軟件測試之缺陷、安全管理

馬克斯·韋伯（1864-1920）和他的組織理論　

　　 西方古典管理理論有三位先驅，除了我們已經介紹過的泰勒和法約爾之外，第三位就是被稱為“組織理論之父”的馬克斯·韋伯。

　　 韋伯的主要著作有《新教倫理與資本主義精神》、《社會和經濟組織的理論》等。韋伯的官僚組織模式的理論，即行政組織理論，對后世產生了最為深遠的影響。

　　 韋伯認為，任何組織都必須以某種形式的權力作為基礎，沒有某種形式的權力，任何組織都不能達到自己的目標。人類社會存在三種為社會所接受的權力：

　　 傳統權力（Traditional Authority）：傳統慣例或世襲得來；超凡權力（Charisma Authority）：來源于別人的崇拜與追隨；法定權力（Legal Authority）：理性--法律規定的權力。

　　 韋伯認為，只有法定權力才能作為行政組織體系的基礎，其最根本的特征在于它提供了慎重的公正。原因在于：⑴管理的連續性使管理活動必須有秩序的進行；⑵以“能”為本的擇人方式提供了理性基礎；⑶領導者的權力并非無限，應受到約束。

　　 有了適合于行政組織體系的權力基礎，韋伯勾畫出理想的官僚組織模式，具有下列特征：

　　 1、 組織中的人員應有固定和正式的職責并依法行使職權。組織是根據合法程序制定的，應有其明確目標，并靠著這一套完整的法規制度，組織與規范成員的行為，以期有效地追求與達到組織的目標。

　　 2、 組織的結構是一層層控制的體系。在組織里，按照地位的高低規定成員間命令與服從的關系。

　　 3、 人與工作的關系。成員間的關系只有對事的關系而無對人的關系。

　　 4、 成員的選用與保障。每一職位根據其資格限制（資歷或學歷），按自由契約原則，經公開考試合格予以使用，務求人盡其才。

　　 5、 專業分工與技術訓練。對成員進行合理分工并明確每人的工作范圍及權責，然后通過技術培訓來提高工作效率。

　　 6、 成員的工資及升遷。按職位支付薪金，并建立獎勵與升遷制度，使成員安心工作，培養事業心。

　　 韋伯認為，凡具有上述6項特征的組織，可使組織表現出高度的理性化，其成員的工作行為也能達到預期的效果，組織目標也能順利達成。

　　 韋伯對理想的官僚組織模式的描繪，為行政組織指明了一條制度化的組織準則，這是他在管理思想上的最大貢獻。

　　 Gartner認為，在評估IT安全管理和缺陷管理技術時，安全經理應當就如何集中資產分類數據，并部署所需的減災工作流系統，給予慎重思考。

　　 在提高減災效率并滿足新制度要求的雙重壓力驅動下，集缺陷管理和IT安全管理于一體已迫在眉睫。

　　 在評估IT安全管理和缺陷管理技術時，有關人員要考慮到如何集中資產分類數據及提供所需要的減災工作流管理系統。那些希望利用缺陷評估技術來提高IT系統安全性的部門，應當在計劃要求下，把缺陷評估技術和安全配置策略相結合。

　　 分析

　　 缺陷管理流程和技術的目標就在于，發現、評估缺陷，并執行及維護系統配置，以創造一個更為安全的環境。而安全管理技術的總目標在于，把安全數據轉換成可以依此執行的安全信息。因此，缺陷管理和IT安全管理的安全效果就取決于它們改變環境的能力。除此以外，這兩個技術領域的職能要求，也是依“部門制度符合性”而定。

　　 工作流管理系統

　　 由于缺陷評估工具、安全配置策略符合性工具及IT安全管理技術的價值都跟它們引起變化的能力大小密切相關，因此，在工作流支持領域，技術提供者們需要遵循一系列的規則要求。在此，兩種工作流需要支持：

　　 1. 長久的“宏觀”工作流，包括人為干預及決策；

　　 2. 短期的“微觀”工作流，能對事件作出自動回應。

　　 專業化的工作流支持系統應囊括于各自的產品中—主要是為安全部門的事故支持，以及企業工作流系統的集中化—以支持減災及事故反應工作。這涉及到一系列的IT行政、業務及支持領域。

　　 此外，顧客需求的顯現屬于自動回應工作流系統，尤其是在IT安全管理和缺陷評估技術領域，這是由于病毒泛濫且迅速蔓延所引起的混亂所引起的。

　　 資產類別

　　 在缺陷評估、安全策略符合性及IT安全管理工具中，需要運用到IT資源類別，以支持“業務導向”的分析工作及缺陷的緩解工作的進行。缺陷評估工具、安全審計和策略符合性工具都需要運用到資產分類數據，以進行業務導向風險的報告及缺陷分析工作，并驅動減災工作流系統的運行。

　　 此外，IT安全管理職能也需要運用資產分類，來評估某些特定的IT資源自身所攜帶的“威脅”的優先級，制定業務導向的安全度量，并驅動減災工作流系統。

　　 安全產品應能滿足特定用戶所需要的IT資源的類別，如，業務單元，業務功能、應用實施、地理學以及支持責任和義務等。安全軟件商所提供的產品應當具有這種本質屬性，就是不但能發現資產，還能對其進行分類。

　　 但是，資產分類存在于一系列眾多不同的網絡、系統及安全管理產品中。從某種意義上來說，資產分類數據的規范化及維護，也代表著IT業務的勞動投資，因此，安全管理技術應當具備能從企業“儲藏室”中“進口”資產分類數據這種能力。

原文轉自：http://www.kjueaiud.com