做一个项目为什么培训那么多次，一直是个困扰我的问题，今天突然明白了一个简单的道理：
安全关键是人的安全，是三分技术，七分的管理，所以要把安全意思贯彻下去才是一个安全项目的成败所在啊！协助有效的把筛选出来的制度根据步骤执行下去：需要执行相关制度的人员进行培训同时进行考核。这是安全的精髓之所在啊!

安全制度和企业的制度结合起来才能生效，否则那只是变成了费力不讨好根源。企业的文化一旦形成，你想动制度，比较难，所以我们现在能做的就是技术管理了。

现在的企业全部注视企业效率,企业的盈利,对于安全方面的事情,往往不会提到桌面上进行讨论,甚至懒得提到嘴边进行讨论,这样就造成cio提出的方案根本不可能得到真实的反馈，一般草草了之；
造成了一但安全制度和行为影响了业务部门的业务流程操作，领导就会将这些问题归咎为it部门的过错，进行强制工作，将之安全制度抛之脑后；
但是，一旦企业出现安全漏洞，安全危机影响了企业的经济效益，这时候他们又会跳出来，指责it部门为什么没有之前采取措施，又将it 部门放到讲台上进行炮轰

因此，现在it部门一旦不得到重视，那么就会出现到处补救，到处受到指责的坎坷进境，

说三分技术，七分管理是想说管理比技术重要，呵呵，其实看情况的，如果管理水平比较搞，就要从技术方面提高，如果技术水平已经高就要重视和加强管理，其实我说五分技术五分管理，技术和管理要齐头并进的，我们搞计算机的，如果不用技术来管理技术，还有什么优势呢？

这里的管理不是你说的那个技术管理，
人员管理：合法和拥有合理权限的人的管理，避免其范认为错误造成损失。避免其到竞争单位去泄密，避免其乱丢机密文件等等造成的损失。
物理管理： 能够被人一手拎走的取款机，怎么说也是不安全的。
操作管理：避免人思维不完善造成误操作或忘记步骤造成的风险。
法律遵循:要保证所作所为要符合法律要求，同时具备可追踪性。
好好看书，理解一下吧，技术管理有点像整合，没点底子还不行。

呵呵，谢谢指点，我说的管理也就是这些管理：
人员管理：从计算机技术而言重要的是其操作人员管理，包含口令管理和授权管理等等，在我这里，对口令管理现在使用指纹认证＋口令管理，能够很大程度上防范非法人员进行非授权系统，我不是说技术可以解决所有安全问题，而是说技术管理也更需要新的有效的技术手段，至于泄密问题，现在我们采取的措施有几个，一个是将核心数据分离，在专用网段上操作，和普通办公网络进行分离（物理上），一个是对重要数据进行加密存放。这些技术手段采用可以加强系统安全，现在也有一些动态口令卡等技术可以采用了，不过考虑成本问题还没有应用，当然规章制度等配合执行也是必须的。
物理管理：对于请几个保安和使用指纹门禁监控系统，我们采用的是后者，也是技术手段。
操作管理：对于技术人员进库进行数据调整等重要工作，现在已引进了一个数据库集中调整工具，可记录、可审计、报警，由操作人员提出需求，技术人员编写sql脚本，审核后进入调帐系统进行操作，对于多个分散的数据库只需在一个设定的工作台上才能进行，对于其他一些操作，尽量不直接使用操作系统的命令，而是做成菜单进行调用，控制操作步骤，防止误操作。
当然任何手段都不是绝对的，最终是人的因素决定的，管理和技术其实都是无处无时不在，严格分离没有很大意义，管理需要技术手段，技术最终靠人来管理，所以从我的经验来看要并重的，也就是我说的五分技术五分管理，希望和大家多交流，共同前进。

我个人认为“三分技术，七分管理”并不是偏向于哪一方，而是在实际的操作过程中，管理更容易被人们忽视，因为它是不可见的。技术和管理同等重要，但是管理的投入更需要持续性、因地制宜和总体的规划。技术和管理相辅相成，互为补充。

