本章是Jeff Rochlin写的,他在一个为美国国防部(Department of Defense, DOD)工作的机构里待了很多年,那家机构严格遵循与所谓配置控制(configuration control)有关的MIL-STD-480B(Military Standard 480B)规范。我在20多年前给那家公司做过顾问,当时遇到了Jeff。笔者在那里与Jeff共事的时候,学到了许多涉及变更控制(change control)的知识,所以本章内容由他来写是最合适的。
本章会从业务与行政方面讲解你在构建或增强数据保护系统时所要经历的流程。能够设计出一套良好的技术方案固然很重要,但你同时还得让受益于该方案或给该方案投资的人,都赞同你的这套设计,所以你必须考虑到业务与行政这两个方面,而不能只关注技术。至于设计或完善数据保护系统时,在技术方面会遇到哪些问题,请参见第16章。
数据保护并不是IT里面最出彩的部分。它是为了提醒组织,让这个组织知道自己可能遭受哪些风险,这与该组织内具有核心竞争力的IT产品通常没有什么联系。做数据保护所需的资源通常很昂贵,而且这些资源并不会体现在该组织卖给客户的最终产品里。做数据保护的过程,就相当于向你的组织推销一张保单,说实话,没人会情愿为这种保单付费。虽然你推销起来很不容易,但对于任何组织来说,这其实都是相当关键的一项投资。
在开始花费大量预算做数据保护之前,必须先确保自己所要构建的这套数据保护方案,确实将企业在这方面的需求涵盖了进来。假如你的方案没有考虑到企业数据受损的情况,那么这样的方案就失去了意义。所以,接下来我们要规划一套流程并提出相关的工具,以帮助大家有效地构建数据保护方案。