恭喜Allan,最後一篇,完賽!
最後一篇不談Redmine,也沒有要總結Redmine的功能有多優秀。
就如我第一篇寫的幾個重點:
一開始我本來只想分享用Redmine管理ISMS(資訊安全管理系統)作業的心得。我可以把ISMS的年度計劃當一個專案執行,可以把Redmine當作表單來使用,也可以做為檔案及紙本記錄的管理工具。不過在構思我到底是要寫ISMS的管理,還是要介紹Redmine的系統功能時,我有點卡住了。在構思過程我陷入不知誰才應該是主角的困惑。最後因為剛好接觸幾家中小企業要導入ISO 27001或TISAX,我非常訝異的發現台灣中小企業只有1位MIS人員,甚至公司沒有IT人員,MIS業務都全部委外,這樣的公司比我理解的還多。這現象在過去就靠可以信任的SI資訊廠商也許不會有大問題,但當資安時代來臨,企業被要求要面對ISMS的ISO27001驗證,或要求資安成熟度要達3分才會發合規標章的TISAX,甚至其他蠢蠢欲動的各產業的資安標準要求認證,這些完全依賴委外、企業本身沒有IT管理能量的中小企業,可能會面臨因資安風險管理及驗證需要的MIS的「能力」及「人力」都不足的問題。
另外,ISMS必要的文管資料管理也是一個大問題,人員對管理制度及表單紀錄的熟悉度,以及人員異動的業務資料交接程度,這些都是導入ISO27001後企業必須面對的問題。
這是企業資安的基本觀念,我常跟我的客戶提醒。委外在ISO27001是附錄A.15供應商關係及A.7人力資源安全二個控制項的要求議題,但企業內部還是得要有負責ISMS的專責人員,至少專責管理IT的委外廠商及委外人員必須要有管理方法和能量,不能讓委外造成公司資安的風險。
若ISMS承辦是沒有深厚IT技術基礎的人員擔任,或是ISMS承辦是由平常處理異常就忙翻天的網管人員擔任,系統化的管理工具將更重要,才會讓ISMS有效且易於管理。
所以我開始構思是不是能給他們這些承辦窗口一個簡單又好的工具去管理ISMS? 甚至,更進一步設計擴展成成中小企業的MIS管理工具。
不過我清楚平台的限制。平台只是工具,要真正發揮效用還是要回歸到管理。你如何管理日常作業?你如何面對異常的處理?你如何管理你帶領或被迫加入的專案?
所以我想帶給我的客戶的是管理的觀念、技巧和使用工具,平台就是幫助管理的工具。我需要設計從MIS的作業面去思考改進,如何透過平台去管理MIS的業務?
這是本系列第3次出現這張圖,非常感謝我的前同事兼學習路上的好朋友Randy博士跟我分享這個管理觀念。
先找到對的人,但還不夠,這個人必須是紀律的員工,有紀律的思考用刺蝟原則面對殘酷的現實,強調紀律的文化實施有紀律的行動並採用科技工具加速往目標前進,這就是第五級的領導。
我太愛這個觀念了,直接拿來貫徹在本系列文章分享的管理架構中。
我們介紹的Redmine就是「以科技為加速器」的工具之一。
圖:飛輪效應,來源:從A到A+
本來這件事因為忙我一直只放在心上沒實際去行動,在8月初看到IT鐵人賽的時候就有在想是不是藉由鐵人賽逼迫自己把想法付諸行動並完成一個示範環境? 來到了8月中旬,我發現8、9、10月我工作幾乎天天滿檔,我隱約約覺得「忙碌」應該會是我最後的藉口,然後這件事就有不了了之。就在8月底某一天醒來的清晨,突然心有所感,覺得今年若沒完成這件事情我的2022會有遺憾,所以我立即註冊了,然後那天開始利用空檔構思30篇文章的架構並陸續寫了前6篇的草稿,並到FB去跟眾親友宣告我要參加今年的IT鐵人賽(都在眾親友傳播最快的FB用大聲公四處嚷嚷了,為了面子就不能回頭,哈哈)。到了中秋節當天已經累積6篇草稿,所以我就大膽PO出第一篇,開始展開這自虐的30天旅程。
本系列多數的範例應用我都在企業實施導入過,但本次參加IT鐵人賽系列文章所有出現的系統畫面和範例,都不是來自實際的公司Server運作中的Redmine,而是筆者的Surface NB。
從下載安裝,到每一篇每個範例,都是筆者在NB重新建構重新模擬資料,擷取畫面到系列文章中,並不是哪家企業的實際營運系統平台。
其實以我對Redmine熟悉的程度在系統上進行各種設定很快,所以每一篇初稿撰寫所花的時間也不大長,平均一篇大約3小時。但潤稿每篇幾乎超過3-5天的晚上一看再看,再來就是排版每次都要再花2-3小時,整個花在IT鐵人賽的精力比我預期的至少超過了5倍的時間。好笑的是,最後我最大的成長竟然是「Markdown語法」,以前我根本不知Markdown怎麼內縮怎麼使用表格,這是意外的成長和收穫啊!
因為要上班,我都是當天下班後晚上寫到12點,第二天早上5-7點上班前PO出當天要PO的進度。連續3個星期的星期六日完全都是奉獻給IT鐵人賽。日復一日...果然參加IT鐵人賽是傳說中的自虐行為。
這一個半月的過程,最覺得對不起的是家人和客戶。我把晚上和假日原本屬於家人的時間奉獻給了IT鐵人賽,上班時間去客戶端工作有時會還在IT鐵人賽文章的構思中而恍神。不過總算堅持到最後一天了,明天起我會帶這愧疚好好補償你們的,更專注、更認真、更真誠。
謝謝iThome提供這個舞台,剛好我也有想要分享給全世界的心得,可以輕易藉由這個舞台做到我想要做的。
IT鐵人賽這30天,我也會關心每篇文章的點閱率,不過點閱率真的是慘不忍睹,比我的FB無病呻吟的早安文還少...哈哈。但我一定要對曾經認真閱讀這30篇中任何一篇文字的邦友說聲謝謝,更要對有留言及回饋的朋友由衷感謝,分享過程有你們的陪伴及反饋感覺真好,也希望你們有感受到我文字中的真誠!
最後我要說的是,我不是企業管理專家,不是專案管理專家,不是IT技術專家,更不是Redmine的專家。只是剛好因緣際會工作需要接觸了Redmine,覺得這是一個好東西,可以用在MIS和ISMS,透過IT鐵人賽分享給大家,我也利用了鐵人賽的過程強迫自己建立了一個示範環境,未來我在跟客戶解說ISO27001的要求及ISMS的管理制度建構藍圖時,客戶將會更有畫面及想像,資安管理制度建立就會更有符合企業環境的想法和初期務實的討論。
若本系列的文章對您的工作有幫助或啟發,那我會感到非常欣慰,因為這就是我分享的初衷。
若文章中陳述的觀念或技術有錯誤的地方也歡迎提出指教,我會釐清後修正。