从业40余年，有着丰富IT工作应验的赖锡璋回忆起一年前的那段时间，依然觉得这是其职业生涯中可圈可点的几个月，因为作为香港铁路有限公司（下称香港铁路）首席信息官，他带领他的团队完成了由香港铁路并购九广铁路公司所带来的一项规模巨大并且充满挑战的IT合并工作。

　　2007年12月2日，香港铁路公司与九广铁路公司正式合并，这是近年来亚太地区规模最大的一次公司合并，也是两家公司自成立以来最大的一次单一变革。然而，在全港媒体及公众的密切关注下，就在正式合并的前一天，也就是12月1日晚上，当最后一班车结束一天的运营之后，赖锡璋和他的同事开始了全面的IT系统的整合和迁移工作，直至12月2日一大早，第一班列车发出之前，赖锡璋所谓的首日项目（Day1 Projects）的全部十八个子项目都顺利完成了，其中包括合并首日必须面向公众并展示合并公司统一品牌、同一团队的系统，例如公司网站；合并首日必须具备的内部系统整合，例如整合的邮件系统；首日业务运作必要的系统，例如票务系统的后端报表；另外还有首日必需的IT基础架构，例如公司数据网络的整合等。

　　而在此后数月间，赖锡璋又带领公司合并整合管理委员会及下属各项目组陆续完成了所有IT的整合工作，其中包括5个数据中心的整合，两家公司原有的总共150个应用系统的整合或替换，还包括IT员工的整合，从总共250人减少至现在不足150人。

　　“这个过程实际上是一个庞杂的系统工程，因为两家公司是平等合并的，并不是一个公司完全吞并另一家公司，因此所有的IT整合工作都是在相互协商中完成的。” 赖锡璋现在回忆起来，仍然为这项工作的复杂度感到前所未见：“在我的一套详细的IT整合计划表中，最高时涵盖着1600项任务。”由于两家公司的业务存在相当程度的相似性，所以具有许多同样功能的IT系统，而这样的系统，在合并之后只能保留一个，例如ERP系统，合并之前的一套SAP ERP系统和ORACLE ERP系统都已分别成功地满足了九广铁路公司及香港地铁公司的需求，那么如何做出取舍就是一个让人非常头疼的事情。

　　赖锡璋认为，评估的重点应该是哪一个ERP的实施更符合合并机构的需求（如流程配合、业务模式、汇报架构等），因为系统越符合未来合并后的模式，系统上线实施耗费的时间将越短，而且能更好的降低风险并保证对业务运作带来的影响较小。因此，他们分别从适合合并后公司的运营模式、所需总成本、实施风险三个方面最终选定了Oracle电子商务套件。而这样的筛选工作他们还做了很多，最终将原来香港铁路所有的大约50个应用系统和九广铁路所有的大约100个应用系统整合为107个系统。

　　整合后遗症

　　然而，信息系统本身的整合还不是问题的全部，由于数据的集中和应用系统用户数量的激增所带来的安全问题曾经严重困扰着赖锡璋。因为，“用户的加倍，风险可不只是加倍了，再加上每天都要有2TB的新增数据，而且主要来自核心的收费系统。系统出现任何安全问题都意味着公司要遭受相当大的损失。”

　　“仅就电子邮件而言，安全问题就非常多。” 赖锡璋介绍说，电子邮件系统的用户数从合并前的3000人，增加到合并后的7000人，电子邮件数量猛增150%，垃圾邮件也增加一倍多，几乎占到全部邮件的88%。“还好部署了赛门铁克的Brightmail GateWay系统，目前可以过滤掉97%的垃圾邮件。”

　　不过，反垃圾邮件还仅仅是赖锡璋整个安全部署的一小部分，实际上，他们经历了一个严格的风险管理流程。首先进行安全调查，然后结合公司业务进行风险评估，最后在一个单一的安全系统下部署实施各种安全工具。并相继解决了敏感数据的泄漏问题、在保证成本效率的同时提供关键业务应用程序的可用性问题、数据备份恢复的标准化问题、垃圾邮件问题以及终端安全问题。最终，每月平均可阻止3万例的安全威胁。也正因为如此，赖锡璋本人也获得了赛门铁克公司颁发的2008年度最佳用户创新奖。

　　IDC中国区副总裁万宁对赖锡璋所进行的这一风险管理流程非常赞赏，他指出，具体的安全产品不是最主要的，好的安全战略和方法才是最重要的。华为公司数据中心网络安全部部长陆炎也认为，所有的安全工作不能“为安全而安全”，因此如果仅仅停留在产品层面是不够的，安全需要为业务保驾护航，需要在安全和效率之间取得平衡。他表示，企业需要有一套和公司战略相一致的安全战略，而这样的战略在不同行业甚至不同企业都是不一样的，不能够照搬照抄。

　　回忆起IT系统的整合过程，以及整个安全架构的搭建过程，赖锡璋认为，确立一套跨越两家还没有合并公司的IT管理架构和机制，确保单一管理，而不是多头管理是保证项目成功的关键。具体到安全问题，上海贝尔阿尔卡特公司高级经理金勇和华为公司陆炎都有着与赖锡璋几乎相同的观点，他们认为，在安全管理上，要有严格的规章制度和流程，而且还要有相互独立的监管部门和执行部门从不同的角度确保制度和流程能够执行下去。

　　实际上，陆炎指出的做好安全工作要“七分管理，三分技术”的观点在香港铁路有着很好的体现。据赖锡璋介绍，公司合并之初，由于许多重复的工作岗位需要进行精简，致使少数员工存有不满情绪，这样就使得来自公司内部的安全威胁同样不容忽视。“对于有些人来说，什么样的事情都可能做得出来。” 但是赖锡璋认为，仅仅依靠技术手段难以做到万无一失，公司文化的融合则能够从根本上解决问题。陆炎也认为，和公司员工对立并非CIO的明智之举，“如果员工有意搞安全破坏，IT人员是斗不过员工的”，因此需要对员工做好教育，做好思想工作。因此，赖锡璋表示，尽管公司文化的融合更多是公司管理部门的工作，但是他所带领的IT部门也做了相当多的工作，还专门成立了“文化融合活动工作组”，通过各种文化融合活动和座谈，促进和培养员工“一间公司，一个团队”的精神，树立正确的安全意识。