定而后动”地主动去变。管理的这种与环境的顺应之变不是出于追求效果而进行的权宜之变。德鲁克博士曾说：管理是一种实践，其本质不在于“知”而在于“行”；其验证不在于逻辑，而在于成果；其唯一权威就是成就。

管理的目的不是去约束人，而是去领导人，是使平凡的人在一起做出不平凡的事情。管理的过程是尊重人并激发人去发挥才能，将人的“学习能力”转化为企业的“核心竞争力”。当然，这里所说的“尊重”并不单单是一种礼貌的要求，更重要的是基于这样一个理念：以人为本。

2.更多事实以及本书的观点

现代管理学大致是因为人的认识的局限性而自然形成了很多学派，不同学派的研究所关注的角度大不相同，形成了很多理论，出现了“派系林立”的局面。这种现象被哈罗德·孔茨（Harold Koontz）博士形象地称为“管理理论丛林”（The Management Theory Jungle）。

孔茨博士于1961年12月在《管理学会杂志》（The Journal of the Academy of Management）发表了名为“管理理论丛林”（The Management Theory Jungle）的论文，将当时的管理学理论分为6个主要学派：管理过程学派、经验或案例方法学派、人类行为学派、社会系统学派、决策理论学派和数学学派。1980年4月，孔茨博士在《管理学会评论》（The Academy of Management Review）发表名为“重温丛林管理”（The Management Theory Jungle Revisited）的论文，提到“管理理论和科学还远未成熟，这在管理理论丛林的延续中显而易见”，并且一共总结出11种管理科学和理论的研究方法：经验或案例方法、人际行为方法、团体行为方法、合作社会系统方法、社会技术系统方法、决策理论方法、系统方法、数学或“管理科学”方法、权变方法、管理角色方法以及操作理论方法。

这是一种经典的分类方法。此后的40多年来，现代管理学大体上都围绕以上的学派（方法）进行发展，在数量上有些起伏和增减，但是门类上基本没有太多变化。在本书看来，“理论丛林”的存在，恰恰可以用一个中国传统哲学的观点——关于“（器）、技、艺、术、法、道”的观点来理解。本书无意评价这些经典学派中到底哪个是“法”，哪个是“术”，而是认为：这些学派所解决的问题和面临的对象各不相同，只要做到以人为本，明确目的，坚守初心，履行使命，就实现了管理。由此而得到启发，网络安全和企业管理有很多相通之处，当可借鉴一二。