随着国家在安全方面的法律法规相继出台,“严管”成为了很多企业的主旋律,但“严管”不是乱管,我们还是要需要基于底线思维,尽量做到数据安全和效率的平衡,这里有九个策略供你参考!
数据的共享和开放(以下简称数据开放)是很多企业关注的问题,但颇有“一管就死,一放就乱“的特征,随着国家在安全方面的法律法规相继出台,“严管”成为了很多企业的主旋律,但“严管”不是乱管,我们还是要需要基于底线思维(在遵守国家相关法律法规的前提下),尽量做到数据安全和效率的平衡,这里有九个策略供你参考!
公司应该制定数据管理政策,明确一些基本原则,大家要对此达成共识,这些共识是安全和效率最终能达成平衡的基础,比如以下三条:
要成立企业级的数据管理组织,统筹解决数据安全开放的问题,很多数据开放问题其实不是安全问题,而是沟通层级太多导致的信息不对称问题,或者是小鬼当家导致的胡乱决策的问题,当需求方和安全方在企业数据管理组织的安排下凑在一张桌子上打麻将的时候,问题就解决了一半。
数据要素成为生产要素后,企业要加强涉及限制数据开放相关制度和规范的审核和发布,至少要加强管理,源头问题不解决,下游再怎么努力都是事倍功半。
在这个方面要向政府学一学,比如浙江省政府在发布《浙江省公共数据开放与安全管理暂行办法》的时候,广泛征求了各方意见(包括大量企业),而且这个办法还是暂行的。
但很多企业相关办法的下发往往忽略基层的声音,甚至不征求意见,利益部门只讲办法带来的好处,忽略办法的负面作用或者不知道对企业有什么全局的影响,一旦执行很容易影响生产经营,一线越是强调执行力,受到的影响就越大。
数字化时代到来后,企业成立数据治理委员会来进行制衡很有必要,至少要有专业的组织对涉及影响数据开放的制度规范进行审核。
数据开放的概念没有标准定义,安全方很容易把所有的数据流动都等同数据开放,各种法律法规的相继出台也会让安全方过度解读,打造一部公司级的数据开放管理办法是有必要的,至少要明确数据开放的定义,范围等等,大家必须在同样的语境下沟通和协作,否则鸡同鸭讲没有妥协的余地。
比如“在汇聚各领域数据的基础上,通过数据湖向公司内部各部门提供可机器读取、可再利用和分发的数据的服务”这种数据开放定义,就澄清了很多事情,开放主体是数据湖管理部门,开放对象是公司内部各部门和下属单位,开放内容是可机器读取、可再利用和分发的数据,不包含报表指标、洞察分析等数据应用和生产系统之间的数据服务调用。
企业为实现价值创造,从输入客户要求开始到交付产品及服务给客户获得客户满意并实现企业自身价值的E2E(端对端)业务过程就是业务流程,适配业务流的流程会带来价值提升,是优秀作业实践的总结和固化,推广流程的目的是让不同团队执行流程时获得成功的可复制性。
现实中数据开放的安全要求都是靠通过增加人工安全审核的环节来实现的,导致了冗长的数据开放流程,这需要公司有流程驱动的基因,要设置数据开放的流程CEO,要能进行数据开放流程的运营,要能为数据开放的流程SLA负责,比如针对不同敏感等级的数据设置不同的开放流程(直接开放、可控开放和严控开放)来提升开放效率。
数据开放经常面临多重审批的要求,这导致了冗长的数据开放时间和不确定的数据开放SLA,但很多安全审批环节的设置是遵循惯例、或者是形式上的需要,因此将审批由事前审批改为事后稽核或审计是一种兼顾安全和效率的方法。
SOX审计就是如此吧,为了完美控制风险当然最好是全部事前控制,但大家都知道这样做是不现实的,因为公司耗不起,现在数据开放流程耗得起只在于企业对数据开放还不够重视。
为了达到全局最优,安全部门的KPI不仅要包括安全指标,也要包括数据开放的效率指标,比如数据直接开放的比例、数据开放的时长等等,这样数据需求方、数据安全方、数据提供方才会共同努力给出兼顾多方利益的解决方案,达到数据开放的纳什均衡,如果仅有一方使力,平衡是不可能达到的。
