随着国家在安全方面的法律法规相继出台,“严管”成为了很多企业的主旋律,但“严管”不是乱管,我们还是要需要基于底线思维,尽量做到数据安全和效率的平衡,这里有九个策略供你参考!
数据的共享和开放(以下简称数据开放)是很多企业关注的问题,但颇有“一管就死,一放就乱“的特征,随着国家在安全方面的法律法规相继出台,“严管”成为了很多企业的主旋律,但“严管”不是乱管,我们还是要需要基于底线思维(在遵守国家相关法律法规的前提下),尽量做到数据安全和效率的平衡,这里有九个策略供你参考!
公司应该制定数据管理政策,明确一些基本原则,大家要对此达成共识,这些共识是安全和效率最终能达成平衡的基础,比如以下三条:
要成立企业级的数据管理组织,统筹解决数据安全开放的问题,很多数据开放问题其实不是安全问题,而是沟通层级太多导致的信息不对称问题,或者是小鬼当家导致的胡乱决策的问题,当需求方和安全方在企业数据管理组织的安排下凑在一张桌子上打麻将的时候,问题就解决了一半。
数据要素成为生产要素后,企业要加强涉及限制数据开放相关制度和规范的审核和发布,至少要加强管理,源头问题不解决,下游再怎么努力都是事倍功半。
在这个方面要向政府学一学,比如浙江省政府在发布《浙江省公共数据开放与安全管理暂行办法》的时候,广泛征求了各方意见(包括大量企业),而且这个办法还是暂行的。
但很多企业相关办法的下发往往忽略基层的声音,甚至不征求意见,利益部门只讲办法带来的好处,忽略办法的负面作用或者不知道对企业有什么全局的影响,一旦执行很容易影响生产经营,一线越是强调执行力,受到的影响就越大。
数字化时代到来后,企业成立数据治理委员会来进行制衡很有必要,至少要有专业的组织对涉及影响数据开放的制度规范进行审核。
数据开放的概念没有标准定义,安全方很容易把所有的数据流动都等同数据开放,各种法律法规的相继出台也会让安全方过度解读,打造一部公司级的数据开放管理办法是有必要的,至少要明确数据开放的定义,范围等等,大家必须在同样的语境下沟通和协作,否则鸡同鸭讲没有妥协的余地。
比如“在汇聚各领域数据的基础上,通过数据湖向公司内部各部门提供可机器读取、可再利用和分发的数据的服务”这种数据开放定义,就澄清了很多事情,开放主体是数据湖管理部门,开放对象是公司内部各部门和下属单位,开放内容是可机器读取、可再利用和分发的数据,不包含报表指标、洞察分析等数据应用和生产系统之间的数据服务调用。
企业为实现价值创造,从输入客户要求开始到交付产品及服务给客户获得客户满意并实现企业自身价值的E2E(端对端)业务过程就是业务流程,适配业务流的流程会带来价值提升,是优秀作业实践的总结和固化,推广流程的目的是让不同团队执行流程时获得成功的可复制性。
现实中数据开放的安全要求都是靠通过增加人工安全审核的环节来实现的,导致了冗长的数据开放流程,这需要公司有流程驱动的基因,要设置数据开放的流程CEO,要能进行数据开放流程的运营,要能为数据开放的流程SLA负责,比如针对不同敏感等级的数据设置不同的开放流程(直接开放、可控开放和严控开放)来提升开放效率。
数据开放经常面临多重审批的要求,这导致了冗长的数据开放时间和不确定的数据开放SLA,但很多安全审批环节的设置是遵循惯例、或者是形式上的需要,因此将审批由事前审批改为事后稽核或审计是一种兼顾安全和效率的方法。
SOX审计就是如此吧,为了完美控制风险当然最好是全部事前控制,但大家都知道这样做是不现实的,因为公司耗不起,现在数据开放流程耗得起只在于企业对数据开放还不够重视。
为了达到全局最优,安全部门的KPI不仅要包括安全指标,也要包括数据开放的效率指标,比如数据直接开放的比例、数据开放的时长等等,这样数据需求方、数据安全方、数据提供方才会共同努力给出兼顾多方利益的解决方案,达到数据开放的纳什均衡,如果仅有一方使力,平衡是不可能达到的。
