在虛擬企業和供應鏈全球化出現之前,解決這壹問題並不困難。從傳統的企業組織架構來說,“信任範圍”界線相當明顯。只要確保所有機密信息在您的企業內部的安全,壹切問題也就迎刃而解了。 現在,“信任範圍”的界線已不再如此清晰,它已經延伸到整個供應鏈。企業與企業之間的聯系是如此緊密,任何事物都實現了網絡化。更關鍵的是,隨著越來越多的業務流程外包,我們必須與貿易夥伴***享“機密”信息。如果您們的產品關鍵部件是由其他企業負責設計,甚至您們的制造活動是由其他企業完成,如果其他經銷商幫您們銷售產品,又或者您們的呼叫中心也外包給其他公司,那麽,毫無疑問,您將要與他們***享“機密”的客戶信息、產品設計信息、IP和生產信息等。並且,縮短周轉時間、降低庫存水平、改善客戶服務、加速產品更新,所有的競爭壓力都促使企業與貿易夥伴進行更緊密地整合,***享更多的信息。 建立戰略合作夥伴關系 戰略合作夥伴關系和戰術性商品買賣關系之間應該做出明顯地區分。建立戰略性合作夥伴關系需要花費時間和精力,並且只能選擇少部分最適當的供應商建立這種關系。做得好,供應商就會成為企業資源的外部延伸。將要與合作夥伴***享哪些信息,收益又如何分配,以及如果違背了雙方就相互利益和相互依賴關系所達成的諒解,又將會產生什麽後果,所有這些都要達成壹項系統的協議。另外,由於企業把傳統的業務關系看作壹種彼此對立的關系,所以要改變這種思想還需要花費大量的時間。 許多企業每季度都會舉行壹次商業評論活動,這次活動是企業間分享機密的戰略信息的主要渠道,通常這樣的活動都在嚴格的保密協議下進行。這種由企業高層人員參加的活動主要對未來市場動態、業務模式、產品開發/轉型(戰略、時間表、風險)、供應商績效(目標、現實狀況、改善計劃)等問題做出探討。 當然,也存在少數企業會濫用合作夥伴的信息,但是最終這些企業都不會有好的下場。例如,壹家快速消費品制造企業計劃與它的壹家零售商合作開展壹次大型的促銷活動。然而,在這次促銷活動開始前壹個星期,該制造企業又同另壹家零售商***同舉辦了壹次同樣的促銷活動,並且促銷的價格更低。由於制造商違背信義,導致它不但失去了這次業務,還要花費很長的時間來重建與該大型零售商的關系。 當供應商或者客戶同時也是您的競爭對手時,機密信息的***享可能更具挑戰性。即使是有保密協議的約束,產品策略、產品路線圖和其他機密信息的***享仍然讓企業感到不安,可是這種信息***享每天都在發生。例如,隨著越來越多的制造活動外包,與這些合同制造商***享產品信息和制造技術也就不可避免。但與此同時,這些合同制造商可能也是您潛在的競爭對手。在電子產品行業,許多合同制造商和原始設計制造商(ODM)走的都是這條路。大家都知道格蘭仕的案例,格蘭仕就是靠貼牌生產,受讓國際知名企業先進生產線的作法,使自己的生產能力迅速擴張,逐步發展起來的。 如何降低信息***享的風險 應用管理流程中的三個重要組成部分:方針、流程、績效(Policy,Process, Performance),我們構建了壹個實用的框架,指導我們如何在信息***享中受益,如何降低信息被濫用的風險。 方針 ·信息分類——保護機密數據的基礎是壹流的方法,這些方法也被軍事部門用來保護各種機密信息;按照數據的機密性(機密等級)把數據進行分類,只允許那些有訪問權限的人獲知數據信息。例如,對於壹家負責零配件設計的零配件供應商來說,他們只需要了解零配件的物理外形(安裝點和安裝條件)以及電子接口特征,而不需要掌握整個產品的設計信息。 ·可利用/可交互信息——將原始數據進行提取、分析,轉化為可利用/可交互的信息。結構性合同是壹個很好的例子。企業依靠諸如最小限度承諾、提前期保證(不同的提前期對應不同的價格)、產能保證(彈性越高,價格就高)等結構性合同條款來表達未來的需求信息,而不是簡單地***享需求預測信息。 ·第三方賬戶——這壹策略的成功實施需要壹個獨立於兩家企業之外的第三方參與。由合作雙方建立壹個第三方賬戶,當任何壹方違反協議時,賬戶上的資金就被用於重建雙方的信任關系,解決導致問題發生的原因。例如,可用於培訓雙方的團隊精神、重組不合理的流程或者應用新的技術。這能夠極大地增強雙方的信任程度。 流程 各種方針都需要壹系列的流程和控制系統支持,才能預防、發現、糾正機密信息被意外、故意濫用的行為,諸如: ·實體安全——控制辦公場所人員的進入,接待人員必須知道哪些人可以進入生產、辦公設施,哪些人不能,對在敏感區域走動的陌生人要進行盤查,機密性文件要妥善保管,不要放在外面等等。 ·責任分離——例如,實物庫存的管理和庫存信息維護分別由不同的人員負責。 ·培訓和測試——就保護機密信息的工作程序和重要性,對員工進行培訓。對培訓效果進行檢測,保證員工按照正確的步驟與合作夥伴***享信息。 ·日誌——記錄所有數據訪問人員的活動信息,包括什麽人在什麽時候進入什麽區域、或者獲取什麽信息等。 ·核查——對您們的企業和貿易夥伴進行核查,確保安全設施的有效。壹些企業還安裝了計算機輔助“持續核查”系統。 壹些特別敏感的數據信息的保護可能需要具有結構性和組織性的安全措施。例如, 壹些工程技術組織利用壹種被稱為"clean room"的方法,把那些掌握高度敏感的設計信息的人員進行分離,限制他們與組織內其他人員的交流和溝通,防止合作夥伴的設計信息在組織內部泄漏。 績效 方針和流程決策必須在保證效果的基礎上進行權衡: ·信息***享的商業價值 ·信息***享風險控制的成本 ·危及信息安全的後果 技術在信息***享過程中的應用 壹些有用的技術可以幫助我們實施上述策略和流程方法。基於角色的訪問控制模型(Role-based access controls (RBAC))使信息分類控制策略得以實施——根據具體用戶對特殊信息的需要設置數據訪問權限。數字權限管理(Digital Rights Management)系統甚至可以對文件進行全程跟蹤保護。盡管您的文件發送給企業外部的其他組織,系統依然可以對它們進行保護,限制特殊群體的訪問,以及某些活動(例如,限制文件打印、剪切和粘貼、轉發等)。私人網絡和商用網絡都已經采取必要的措施來保護貿易夥伴之間的機密數據;例如,ANS網絡使汽車OEMs和供應商能夠安全地交換那些經過數字加密的機密的設計文件和交易信息。 高層管理者的論戰 要想在“信息***享”和“信息安全”之間做出適當的權衡,實現企業信息***享的最大價值並非易事。兩者都不乏支持者。壹些企業把負責數據保護工作的職位提高到C-level的級別,由專門的首席信息安全官負責。另壹方面,高層供應鏈管理者很可能更傾向於“信息***享”的做法。是保護還是***享?這些決策應該做出合理的權衡。我認為,壹個能夠最大限度地進行信息***享的供應鏈就好比壹個經過充分整合的企業,與那些崇尚信息保護的供應鏈相比,能夠獲得更大的競爭優勢。