要将数据安全治理贯穿数据全生命周期,实现用数字化手段破解安全与效率之间的结构性矛盾,以流程的数字化为例,通过数据的敏感等级数字化(比如将全量数据划分为低敏感,较敏感,敏感,极敏感),数据安全审批规则的数字化(比如规定低敏感等级可直接订阅)等手段,可以逐步实现数据开放流程的自动化。
在数字化的背景下,企业要加强数据的应用,尽快发挥出数据的价值,当数据创造的效益已经对公司有很大影响的时候,会有更多的人为数据安全和效益的平衡出谋划策,所有的资源都会向有价值的事情倾斜。
比如当年大数据价值变现起步的时候,安全是最大的反对方,至于业务能不能成功是其次,但当大数据价值变现规模化的时候,安全更多时候成了合作伙伴,会帮助评估如何在安全的前提下做成,谈判的底蕴还是实力,你觉得被安全搞得很难受,那是因为还不够强。
有人会说,这些策略在我的企业很难执行。的确是的,一方面,容易的事情大都被做完了,另一方面是时机未到,需要点运气。但无论如何,我们至少要提前知道这些道理,这样在机会出现的时候才能顶得上去。[来源: ITPUB]
【编辑推荐】安企神软件系统信息安全管理系统–-企业文件保密专家!防拷贝复制、防外发泄密!实现企业内部文件只允许在内部环境流转使用,未经许可,私自将公司文件带离公司网络环境,将无法打开使用,显示为乱码。
对于外发给第三方的文件,可实现控制打开时间和打开次数等防泄密参数!同时可设置对员工电脑文件自动备份,防止恶意删除造成核心数据的遗失!从源头防止企业核心文件被外泄!
实操指南:如何监控聊天中的敏感信息?这款秘籍软件,轻松掌握微信聊天动态
电影《摩登时代》里,流水线工人就连在吃饭时都要用“自动喂食机”提高效率,这样才能挤出更多时间投入工作。虽然现在打工人不至于此,但有些老板仍然放心不下……像企业聊天记录往往蕴含着大量的敏感信息。为了确保信息安全,监控聊天中的敏感信息成为了一项必要且重要的工作。以下是一款秘籍软件,帮助你轻松掌握微信聊天动态,确保信息安全。...
怎么监控员工上班情况?2024企业管理的四种方法,老板们不容错过
怎么监控员工上班情况?2024企业管理的四种方法,老板们不容错过员工上班在干什么?摸鱼?打游戏?老板该怎么管理?如何才能监视怎么监控员工上班情况?监控员工上班情况可以通过多种方式实现,但重要的是要确保这些措施既合法又合规,同时尊重员工的隐私权。以下是一些建议的方法:一、制定明确的行为规范与奖惩制度1、制定行为规范: 企...
怎么监控员工上班情况?快速监控员工状态
怎么监控员工上班情况?快速监控员工状态在企业管理中,如何有效监控员工上班情况,确保工作效率与团队协作,是每位老板都需面对的课题。本文为您揭秘五招快速监控员工状态的实用技巧,不仅能帮助您实时掌握员工动态,还能提升整体管理效率。作为老板,掌握这些技巧,将让您在企业管理中游刃有余,轻松应对各种挑战。一、使用安企神软件实时监控...
安企神桌管软件:提升企业管理效率的全能助力
安企神桌管软件:提升企业管理效率的全能助力在当今竞争激烈的商业环境中,企业必须不断优化管理和运营流程,以提高效率和盈利能力。安企神桌管软件正是这样一款面向中小企业的管理工具,能够帮助企业在多方面提升综合管理水平。本文将详细探讨安企神桌管软件给企业带来的多重价值。一、全方位的管理功能安企神桌管软件是一款集成了多种管理功能...
安企神:揭开终端安全管理软件的神秘面纱
安企神:揭开终端安全管理软件的神秘面纱在数字化日益普及的今天,企业的网络安全问题愈发显得重要。数据泄露、网络攻击等事件层出不穷,如何保障企业内部信息的安全性成为众多企业关心的焦点。安企神终端安全管理软件应运而生,作为一款专业的安全管理工具,它的功能与优势备受关注。本文将全面揭秘安企神软件的核心功能、应用场景及其在终端安...