要将数据安全治理贯穿数据全生命周期,实现用数字化手段破解安全与效率之间的结构性矛盾,以流程的数字化为例,通过数据的敏感等级数字化(比如将全量数据划分为低敏感,较敏感,敏感,极敏感),数据安全审批规则的数字化(比如规定低敏感等级可直接订阅)等手段,可以逐步实现数据开放流程的自动化。
在数字化的背景下,企业要加强数据的应用,尽快发挥出数据的价值,当数据创造的效益已经对公司有很大影响的时候,会有更多的人为数据安全和效益的平衡出谋划策,所有的资源都会向有价值的事情倾斜。
比如当年大数据价值变现起步的时候,安全是最大的反对方,至于业务能不能成功是其次,但当大数据价值变现规模化的时候,安全更多时候成了合作伙伴,会帮助评估如何在安全的前提下做成,谈判的底蕴还是实力,你觉得被安全搞得很难受,那是因为还不够强。
有人会说,这些策略在我的企业很难执行。的确是的,一方面,容易的事情大都被做完了,另一方面是时机未到,需要点运气。但无论如何,我们至少要提前知道这些道理,这样在机会出现的时候才能顶得上去。[来源: ITPUB]
【编辑推荐】安企神软件系统信息安全管理系统–-企业文件保密专家!防拷贝复制、防外发泄密!实现企业内部文件只允许在内部环境流转使用,未经许可,私自将公司文件带离公司网络环境,将无法打开使用,显示为乱码。
对于外发给第三方的文件,可实现控制打开时间和打开次数等防泄密参数!同时可设置对员工电脑文件自动备份,防止恶意删除造成核心数据的遗失!从源头防止企业核心文件被外泄!
网络准入控制系统:构建网络安全防线的关键
在数字时代,企业网络环境的安全性可靠性至关重要。随着黑客入侵方式的不断更新,确保网络资源的安全性完好性,避免未经授权的访问和数据泄漏已成为企业遭遇的一大挑战。因而,网络准入控制系统(NAC)的出现,为企业的网络安全提供了重要保障。网络准入控制系统是一种基于战略安全管理方案,旨在限定及管理连接企业网络的设备。通过一系列的...
桌面管理工具是什么?远程桌面管理软件推荐
随着数据办公的崛起,桌面管理工具已成为企业提高效率、保证信息安全的有效途径。这种工具不仅可以促进资源共享和数据通信,而且还能提高效率,提升信息透明度,并在一定程度上维持数据安全。一、桌面管理工具介绍桌面管理工具,又称桌面管理软件,是一种专门用来集中管理和提高电脑桌面环境的软件。该工具涉及硬件资本管理、软件分销、安全防护...
守护网络边界,精选上网行为审计软件推荐
随着互联网的高速发展,企业正面临着越来越复杂的网络安全挑战。上网行为审计软件是一种重要的网络安全管理工具,能够实时监控并记录网络活动,助力企业快速识别和应对潜在的安全威胁。本文将推荐一些优秀的上网行为审计软件,以帮助您维护公司的网络安全。一、上网行为审计软件的重要性依据网络行为数据的记录与分析,上网行为审计软件能够实现...
网络安全准入系统作用!安企神网络准入系统为您保驾护航
在数字化转型浪潮的推动下,企业的网络环境愈发复杂,网络安全威胁也随之增加。为了确保企业网络的安全和稳定,建立一套高效可靠的网络安全准入系统显得十分重要。今天,我们向大家推荐一款备受信赖的网络安全解决方案——安企神软件网络安全准入系统。一、安企神软件网络准入系统概述安企神软件网络安全准入系统是一种先进的网络安全方案,其目...
远程监控电脑桌面怎么设置?
随着远程办公与团队协作的日益普及,对远程监控电脑桌面的需求也在不断增加。通过远程监控,管理者能够实时掌握员工的工作状态,从而保障团队协作的顺畅进行。那么,如何进行远程监控电脑桌面的设置呢?以下是一份详细的指南,帮助您轻松实现远程监控功能。一、使用Windows自带的远程桌面连接(RDP)1.在被监控的电脑上启用远程桌面...