以前听很多人说，三分技术七分管理，似乎真的是正确的，只要打好了补丁，贯彻了安全策略，基本就可以保证一个信息系统的安全了。

现在才看到，这里面有多大的误区，有多少懒惰的因素，有多少拍马屁的成分在里面，只是拿了井底之蛙的眼光，去简单地看一个复杂的信息系统。实际上，完整的话应该这样说，三分技术七分管理，管理要以技术为依托。没有了技术，管理就无法贯彻下来，就没有实现的途径，就会受限于你的视野，实际上，管理上也并不是思想上、哲学上的那种管理，而是对每一个安全策略，每一个数据流，每一个访问路径的管理，是对信息资产的有效管理，是以技术手段实现的管理。而不是官僚们给你安排你应该如何如何的那种管理。

有许多事情就这样耽误了，可能会出大问题。不知道还有许多人相信"三分技术七分管理"，奥运保障是否也是基于这个出发点，许多人躺在一堆安全设备上悠闲自得。很长时间以前我就说过了，现在的安全防护模式，远远落后于现实的网络攻击手段，除非那帮有恶意目的人不掌握，只要掌握了，就会造成很严重的后果。现在的情况是，我们无法预测对方到底掌握了多少东西，可以利用多少资源，可以造成多大的危害。

前几天在新疆的汽车炸弹，死16人伤16人，2名嫌疑犯最后终于逮到了。新闻里忽略了一个细节，我猜测应该是对方假装失火，武警们出于责任，跑上去扑灭大火的时候才炸的吧，不然就那么冲过来一辆车，一下子就炸了？而且嫌疑犯最后还跑了？

和所有的网络攻击一样，最难预防的是，一切的操作隐藏于正常行为之中，以前的多篇blog中也有描述，这是网络攻击的最高境界，也是最难防御的。而一般的杀毒、IDS、ips、防火墙一类的安全设备，都是通过特征匹配的，所以，只要攻击行为换套马甲，安全设备就需要升级特征码，如果攻击行为更有创意，更有思路，安全设备几乎就全部废了。 这就是咱们的安全现状，这就是我们最担心的地方。大家以为许多问题已经解决了，终于可以休息一下好好睡一觉了，实际上，危害正在发生，有些已经深入内部了，管理者不知道，技术人员也没有觉察，一切正在悄悄地进行着。

现在别跟我再提三分技术七分管理，听着就生气，恨不得海扁一顿。我们的世界，自己做主。

再加一点疑问：技术变化日新月异，管理方面吗？两者的变化速度差距这么大，所起的作用比例会保持不变吗？

欢迎阐述个人观点 而不是人云亦云

能看出来你反对 三分技术 七分管理

但是你支持 七分技术 三分管理么

你说的几个事情 技术 能解决么？

可以看出楼上对“三分技术，七分管理”的说法很讨厌，不过所举的例子好像都是因为管理人员和一般用户对安全问题的意识和认识不足或认识错误造成的，这是技术问题还是管理问题？

同意
楼主的意思是每个人都是技术专家&技术狂人，7*24监控，出现情况自己决定最佳的处理方式，呵呵

偶认为应该是”十分技术，十分管理“，两者是系统安全都不可缺少的。至于能做到几分技术，几分管理，那要看企业能投入多少资金，企业管理的水平和执行力有多高了。

既然楼主要说奥运 那么就不妨说说奥运 如果奥运只靠技术不靠管理 那么人怎么去落实？ 在先进的技术都是要人去做的 管理的根本对象是人 安全的关键也是人 技术只是一种手段
以前安全检查的安全和现在的比起来 就是技术更先进了 方便了很多 快捷了很多 搜身验包改用仪器了 但是还是要人去判断包里面是不是有违禁物品 金属探测器要是叫起来还是要安检人员亲自去检查的
而且技术也是在不断的发展的 道高一尺魔高一丈的道理 大家都明白 安全技术总是落后于黑客技术 或者说因为有了黑客技术的存在孕育了安全技术
相对技术的风险要比管理的风险更大
所以我觉得管理的作用大于技术的作用

