漫谈信息安全设计与治理之企业合并的IT整合

合并前

一句话概括就是：做好IT尽职调查(Due Diligence )。具体来说，要借用业界常说的“十倍准备”做到如下的几个方面：

首先，最基本的就是双方各自清点，罗列出类似于下图的IT服务与应用系统的清单。其范围大体包括：网络服务、主营业务、办公邮件、电话移动、服务台、用户桌面、文档库管、协作通讯、视频会议、市场开发、财务人事、IT工具和安全审计、以及虚拟化与云服务等领域。应当注意的是无论要合并的两家企业其业务是同领域还是不同行业，在填写清单里的具体内容之前，需要IT管理层对清单条目的分类做好划分，这样在项目组成员填写的时候才能有的放矢，生成的清单才具有可参照性和对比性。另外，由于每个人的角度和见解不同，因此在填写的过程中对于“注释和状态”的描述信息是非常必要的。

有了上述的清单，下一步就可以进行软件、硬件和人员的统计和分类了。可以参照我们在前期漫谈的资源治理章节中所聊到的资产与配置管理的方式进行展开。不过值得注意的是：

· 硬件设备系统的清单要注意阐述系统异构性和自身存在的兼容性以及备件等问题。

· 软件服务系统的清单则要注意厘清同质性、识别当前所使用到的功能模块和软件技术支持程度的问题。

· 而考虑到人员的流动性，关于从业人员的清单内容，不需要向那次漫谈中说的那样对应到具体的人，而是应该落实到角色，访问权限以及其所对应负责的软硬件模块等。

· 与财务/行政部门合作，列出如上期核算与预算漫谈里说提及的IT部门的成本与核算，包括费用资金支出的清查，软/硬件资产以及服务的价值清单等。

接下来，双方企业就应该基于上述所收集和自查到的资料，进行进一步的“文档整理”和总结归纳了。具体包括：

· IT系统框架图和网络架构图。可以参照那些我们在警匪大片里经常看到的办案人员画的那种思维导图，并可进行分层、分级的局部细化展示。

· IT相关的规章制度。比如说企业对于社交和即时通讯软件的态度、使用以及发布/转载/披露等方面是否有明显的限制策略。

· IT发展战略，如近期需要更新的技术和采取的安全措施等。

· 目前在开发的技术、服务或者是ongoing的一些IT项目。

· 与第三方合作参与的合同、委托第三方的SLA和MA等。对于IT外包比较多或已有利用到了云服务提供商的情况，要生成服务与合同对应的列表。

· 重审BCP和DRP。即，对网络、服务及数据的灾备方案和发生问题时的恢复流程与应急预案进行稽核，标注出MTD、RTO和RPO、以及review和演练时间等重要信息。

· 对系统与服务的当前性能瓶颈、遗留问题以及投诉痛点等进行如实的记录与详尽的描述。当然也可以体现一些关键业务部和IT管理层的主观顾虑。

· IT合规和安全实务，确认自身系统的基线，罗列出近一、两年发生过的网络和安全的事件和问题。

· 与IT相关的知识产权状况。比如说：那些并非直接使用了第三方的成品软件，而是要求其按照企业需要所定制开发的软件系统，其委托定制部分的知识产权就应当属于甲方企业而非第三方所有。

· 对IT部门岗位进行如：职权范围、薪酬水平、培训发展等属性的标记。

· 列举企业日常运营以及从事项目活动中的IT相关资质认证的持有情况。特别要表明安全方面资质的范围与年限。

所有这些IT相关的清单和文档总结准备就绪之后，下面就是“互动”环节了。

· 双方的项目组成员进行实地互访。互访的内容包括：对IT部门和部分业务管理人士进行询问与座谈、对数据中心或呼叫中心的实地参观、以及运营与业务流程的模拟展示等。

· 相互交换所整理的清单和各种文档，由收购方牵头草拟出点对点的双方情况对照表(如上述表格的绿色与粉色所示)。

· 收购方要特别注意被并购方的SLA、MA和NDA等合同里的条款，协同法务部门对在并购后的可能出现的合规以及法律风险进行考量。

那么，通过上述各种客观与主观相结合的调查方式，双方项目组成员坐到一起，合谋标记或直接对关键的系统、网络以及服务进行重要程度进行定级，并有效的识别出和预见到并购后企业可能出现的各种风险或碰到的兼容性问题。本阶段的“干货”就是要共同制定出实施IT系统整合的路径图和具体的实施步骤，同时勾勒出并购之后IT系统的整体治理和投资方向。当然，最终要形成的可行性报告要提交董事会报批。

合并后

一般在合同阶段的IT系统整合的实际操作过程中，每个项目组成员都会感觉到“时间紧，任务急”的真谛。因此，这里我给小伙伴们也罗列出自己的一些“前车之鉴”。

· 任何因素的不到位都会成为“那颗击倒巨人的石子”。比如说数据库对接或迁移时出现的不兼容等。因此项目组要提前制定好合并首日(Day One)的行动计划和方案，我们在这一点上可以参考哥前期漫谈的“发布管理”章节，当然应该更为周密和详尽。

· 如果确实在并购过程中碰到了问题，其实方法也有很多。比如说传统的模式是：为了稳妥起见，可以双方采用“双活”战略，即签署诸如过渡服务协议(Transition Services Agreements)的来进行缓冲，以规定在并购后的一段时间内能延续借用原来各方的一些旧的IT服务与系统。

· 另外，现在云计算与服务得到了广泛运用，不少企业也可以临时租用云空间来提供合并期的不间断过渡服务，直至新的企业拿出更好的解决方案，再慢慢的bring down它们。

· 同时，前面漫谈的某公司环节也和大家聊过，一旦合并开始或者完成，用户乃至客户的问题会雪崩式的增长。相应的新企业的呼叫中心和其帮助系统的工作量也会急速增加。因此，提前制定好预案、分配好资源、以及做好helpdesk与floor supporting的准备工作能有效的避免投诉或灾难的发生。

· 此外，在业务安全的角度上说，IT系统整合之后，服务的所有者和使用者可能会相应的发生变动，进而产生相应的安全隐患和漏洞。因此要做到集中的甚至是细粒度的控制。我们还是应该依托系统赋权基本原则，给予角色相对应的权限分配，以降低人员流动所带来的权限积累或遗留所带来的风险。

· 最后是IT团队问题，如前期和大家聊过。合并之后，作为IT管理层要在保证团队成员的基本利益的前提下，重新定义他们的工作scope。而在降低人员的流动比率的同时，应适当的采取“末位淘汰制”，并提高整体的战斗力来面对合并后新的挑战。

由此可见，对于企业的并购的IT整合其实就是哥前面和大家聊过的各个章节的一个“小综合”。你说合并是好消息吗?要成为业绩传颂的一段佳话，还是弄得最后一地鸡毛?It depends on you and your team.

今天天气真好啊，心情也美美的！