研发过程控制:“分项目、分地域进行研发”
在华为,很多研发设计是分项目进行的,把一个产品分解,由多个项目组完成。这样,没有哪一个人包括这个业务领域的最高行政长官都没有权力拿到所有的东西,因此,泄密者也不可能拿到一个产品所有的东西,最多只能拿到一部分。
“然而,任何再高明、再缜密的组织设计和结构设计,都不能保证‘人’不会出问题,于是,有人会这样干,每个项目挖一个人,一个产品可能有10个项目,每一个项目挖一个以上的人,他们总共挖了三十几个人,这样一凑起来就是一个完整的产品。”
“于是,这些人拿着‘偷’来的产品很容易就能融到上千万元资金,你的企业用人留人的制度再好,你能给员工开出这样高的工资吗?更何况,在华为,有5000多名这样的研发员工,给一个人这样的待遇就会把整个价值体系打乱。”宋柳平不无气愤地说。
所以,华为只能再想其他的办法,在分项目的基础上,再采用分地域完成的方式,将分解的软件,由处于全球不同地区的公司开发,然后再组合在一起,形成一个完整的产品。
“华为这种全球同步异地开发的设计,一个产品可能有一部分在印度开发,有一部分在美国开发,正好有时差,可以传递着来做一些事情。同时又保证没有哪一个地方可以拿全东西,这样在地域的安排上来使得信息更加安全一些。”
系统的信息安全保护
华为的信息安全保护采用最严格的方法,分为三个方面,第一是制度设计,第二是管理授权的设计,第三是技术设计。
“在制度设计上,华为有一整套的管理文件,并赋予该管理文件以最高权力,如果有工程师触犯相应的管理规定,就要承担非常严重的后果。”
“在管理授权的设计方面,华为建立了基于国际信息安全体系架构的流程和制度规范。举例来说,在‘进驻安全’和授权的控制上,我们保证一个‘相关性’原则和‘最小接触’原则,也就是说,所有的文档和技术根据其保密的分级分层来进行不同的授权,只有一个完全必要的人才能接触相关的技术,而且接触是在相应的控制和监督的情况下进行。”
这套看似简单的流程控制制度,在实际的安排中是很复杂的。华为员工告诉记者,他们有一本很厚的《信息安全白皮书》,专门对此进行约束。
“有关技术设计的手段,除了前述将(软件)产品进行肢解跨地域开发的方法外,我们所有的研发网络是跟大网断开的。再如,在全球化异域同步开发体系中,研究人员开发的成果并不在本地的计算机上,而是在一个设控状态的服务器上,任何从该服务器发出的信息都是有备份的,如果有问题可以回溯和检查等等。”(首席信息官) |
