数字化转型涉及对企业和组织如何利用新技术追求新收入或新商业模式的彻底反思。IT技术合作。企业成功的数字化转型,不仅要通过信息化和数字化技术重塑企业的核心业务,还要具备配套的数据安全能力,让数字化转型后的企业能够在数据时代继续“生存”。企业架构和安全是数字化转型的基本要求。数字化转型的主要意义在于,无论是流程还是产品设计,企业都必须基于大数据和云计算的架构,为企业业务发展设定方向。很多企业管理者认为IT只是辅助业务发展的工具,但在大数据、云计算和人工智能时代,IT是生产力的重要组成部分。与此同时,数字化正在进入深水区。制造业、服务业等传统非数据密集型行业开始产生海量数据,更不用说金融、互联网、教育等本来就是“数字化企业”的行业。毫无疑问,数据已经成为各行各业的基本生产要素之一。事实上,如果不首先打破IT和业务之间的壁垒,数字化转型就无法开始。正因如此,企业架构成为数字化转型的两大基本要求之一,也是企业规划转型前的必修课。通过对企业战略、组织、职能、业务流程、IT系统、数据、网络部署等的完整、集成的描述,厘清企业业务的状态,体现业务与IT的映射关系,明确各种支持业务关系的IT设施,构建健壮的企业信息系统架构,实现数据共享、模块集成、业务协同,满足未来不断变化的业务需求。随着烟囱式的信息化逐渐被打破,信息系统开始互联、共享、协同,数据这一数据时代的重要生产要素也开始在企业内部快速流通,直至“失控”。“完成数字化转型后,所有企业都将成为数字化企业,其业务也将被数字化,并被“提炼”出更高的价值。所有资产都将以数据的形式呈现,传统设备也将成为联网设备,保持在线状态,接受信息指令的控制。如果在转型过程中不将数据安全作为基本要求,企业管理者在未来数字化业务发展时可能会感到不安。用企业架构模型思考数据安全治理企业架构是对现实世界中企业业务流程和IT设施的抽象描述,是通过分析企业的业务战略导向、企业组织和流程、信息需求、企业业务能力和业务来确定的。建模业务架构,进而确定企业的IT架构。企业架构是企业信息化的顶层设计、完整的概念和方法论。目前,数据安全领域普遍存在安全目标与业务目标脱节、数据安全需求不明确、缺乏明确的控制措施依据等问题。为保证数字化支撑的业务“长治久安”,数据安全治理也需要因地制宜地适应企业业务。因此,数据安全治理不仅仅是产品或解决方案的“一揽子”,而是自上而下贯穿于企业各部门,从决策层到技术层,从业务部门到IT部门的过程,从管理体系到技术支持。完全覆盖,并匹配和适应之间的每个环节。企业各层级还需要就企业架构等数据安全治理的目标和目的达成共识,确保采用合理、恰当的方法,实现对数据资产的有效保护。系统地开展数据安全治理,必须破除以往安全建设只注重攻防对抗,忽视数据保护的误区;注重单点防御,缺乏制度建设;强调科技产品,并与业务相结合;注重满足合规性,对有效性没有更高要求等一系列问题。想要做好数据安全治理,首先要问自己以下几个问题:是否有安全效果责任追究制度?谁拥有数据安全治理的决策权?是否存在可接受的安全风险范围?是否有业务部门参与数据安全方案的设计?数据安全手段是否具备进行有效风控的能力是否有风控措施有效性的评估方法数据安全治理应深入业务流程数据安全治理不是一个IT项目,而是一种业务行为这与其他业务线的发展同样重要,与业务流程改进一样,是一种战略行为,可以为企业的健康发展提供有力保障。也就是说,数据安全其实是企业业务不可或缺的一部分,而不仅仅是技术支持。因此,在应用大家熟悉的各种安全技术和机制之前,首先要做的是了解企业安全策略,梳理业务流程,梳理关键数据,梳理信息数据流,建立权责关系,并建立数据权限和功能权限以及角色权限。威胁建模可以帮助建立相应的数据安全治理措施,通过梳理其中的业务流程和关键数据,制定相关可接受的风险承受范围。一个新产品上线过程中,涉及从战略制定到售后支持的近10个业务阶段和信息系统,数十种不同的关键敏感数据,不同的数据丢失可能对新产品的拓展造成威胁例如、战略决策、扩张计划等文件的泄露会被竞争对手提前攻击,供应商、采购价格、配方、设计图纸等信息的泄露会导致竞争对手控制原材料采购价格或直接复制产品等同样,跨系统、跨业务部门持续流动的数据,根据不同的业务功能,也有相应的安全要求。业务活动类的业务属性有业务功能、逻辑位置、责任属性、异常使用属性。必须从机密性、完整性、可用性、不可抵赖性等安全属性来分析每个概念的安全需求。数据对象的业务属性决定了它的安全属性。需要根据安全属性确定安全需求,并根据安全需求实施安全控制。例如,业务功能决定了业务活动的重要性级别和机密性。关联度越高,对数据可用性和完整性的要求就越高。问责制属性要求数据的使用记录不可篡改等。由于企业内部系统的互操作性和复杂性,数据安全保护必须融入到业务流程中。企业还需要对结构化和非结构化数据分别进行保护,按照位置和形式进行分类,按重要程度分类(必须有保密标识),对不同位置、不同形式、不同层次的数据实施不同的保护策略。例如,未经批准和授权不得导出数据;数据从工作环境中取出需要加密;不同类型的商业机密文件需要按部门、项目组、用户名设置细粒度的使用权限,并给予最低限度的权限等。总结在数字化转型的背景下,企业需要将数据安全治理与企业架构相结合,形成一个自上而下的整体框架和一个包括治理前提、具体目标和技术支撑的完整体系。当然,数据安全治理不应该是激进的。需要保证业务需求与风险控制之间的良好平衡,在业务发展与业务敏捷性之间找到合理的度数,才能有效推进数据安全治理的进程,有效地为企业数字化转型保驾护航。
