随着国家在安全方面的法律法规相继出台,“严管”成为了很多企业的主旋律,但“严管”不是乱管,我们还是要需要基于底线思维,尽量做到数据安全和效率的平衡,这里有九个策略供你参考!
数据的共享和开放(以下简称数据开放)是很多企业关注的问题,但颇有“一管就死,一放就乱“的特征,随着国家在安全方面的法律法规相继出台,“严管”成为了很多企业的主旋律,但“严管”不是乱管,我们还是要需要基于底线思维(在遵守国家相关法律法规的前提下),尽量做到数据安全和效率的平衡,这里有九个策略供你参考!
公司应该制定数据管理政策,明确一些基本原则,大家要对此达成共识,这些共识是安全和效率最终能达成平衡的基础,比如以下三条:
要成立企业级的数据管理组织,统筹解决数据安全开放的问题,很多数据开放问题其实不是安全问题,而是沟通层级太多导致的信息不对称问题,或者是小鬼当家导致的胡乱决策的问题,当需求方和安全方在企业数据管理组织的安排下凑在一张桌子上打麻将的时候,问题就解决了一半。
数据要素成为生产要素后,企业要加强涉及限制数据开放相关制度和规范的审核和发布,至少要加强管理,源头问题不解决,下游再怎么努力都是事倍功半。
在这个方面要向政府学一学,比如浙江省政府在发布《浙江省公共数据开放与安全管理暂行办法》的时候,广泛征求了各方意见(包括大量企业),而且这个办法还是暂行的。
但很多企业相关办法的下发往往忽略基层的声音,甚至不征求意见,利益部门只讲办法带来的好处,忽略办法的负面作用或者不知道对企业有什么全局的影响,一旦执行很容易影响生产经营,一线越是强调执行力,受到的影响就越大。
数字化时代到来后,企业成立数据治理委员会来进行制衡很有必要,至少要有专业的组织对涉及影响数据开放的制度规范进行审核。
数据开放的概念没有标准定义,安全方很容易把所有的数据流动都等同数据开放,各种法律法规的相继出台也会让安全方过度解读,打造一部公司级的数据开放管理办法是有必要的,至少要明确数据开放的定义,范围等等,大家必须在同样的语境下沟通和协作,否则鸡同鸭讲没有妥协的余地。
比如“在汇聚各领域数据的基础上,通过数据湖向公司内部各部门提供可机器读取、可再利用和分发的数据的服务”这种数据开放定义,就澄清了很多事情,开放主体是数据湖管理部门,开放对象是公司内部各部门和下属单位,开放内容是可机器读取、可再利用和分发的数据,不包含报表指标、洞察分析等数据应用和生产系统之间的数据服务调用。
企业为实现价值创造,从输入客户要求开始到交付产品及服务给客户获得客户满意并实现企业自身价值的E2E(端对端)业务过程就是业务流程,适配业务流的流程会带来价值提升,是优秀作业实践的总结和固化,推广流程的目的是让不同团队执行流程时获得成功的可复制性。
现实中数据开放的安全要求都是靠通过增加人工安全审核的环节来实现的,导致了冗长的数据开放流程,这需要公司有流程驱动的基因,要设置数据开放的流程CEO,要能进行数据开放流程的运营,要能为数据开放的流程SLA负责,比如针对不同敏感等级的数据设置不同的开放流程(直接开放、可控开放和严控开放)来提升开放效率。
数据开放经常面临多重审批的要求,这导致了冗长的数据开放时间和不确定的数据开放SLA,但很多安全审批环节的设置是遵循惯例、或者是形式上的需要,因此将审批由事前审批改为事后稽核或审计是一种兼顾安全和效率的方法。
SOX审计就是如此吧,为了完美控制风险当然最好是全部事前控制,但大家都知道这样做是不现实的,因为公司耗不起,现在数据开放流程耗得起只在于企业对数据开放还不够重视。
为了达到全局最优,安全部门的KPI不仅要包括安全指标,也要包括数据开放的效率指标,比如数据直接开放的比例、数据开放的时长等等,这样数据需求方、数据安全方、数据提供方才会共同努力给出兼顾多方利益的解决方案,达到数据开放的纳什均衡,如果仅有一方使力,平衡是不可能达到的。