楼主的看法有点片面了，“三分技术七分管理”是安全业内公认的理论，自然有它的道理。这里所谓管理，并不是官僚主义的管理，制定一个制度，发几个安全通知，这并不是真正的安全管理。
一套真正的安全管理体系的实现包括建立，实施，运行，监视，改进和升级等一套流程。如果楼主从事过ISMS项目的工作，就明白。

安全风险和控制措施之间的关系就是魔和道的关系。

俗话说“道高一尺魔高一丈”，魔、道之间永远是竞争的关系。

技术和管理之间也一样，我们要用辩证唯物主义的观点来看待，在明确知晓风险的情况下，可能是要“五分技术，五分管理”，在应对未知的可能是重大的风险时，或许就要“三分技术，七分管理”……

本来风险就有很多，应对技术风险和应对人员风险，管理和技术所占的比重都会有不同的侧重点。

如果说，你要证明一个理论就要举出充分的事例来说明。
对于一个大家已经公认的事务提出挑战光有勇气是远远不够的。

可是问题是：
1. 资金有限；
2. 人力有限；
3. 能力有限；

资金是基础，没钱什么也办不了；
管理上做好了能够解决资金问题，从而可以招更多的人去做安全，而且招到的人能力都强，即使能力和人力依然不可以弥补安全的缺陷，还可以购买设备和技术，来弥补人力和能力的问题；
技术做好了，首先是增强能力，从而提高人力的效率，最终可能会得到更多资金；
管理，自上而下；技术，自下而上；以前这句话理解有限，相信上面这个例子能够让大家明白到底管理和技术，哪个是捷径了吧！记住，微软从来只做市场上趋于成熟的东西，因为他完好的管理和充足的资金，能够用钱买来人和技术，能够用钱解决的问题就不是问题，问题是10个IT治理人员，9个就面临资金问题，才做出3分技术，7分管理的感叹，既是无奈，也是事实。巧妇难为无米之炊！诚如是.
我还是认为管理最重要！

三分技术，七分管理，十二分的维护，安全是一个持续的过程，不是单一的技术或管理，这是我个人的理解。

补充一点，这里的管理，范围是指：沟通，获取支持，意识培训，这些必须通过人与人之间交流才能实现的一些列综合措施，管，约束，理，理解，通过让上下级理解从而实现约束。
技术-理解-执行，管理就是中间的“-”，起到连接作用。

在我审计的过程中，很多时候被审计部门都会说，没有预算，上不了系统，云云。
的确，利用自动化的工具进行控制，可以极大的提高效率，但是并不能说技术就能够解决一起。
看ITIL V3中将资产分为两个部分：资源（包括数据、资金、信息系统、基础设施、人员等）和能力（组织、经验、人员等）。那么我就不禁要问了，为什么在同样资源的条件下，在两个组织中会产生截然不同的效果呢？
这就是能力的问题，其实也是管理的问题。
技术只是实现管理目的的一个手段，但是技术并不能超越管理理念和实践而存在。
我们大多数的系统无非就是个流程固化型的系统而已。并不能因为缺少软件，我们的工作就不要做了。这个逻辑本身就存在问题。

继2001年麦肯锡公司质疑IT作用的争论之后，2003年5月《哈佛商业评论》的文章又一次刊登文章挑起了“IT无用论”的争议。但是就像酒足饭饱的食客争论是第7个馒头还是第8个馒头让自己吃饱的一样，刚刚开始吃第一个馒头的大多数中国企业，对这样的争论只有听一听的份儿。本次争论的焦点在于IT能否给企业带来战略上的竞争优势，而绝大部分的中国企业，实施信息化的目的还是为了整理企业里杂乱无章的数据和流程。


美国《哈佛商业评论》杂志今年5月号刊载了尼古拉斯·G·卡尔(Nicholas G. Carr)的长文，题为《当IT的战略优势已成往事》（IT doesn’t matter）。此文一出，招致诸多IT业界人士的激烈反驳，《哈佛商业评论》在6月号上刊登了长达17页的读者来信。卡尔说了什么？为何引起业界如此的反响？这些又给我们带来什么反思呢？

