相对于治理体系比较完善的跨国公司，多数国内公司在安全治理和管理方面比较混沌和混乱。俗话说：治乱世用重典。

负责公司信息安全的高管要想有所作为，必须严肃安全纪律，但是员工们又不是机器，管制太严可能引发消极对抗，管制太松又改变不了安全问题严重的现状。

说到底，多数信息安全问题不是技术控管措施所能有效解决的，要保障公司的信息安全最重要的是解决和人员相关的问题。

如同完善的公司治理一样，信息安全治理也需要“有法可依”，大的社会环境正从“人治”不断转向“法治”，公司要长治久安，保持业务持续性，也需从信息安全制度体系建设上入手。

而要依赖制度体系进行有效的信息安全运作，则需开发各级安全文档，高手高层的安全方针政策、相关的安全标准要求和以及最终用户可以参照的安全流程和操作指南。

为了让信息安全规章制度能够真正落实，防止“有法不依”的现象，需要在制定安全规章制度时认真考虑“人员”的因素，毕竟，实施或应用安全流程的是“人员”，安全流程也只有经过“人员”的参与操作之后才能达到其特定的安全控管目标。

不要让信息安全相关规章流程成为审计检查之后的一纸废纸，则需要强化流程与人员之间的互动，为安全策略和流程找一个负责人，或称所有者，通常是部门的主管或经理，负责维护流程的更新。而部门成员则可能是该安全策略或安全流程的遵循者，只需照章办事。信息安全管理部门可能也需要创建和维护整个公司范围内通用的，以及部门内部所有的信息安全相关策略和流程，并且需要协调监管其它各业务单元和部门的安全作业流程和安全操作指南。

理顺了信息安全部门人员及各部门安全工作流程负责人之间的关系之后，则需强化人员之间的沟通协调，这其中重要的是安全观念的推广。安全管理负责人要制定详细的安全意识沟通计划，包括对全体员工定期提供通用的信息安全意识培训，以及协助重点部门和人员进行的基于角色类的安全培训，比如对于管理层，可能需要了解更多信息安全相关的职责，就需要特别的管理层安全意识培训，毕竟各部门的经理主管们除了保障自身的信息安全之外，还要担当整个所辖部门的安全管理责任。而特别的部门，如保安部和IT部等等，则会根据工作实际需要，获得与职位和工作相关的必须安全培训。

可以通过必要的安全考试来测量员工们对信息安全基础知识和相关作业流程的掌握情况，昆明亭长朗然科技有限公司的信息安全顾问Bob Xue称：唯有员工们掌握了必要的安全知识和技能之后，安全策略和流程方可被有真正理解，安全规章制度才能行之有效，安全治理工作也会随之顺利开启。

有了好的开端要再接再励，要让员工们接受这些安全方针管理和标准化操作要求，一方面，要强化审核，通过查看工作记录、审计系统日志、以及随机抽查检测，等等方法可以了解实施情况；另一方面，也需要进行必要的激励措施，人是追逐利益的，给为信息安全建设工作有杰出贡献的员工以必要的奖励，适当惩罚违反安全规章制度的行为，会让员工们在面临安全选择之时趋向正确的决定。

最后，信息安全治理也需要充分利用“人员”，创建员工们互相监督，互相提醒的安全气氛，让坏人无处藏身，让不安全念头灭在萌芽，让安全风气得到端正，进而让不安全行为不得发生。

最近一些年，战争及瘟疫对世界的影响实在是大，一方面，很多粮食和蔬菜没人收割，能源没人开采和运输。另一方面，食品和能源价格飙升，人们的生产生活变得艰难起来，甚至有些国家的元首都以身作则，号召国民多穿衣、省电力。此外，中国企业更是面临如芯片禁运等贸易制裁、运费大涨等商业灾难、招不到人等人为灾难、地震台风等自然灾害的影响。对此，昆明亭长朗然科技有限公司安全顾问董志军表示：灾难事件再次向企业界展示了业务持续性计划和灾难恢复计划的重要性，而突发的贸易战争，使供应链的安全风险成为跨国企业不得不面临的紧迫问题。

缺乏高端芯片、遭遇禁运制裁这种事情，固然可以通过自主研发来彻底解决，但是要何年何月才能自主生产和满足需求？大跃进式的造芯运动，真的就能扶持出市场化的竞争者吗？看着一个个芯片企业倒下，一只只腐败大老虎浮出水面，一片片现代化工厂沦为烂尾楼，真让人痛心！扪心自问，我们似乎走错了路，整个产业链，什么都要自己干，结果呢，别人怕被我们断了活路，干脆不和我们玩儿了，甚至还要联合起来孤立我们。不要忘了当年谁把我们从破产的边缘带出去，接纳并让我们融入到现代文明世界中的了；同时，也不要忘了大家都要活，勤劳的国内人民要活，那些懒散的国外人民也要活。世界一旦失去平衡，贫富差距过大，必然带来利益纷争。有些国家那些懒散的人们，光好吃懒做不说，抢食他人的劳动果实时，掠夺他国的海外资产时，毫无人性底线，只能用凶狠残暴、恶贯满盈来形容。