要将数据安全治理贯穿数据全生命周期,实现用数字化手段破解安全与效率之间的结构性矛盾,以流程的数字化为例,通过数据的敏感等级数字化(比如将全量数据划分为低敏感,较敏感,敏感,极敏感),数据安全审批规则的数字化(比如规定低敏感等级可直接订阅)等手段,可以逐步实现数据开放流程的自动化。
在数字化的背景下,企业要加强数据的应用,尽快发挥出数据的价值,当数据创造的效益已经对公司有很大影响的时候,会有更多的人为数据安全和效益的平衡出谋划策,所有的资源都会向有价值的事情倾斜。
比如当年大数据价值变现起步的时候,安全是最大的反对方,至于业务能不能成功是其次,但当大数据价值变现规模化的时候,安全更多时候成了合作伙伴,会帮助评估如何在安全的前提下做成,谈判的底蕴还是实力,你觉得被安全搞得很难受,那是因为还不够强。
有人会说,这些策略在我的企业很难执行。的确是的,一方面,容易的事情大都被做完了,另一方面是时机未到,需要点运气。但无论如何,我们至少要提前知道这些道理,这样在机会出现的时候才能顶得上去。[来源: ITPUB]
【编辑推荐】安企神软件系统信息安全管理系统–-企业文件保密专家!防拷贝复制、防外发泄密!实现企业内部文件只允许在内部环境流转使用,未经许可,私自将公司文件带离公司网络环境,将无法打开使用,显示为乱码。
对于外发给第三方的文件,可实现控制打开时间和打开次数等防泄密参数!同时可设置对员工电脑文件自动备份,防止恶意删除造成核心数据的遗失!从源头防止企业核心文件被外泄!
筑牢安全防线:安企神企业助力特种设备机械企业数据防泄密解决方案
西安苛菲特机械设备有限公司 西安苛菲特机械设备有限公司致力于特种设备的发展,专业从事特种设备的研发、制造和销售。目前已成为有色冶金特种设备、大型船舶特种设备、煤化工特种设备的领军品牌,并在业内得到了“ 特种设备专家”的称号。公司以打造国内一流特种设备为使命,主要产品定型为高品质特种(高温、高压、高合金)流量控...
安企神软件——为中国铁道建筑集团有限公司筑牢数据防泄密系统
01公司介绍中国铁建是中国乃至全球最具实力、最具规模的特大型综合建设集团之一,入选世界500强企业、全球225家最大承包商之一等荣誉。公司以工程承包为主业,集勘察、设计、投融资、施工、设备安装、工程监理、技术咨询、外经外贸于一体,经营业务遍及除台湾省外全国31个省市(自治区)、世界20多个国家和地区,企业总资产820亿...
强化终端安全,安企神软件与涂料制造企业共创安全未来
西安经建油漆有限责任公司规模化、专业化、现代化涂料制造企业西安经建油漆有限责任公司,年涂料生产能力20万吨,为中国中西部实力较强、产能较大的涂料制造企业。公司成立伊始便积极承担起重点建设项目及国防军事工业、航空航天工业提供配套涂料科研开发及生产任务。多次受到中国航天科技集团总公司的通令嘉奖,为我国航天事业跻身世界前列做...
全球著名减震器制造商——天纳克携手安企神共筑安全制造新防线
天纳克(北京)汽车减振器有限公司天纳克(北京)汽车减振器有限公司成立于1995年,是天纳克在中国最早投资的合资企业。公司集设计、开发、生产及销售汽车减振器于一身。作为天纳克全球网络的一部分,能充分享受天纳克全球的技术积累经验和国际领先的设计理念,加之先进的生产设备和工艺技术。天纳克(北京)汽车减振器有限公司完全能保证为...
强强联合!安企神软件携手瀚颐共筑汽车行业终端安全防线
瀚颐上海汽车电子科技有限公司EAST瀚颐中国团队成立于2015年。是国际AUTOSAR软件联盟的研发伙伴单位。具备汽车电子硬件设计、软件开发、CAN网络集成、系统集成测试以及项目管理的全面研发能力。专注于汽车电子以及相关产业并拥有25年以上的专业经验,拥有来自于德国和中国业内专家和高管组成的顾问团队,并向全球汽车行业客...