卡尔说了什么？

卡尔指出：公司的首席执行官们常常把信息技术（IT, Information Technology）的战略价值挂在嘴边，总是在谈论如何利用IT获得竞争优势。然而，实际决定公司资源是否真正具有战略价值的是稀缺性，而非普遍性。只有在你有人无时，才能带来竞争优势。卡尔认为IT已不再是专有技术（proprietary technology），而是基础性技术（infrastructure technology）,正在日益成为同铁路、电力一样的无差异的大众化商品。对企业而言IT成为一种常规投入（commodity inputs），以IT为基础获得优势的机会越来越小，“从战略重要性这个角度来看，IT会淡出舞台，不再那么紧要”。因此，卡尔认为如今企业的IT管理应该降低投资，采取守势，把重点放在降低风险而不是增加机会上。

卡尔的观点并非空穴来风，对IT不满的声音几乎就没有间断过。实际上，早在20世纪80年代末，美国学者查斯曼（Strassman）调查了292个企业，结果发现了一个奇怪的现象，这些企业的IT投资和投资回报率（ROI）之间没有明显的关联，1987年获得诺贝尔奖的经济学家罗伯特·索洛（Robert Solow）将这种现象称为“生产率悖论”（productivity paradox）。2001年10月，麦肯锡咨询公司（McKinsey）发表《美国生产效率增长报告1995－2000》将此结论扩充到53个行业，约占经济体总量的70%，指出“IT与生产力之间仅仅是一种模糊的关系。”无怪乎有人在评论美国公司在IT战略上的失败时说，“在人类奋斗的历史中，没有像这样今天付出如此多的代价，而又取得如此少的成果。”

反对的声音

人们当然有权力对IT的商业价值进行反思，但是卡尔的观点是否完全站得住脚呢？卡尔的文章引起IT业界的激烈反应，有赞同支持的声音，然而更多的有是质疑和反对。约翰·哈格尔指出卡尔的文章有明显矛盾之处：卡尔宣称IT不再重要，而其主要论断只是表明IT作为战略差异性源泉的作用日渐式微。《财富》期刊的大卫·科克帕克（David Kirkpatrick）认为卡尔无视IT中软件的核心地位，曲解了IT的含义，却利用“耸人听闻的标题”来哗众取宠。不能否认卡尔选择这样的题目，的确抓住了人们的注意力，但会产生误导：在当今快餐式文化氛围中，读者只会记住文章的题目，而把它的微言大义撇在脑后。而这种误导可能对商业界产生非常危险的影响。《财富》杂志的大卫·科克帕克认为卡尔的文章在财务预算紧缩和业务状况恶化的情况下会迎合某些人的心理，会助长公司管理层的自满情绪，因为在日常工作中经常考虑将IT融入到公司运作每个环节的CEO太少了。

针对卡尔提出的IT管理的新法则，埃森哲咨询公司（ACCENTURE）在题为《为什么IT仍然举足轻重》（Why IT Still Matters?）的研究报告中指出IT至少在三个方面能够帮助企业获得商业价值：提高竞争优势、开创基于IT的产品和服务、创造间接价值。报告中还引用德克萨斯大学的马克·安德森等在2003年3月发表的研究结果：公司的IT投入和股东价值增长有强相关。埃森哲尖锐地指出卡尔的所谓“IT管理的三条新法则”根本站不住脚（见表1），指出真正创新的公司会设计和建立基于IT的商业解决方案从而创造实实在在的商业价值。

和埃森哲一样，诸多反对观点认为：IT依然重要，不是因为硬件或标准化的商用软件，而是因为智能化地、创造性地对信息的应用能高速地、低成本和以正确的范围解决了业务问题，创造了客户价值。他们坚信与IT应用伴随而来的是业务流程改进、业务创新、管理技巧并未商品化。他们承认IT本身几乎从来不曾带来战略差异性，但是IT依然具有战略意义，因为它的间接作用——它创造了过去不存在的可能性和选择机会。

目前来看，5-5分比较合适，毕竟技术日新月异，光靠管理肯定是远远不够的