数据的共享和开放(以下简称数据开放)是很多企业关注的问题,但颇有“一管就死,一放就乱“的特征,随着国家在安全方面的法律法规相继出台,“严管”成为了很多企业的主旋律,但“严管”不是乱管,我们还是要需要基于底线思维(在遵守国家相关法律法规的前提下),尽量做到数据安全和效率的平衡,这里有九个策略供你参考!
策略一:原则制定
公司应该制定数据管理政策,明确一些基本原则,大家要对此达成共识,这些共识是安全和效率最终能达成平衡的基础,比如以下三条:
-
第一,数据是公司的战略资产,不是部门的私有资产,这可以防止部门私自对数据共享和开放建章立制。
第二,数据应在满足必要的信息安全的前提下充分共享并明确服务承诺,数据产生部门不得拒绝或延缓跨领域的数据开放需求。
第三,数据需要实施分层分级的管控策略,比如敏感数据安全优先,非敏感数据效率优先。
策略二:组织保障
要成立企业级的数据管理组织,统筹解决数据安全开放的问题,很多数据开放问题其实不是安全问题,而是沟通层级太多导致的信息不对称问题,或者是小鬼当家导致的胡乱决策的问题,当需求方和安全方在企业数据管理组织的安排下凑在一张桌子上打麻将的时候,问题就解决了一半。
策略三:制度约束
数据要素成为生产要素后,企业要加强涉及限制数据开放相关制度和规范的审核和发布,至少要加强管理,源头问题不解决,下游再怎么努力都是事倍功半。 在这个方面要向政府学一学,比如浙江省政府在发布《浙江省公共数据开放与安全管理暂行办法》的时候,广泛征求了各方意见(包括大量企业),而且这个办法还是暂行的。 但很多企业相关办法的下发往往忽略基层的声音,甚至不征求意见,利益部门只讲办法带来的好处,忽略办法的负面作用或者不知道对企业有什么全局的影响,一旦执行很容易影响生产经营,一线越是强调执行力,受到的影响就越大。 数字化时代到来后,企业成立数据治理委员会来进行制衡很有必要,至少要有专业的组织对涉及影响数据开放的制度规范进行审核。
策略四:认知统一
数据开放的概念没有标准定义,安全方很容易把所有的数据流动都等同数据开放,各种法律法规的相继出台也会让安全方过度解读,打造一部公司级的数据开放管理办法是有必要的,至少要明确数据开放的定义,范围等等,大家必须在同样的语境下沟通和协作,否则鸡同鸭讲没有妥协的余地。 比如“在汇聚各领域数据的基础上,通过数据湖向公司内部各部门提供可机器读取、可再利用和分发的数据的服务”这种数据开放定义,就澄清了很多事情,开放主体是数据湖管理部门,开放对象是公司内部各部门和下属单位,开放内容是可机器读取、可再利用和分发的数据,不包含报表指标、洞察分析等数据应用和生产系统之间的数据服务调用。
策略五:流程优化
企业为实现价值创造,从输入客户要求开始到交付产品及服务给客户获得客户满意并实现企业自身价值的E2E(端对端)业务过程就是业务流程,适配业务流的流程会带来价值提升,是优秀作业实践的总结和固化,推广流程的目的是让不同团队执行流程时获得成功的可复制性。 现实中数据开放的安全要求都是靠通过增加人工安全审核的环节来实现的,导致了冗长的数据开放流程,这需要公司有流程驱动的基因,要设置数据开放的流程CEO,要能进行数据开放流程的运营,要能为数据开放的流程SLA负责,比如针对不同敏感等级的数据设置不同的开放流程(直接开放、可控开放和严控开放)来提升开放效率。
策略六:事后审计
数据开放经常面临多重审批的要求,这导致了冗长的数据开放时间和不确定的数据开放SLA,但很多安全审批环节的设置是遵循惯例、或者是形式上的需要,因此将审批由事前审批改为事后稽核或审计是一种兼顾安全和效率的方法。 SOX审计就是如此吧,为了完美控制风险当然最好是全部事前控制,但大家都知道这样做是不现实的,因为公司耗不起,现在数据开放流程耗得起只在于企业对数据开放还不够重视。
策略七:考核约束
为了达到全局最优,安全部门的KPI不仅要包括安全指标,也要包括数据开放的效率指标,比如数据直接开放的比例、数据开放的时长等等,这样数据需求方、数据安全方、数据提供方才会共同努力给出兼顾多方利益的解决方案,达到数据开放的纳什均衡,如果仅有一方使力,平衡是不可能达到的。
策略八:数字驱动
要将数据安全治理贯穿数据全生命周期,实现用数字化手段破解安全与效率之间的结构性矛盾,以流程的数字化为例,通过数据的敏感等级数字化(比如将全量数据划分为低敏感,较敏感,敏感,极敏感),数据安全审批规则的数字化(比如规定低敏感等级可直接订阅)等手段,可以逐步实现数据开放流程的自动化。
策略九:价值导向
在数字化的背景下,企业要加强数据的应用,尽快发挥出数据的价值,当数据创造的效益已经对公司有很大影响的时候,会有更多的人为数据安全和效益的平衡出谋划策,所有的资源都会向有价值的事情倾斜。 比如当年大数据价值变现起步的时候,安全是最大的反对方,至于业务能不能成功是其次,但当大数据价值变现规模化的时候,安全更多时候成了合作伙伴,会帮助评估如何在安全的前提下做成,谈判的底蕴还是实力,你觉得被安全搞得很难受,那是因为还不够强。 有人会说,这些策略在我的企业很难执行。的确是的,一方面,容易的事情大都被做完了,另一方面是时机未到,需要点运气。但无论如何,我们至少要提前知道这些道理,这样在机会出现的时候才能顶得上去。
转载请注明:IT运维空间 » 安全防护 » 人人都在强调数据安全而不顾数据开放效率,怎么破?
发表评论