呵呵，你们说的这些问题最好是找一些在IT服务管理方面的专家一起交流，我公司在12月份会举办一个semnar的活动,具体的邀请对象是（CIO/IT经理/信息主管；IT项目经理/咨询顾问；企业IT运维人员；系统集成商技术支持人员；IT服务外包公司技术人员等）且会议现场会安排相关的专家和大家一起交流，有兴趣的可以MSN联系我。

服务台；事件管理；
分组讨论：设计事件管理流程
问题管理；变更管理；发布管理；
配置管理；Service Support总结；
服务级别管理；IT服务财务管理；
能力管理；IT服务持续性管理；可用性管理；
安全管理；Service Delivery总结；

同意，所以现在在实际操作中，就要将无形的管理有形化，现在ITIL推行流程管理等，也是将无形的管理通过流程管理和配置管理等工具变成有形的、可审计的、可量化的，同时支持IT的量化绩效管理。

我有一点不成熟的看法，
IT是一个相对新兴的产业，它的发展很大程度依赖于传统产业，
财务软件，我想它的核心思想是财务流程，财务管理相关的知识，而不是软件技术。
ERP软件，它的核心思想应该是物流管理，物料管理等等，也不是技术本身。
CRM软件，它的核心是客户关系的管理思想，不是软件本身，或者某项技术。
photoShop/autocad等类似的软件， 其核心也是作图，建模的思想，只是用软件做方便，可修改，很直观，快速等优点，并不是其核心的东西。
数据库软件，其本身也是数据存储保存等的思想从传统向IT的转移了，因为效率等方面更高。但是思想还是从传统的操作加以演化的
甚至当初网络泡沫的时候也是传统广告，传统的一些业务救了一批网站候.....................................................................

所以对于信息安全，当没有这些那些技术的时候，就是管理，忽略技术，我们依然能做信息安全，依然能做管理，可是忽略管理呢？技术能做什么？只是技术人员的游戏了。所以我想这才是他所说“三分技术，七分管理”核心。 技术只是便于管理，况且有些问题向计算机病毒，网络攻击这些问题是IT技术本身不完善带来的，相对来说也增加了管理的负担，所以其言“三分技术，七分管理”，你所说的55分也不是不对，我只是从另外一个角度阐述这个问题，大家探讨而以。

hehe .Packeteer 也不错啊。

技术可以买,但管理无法买

企业管理方面,技术并非是首要因素;而技术方面,管理确是首要因素,没有管理再好的技术也无法正确实施.

企业安全管理所涉及到的因素很多,物理安全,技术安全,通讯安全,人员素质等等各种因素的制约使得技术变得并非十分重要.但归根结底安全终究需要技术,没技术也是无稽之谈.

国内很多企业对安全根本就是一无所知,尤其是传统企业,所以在这些企业谈安全,讲技术就显得软弱无力.在领导看来,只要涉及到计算机,原本不属于技术的问题也全归结到技术上,如果领导层比较开明还好，否则这将使得项目实施寸步难行.

解决这些问题就不仅仅是技术培训的问题了，人员素质也是很大的问题所在.

为什么楼主的一番心得又演变成技术和管理的纷争呢？其实说三分技术，七分管理根本不应该理解成对技术的小视。没有技术我们管理什么去？但是从安全的角度看，现在真正欠缺和需要下功夫的就是在管理上。这大概就是为什么有人提出这个3，7分的理由所在。是在强调，是在说“管理上太弱过于技术的发展了”。不知道这样理解是不是容易接受一点？

前一段到一个单位，抱怨网上有很多的病毒，安装了TREND杀毒软件不能用.我这样回答用户的：任何杀毒软件都有滞后性，一定是先有病毒，再有杀毒软件，三分技术、七分管理，必须都统一安装一种杀毒软件，做好防御策略。你换另外的任何的杀毒软件，一定还会碰到同样的问题，而且碰到的问题或许更多，我想现在是怎样用好的问题，非常的熟练的使用防病毒软件的问题。安防工作是一个周而复始、循环上升的过程，不是一挫而就的事情100%安全的网络是不存在的；安防系统需要不断的变化和调整；安防工作是循序渐进、不断完善的过程。