内循环也不乐观，国进民退之势愈演愈烈，国资和公有制度表面上看起来公平，实则是同贫和滥权，因为激发不了劳动者的积极性和创造力，没有产出和创新。即使占有垄断地位，也是靠剥削廉价劳动者和外包企业才能苦苦维持。一旦政策失误，走向极端，造成企业家躺平，劳动者摆烂，失去希望和斗志，那必定又要慢慢回到处处拮据的年代。因此，我们能讲供应链风险，是在改革开放的前提下，计划经济体制下，一切都是政府包办，要什么供应链？在闭关锁国的情况下，和外部世界没有多少交换，要什么供应链？

当下，在很多行业，我们拥有“全产业链”能力，可以确保自身安全，同时遏制不少西方列强，至少在受到制裁时，可以实施“对等”反制措施。但是这个做法要小心使用，因为“全产业链”中的大部分链条是可以被轻松转移和替代的，是人家当年觉得利润低，自己搞起来不划算，拉着我们一起搞的。现在我们壮实了，但是要擦亮眼睛，保持头脑清醒，不要轻易为一点小事儿就去卡人家的脖子，让人家认为我们忘恩负义的国家，进而采取短时的断臂或割席措施，比如实施制造业回归行动，那样无疑在长远来讲对我们也不利。能参与全球分工，共享人类文明，是我国的幸事，战狼出征，四处树敌，则于国不利。因此，讲供应链的安全，离不开国际政治，离不开人类文明，离不开西方科技，离不开企业家精神。否则，仅靠儒家治世那一套，没有西方文明的供应，今天的我们连电都用不上，想想在唐宋元明清，哪个朝代不是大灾一来，老百姓流离失所，连饭都吃不上，更别谈什么高铁和人工智能了。

不过，即使在国进民退的大背景下，改革开放的大政策不会立即停止或转向，因此话说回来，对于企业来讲，外部供应链风险的变化还是在一定范围内的，所以也就有一些减轻供应链风险的常用方法。首先，囤积一些货，通过确保手头有足够的供应来应对轻微的供应链中断。其次，加强供应商的业务连续性计划审核。确保供应商认真对待供应链的安全性，以便他们制定切实可行的计划来应对任何灾难。最后，分担风险，即使某些供应链成本很低，也需采取多方供应，以便在发生中断时可以轻松切换供应商。在跨国供应方面，特别要注意避免过于集中于某一国家或地区，一些地方有过高的政治不可靠因素，换个总统就可能会导致政策大转向，过度的依赖会给自己添加较高的风险。因此，即使世界似乎正在​​回归自由贸易，减少贸易壁垒，但是政治风险不能遗忘。

最近几年，中美竞争激烈，美国政客们动不动就搞贸易壁垒，对我国出口的产品增加报复性关税，以获得政治利益。这种政治风险很令人头痛，比如国际汽车行业通常会雇用大量工人，这些工人就是选票，政客们要制造工厂在本国，那么供应链也需因政治原因而进入该国，成为“本地”供应商。不过，由于关税和竞争减少，供应商价格将上涨，就造成销售价格上涨。供应受关税保护免受外国竞争的商品的本地公司将在短期内获得更多利润。当然，消费者又会不满意价格过高的产品，这种对立又会被另一批政客加以利用。

关税保护造成另一种政治风险，那就是政治人物造成的导致成本增加或供应有限的风险。因此，必须评估我们与供应商之间的政治距离。政客们是否能够在我们和供应商之间设置贸易壁垒？供应商业务受到贸易纠纷不利影响的政治风险可控性如何？如果他们失去了一个关键的大客户，他们还能撑下去吗？还会继续为我们供货吗？

为了最大限度地减少中断的可能性，采用当地供应商更为可取。将新产品定位在离它所服务的市场更近的地方变得越来越有意义，这是价格和风险之间的平衡。

在可预期的二十年内，保护主义仍将持续，贸易战争将继续下去，供应链风险不可忽视。经济理论表明，随着竞争和选择的减少，买家的处境通常会变得更糟，而一些不受竞争影响的幸运供应商会过得很好。在疫情隔离期，这个经济理论得到了一定的证实。但是供应链是一个复杂的系统，它总是在不断重组以尝试优化自身。即使您认为自己是赢家，也可能只是暂时的，随着制造业和服务业的迁移和重组，您不得不关注供应链风险，并及时保持积极的变化。

昆明亭长朗然科技有限公司推出了大量的网络安全、信息保密及合规意识宣传教育内容，包括业务持续性计划相关的动画视频、平面图片和电子课件等各种形式的内容资源，其中也包含网络安全小游戏，以及互动式、场景式、案例式的教程模块，以及稳定可靠的在线培训平台（学习管理系统），欢迎有兴趣的客户及行业合作伙伴联系我们，预览作品、体验平台的功能以及洽谈采购合作。

• 电话：0871-67122372
• 手机、微信：18206751343
• 邮件：info＠securemymind.com