Читаю в описании предстоящего мероприятия::
[spoiler]
Бизнес-завтрак посвящен вопросам обеспечения безопасности систем электронного документооборота и средствам электронной подписи. На мероприятии будет рассмотрен… подход к построению безопасной СЭД с точки зрения регулятора, разработчика и заказчика; основные преимущества |
Если позовут (организаторы) и делегируют (редакция), то, конечно, пойду, но все же есть тревожные ощущения, что будут слишком общие разговоры
Я не знаю, что такое "безопасная СЭД" и чем она отличается от просто СЭД (впрочем, и с пониманием, что "такое СЭД", есть давние проблемы), от "не очень безопасной" и от просто "опасной". Также как не знаю, что такое "защищенная" и "незащищенная". Также как и не знаю, к какой категории можно отнести ИТ-систему управления деятельностью (именно деятельность, биззнес-процесса, причем документоориентированные, не ERP) нашей редакции (не хочу использовать слово СЭД, хотя у нас как раз – почти на 100% все очень даже электронно).
Так что это – наличие какого-то госсертификата? А под "строим безопасную" понимается обсуждение вопроса – как получить такой сертификат? Кстати, тема, возможно, как раз довольно актуальная…
Мне кажется, что тут мы имеем с проблемой совершенного характерной для подавляющего числа наших ИТ-мероприятий: мы начинаем обсуждать вопрос "что это такое" (не важно что – облака, безопасность, СЭД, да, что угодно), совершенно не того конца. А именно – не ответив на вопрос "зачем".
Для того, чтобы начать обсуждать проблему нужно сначала ее сформулировать. Ну, знаю, сколько можно это повторять: любая работа (статья, диссертация, строительство самолета) начинается с постановки задачи, а уже потом – обсуждения, как ее решать.
Так вот вопрос – в чем проблема-то? В чем именно заключаются проблемы заказчиков или разработчиков?
Ну, например.
- В нашей СЭД пропадают документы
- Мы обратились в суд на внешних контрагентов, а суд наши документы не принял
- Мы хотим выгнать с работы нерадивых сотрудников, но не можем доказать в суде их нерадивость
- Нам нужно получить официальный сертификат "на соответствие", а мы получить не можем…
- Ну, и так далее. Только выявив круг проблем, можно обсуждать, как их можно и нужно решать.
А иначе разговоры о безопасных СЭД (облаках, опасных СЭД и т.д. и т.п) можно вести бесконечно с нулевым результатом.
А вы как думаете?