人人都在強調資料安全而不顧資料開放效率,怎麼破?

qing_yun發表於2022-07-18

資料的共享和開放(以下簡稱資料開放)是很多企業關注的問題,但頗有“一管就死,一放就亂“的特徵,隨著國家在安全方面的法律法規相繼出臺,“嚴管”成為了很多企業的主旋律,但“嚴管”不是亂管,我們還是要需要基於底線思維(在遵守國家相關法律法規的前提下),儘量做到資料安全和效率的平衡,這裡有九個策略供你參考!

策略一:原則制定

公司應該制定資料管理政策,明確一些基本原則,大家要對此達成共識,這些共識是安全和效率最終能達成平衡的基礎,比如以下三條:

第一,資料是公司的戰略資產,不是部門的私有資產,這可以防止部門私自對資料共享和開放建章立制。

第二,資料應在滿足必要的資訊保安的前提下充分共享並明確服務承諾,資料產生部門不得拒絕或延緩跨領域的資料開放需求。

第三,資料需要實施分層分級的管控策略,比如敏感資料安全優先,非敏感資料效率優先。

策略二:組織保障

要成立企業級的資料管理組織,統籌解決資料安全開放的問題,很多資料開放問題其實不是安全問題,而是溝通層級太多導致的資訊不對稱問題,或者是小鬼當家導致的胡亂決策的問題,當需求方和安全方在企業資料管理組織的安排下湊在一張桌子上打麻將的時候,問題就解決了一半。

策略三:制度約束

資料要素成為生產要素後,企業要加強涉及限制資料開放相關制度和規範的稽核和釋出,至少要加強管理,源頭問題不解決,下游再怎麼努力都是事倍功半。

在這個方面要向政府學一學,比如浙江省政府在釋出《浙江省公共資料開放與安全管理暫行辦法》的時候,廣泛徵求了各方意見(包括大量企業),而且這個辦法還是暫行的。

但很多企業相關辦法的下發往往忽略基層的聲音,甚至不徵求意見,利益部門只講辦法帶來的好處,忽略辦法的負面作用或者不知道對企業有什麼全域性的影響,一旦執行很容易影響生產經營,一線越是強調執行力,受到的影響就越大。

數字化時代到來後,企業成立資料治理委員會來進行制衡很有必要,至少要有專業的組織對涉及影響資料開放的制度規範進行稽核。

策略四:認知統一

資料開放的概念沒有標準定義,安全方很容易把所有的資料流動都等同資料開放,各種法律法規的相繼出臺也會讓安全方過度解讀,打造一部公司級的資料開放管理辦法是有必要的,至少要明確資料開放的定義,範圍等等,大家必須在同樣的語境下溝通和協作,否則雞同鴨講沒有妥協的餘地。

比如“在匯聚各領域資料的基礎上,透過資料湖向公司內部各部門提供可機器讀取、可再利用和分發的資料的服務”這種資料開放定義,就澄清了很多事情,開放主體是資料湖管理部門,開放物件是公司內部各部門和下屬單位,開放內容是可機器讀取、可再利用和分發的資料,不包含報表指標、洞察分析等資料應用和生產系統之間的資料服務呼叫。

策略五:流程最佳化

企業為實現價值創造,從輸入客戶要求開始到交付產品及服務給客戶獲得客戶滿意並實現企業自身價值的E2E(端對端)業務過程就是業務流程,適配業務流的流程會帶來價值提升,是優秀作業實踐的總結和固化,推廣流程的目的是讓不同團隊執行流程時獲得成功的可複製性。

現實中資料開放的安全要求都是靠透過增加人工安全稽核的環節來實現的,導致了冗長的資料開放流程,這需要公司有流程驅動的基因,要設定資料開放的流程CEO,要能進行資料開放流程的運營,要能為資料開放的流程SLA負責,比如針對不同敏感等級的資料設定不同的開放流程(直接開放、可控開放和嚴控開放)來提升開放效率。

策略六:事後審計

資料開放經常面臨多重審批的要求,這導致了冗長的資料開放時間和不確定的資料開放SLA,但很多安全審批環節的設定是遵循慣例、或者是形式上的需要,因此將審批由事前審批改為事後稽核或審計是一種兼顧安全和效率的方法。

SOX審計就是如此吧,為了完美控制風險當然最好是全部事前控制,但大家都知道這樣做是不現實的,因為公司耗不起,現在資料開放流程耗得起只在於企業對資料開放還不夠重視。

策略七:考核約束

為了達到全域性最優,安全部門的KPI不僅要包括安全指標,也要包括資料開放的效率指標,比如資料直接開放的比例、資料開放的時長等等,這樣資料需求方、資料安全方、資料提供方才會共同努力給出兼顧多方利益的解決方案,達到資料開放的納什均衡,如果僅有一方使力,平衡是不可能達到的。

策略八:數字驅動

要將資料安全治理貫穿資料全生命週期,實現用數字化手段破解安全與效率之間的結構性矛盾,以流程的數字化為例,透過資料的敏感等級數字化(比如將全量資料劃分為低敏感,較敏感,敏感,極敏感),資料安全審批規則的數字化(比如規定低敏感等級可直接訂閱)等手段,可以逐步實現資料開放流程的自動化。

策略九:價值導向

在數字化的背景下,企業要加強資料的應用,儘快發揮出資料的價值,當資料創造的效益已經對公司有很大影響的時候,會有更多的人為資料安全和效益的平衡出謀劃策,所有的資源都會向有價值的事情傾斜。

比如當年大資料價值變現起步的時候,安全是最大的反對方,至於業務能不能成功是其次,但當大資料價值變現規模化的時候,安全更多時候成了合作伙伴,會幫助評估如何在安全的前提下做成,談判的底蘊還是實力,你覺得被安全搞得很難受,那是因為還不夠強。

有人會說,這些策略在我的企業很難執行。的確是的,一方面,容易的事情大都被做完了,另一方面是時機未到,需要點運氣。但無論如何,我們至少要提前知道這些道理,這樣在機會出現的時候才能頂得上去。

來自 “ 討厭的大魚先生 ”, 原文作者:大魚的資料人生;原文連結:https://mp.weixin.qq.com/s/XW1_dSlPFjUbmLY-DkflvQ,如有侵權,請聯絡管理員刪除。

相關文章