數(shù)據加密|圖紙加密|信息加密|文檔加密-Wonder Tech-上海騰赫信息科技有限公司

數(shù)字化轉型涉及對企業和(hé)組織如何利用新技(jì)術(shù)追求新收入或新商業模式的徹底反思，還(hái)需要跨部門(mén)協作(zuò)，把專注于業務的理(lǐ)念與面向未來(lái)的IT技(jì)術(shù)配合起來(lái)。成功的企業數(shù)字化轉型不僅是通(tōng)過信息和(hé)數(shù)字化技(jì)術(shù)重塑企業核心業務，還(hái)要具備配套的數(shù)據安全能力，以讓數(shù)字化轉型後的企業在數(shù)據時(shí)代持續“活下去”。

企業架構與安全是數(shù)字化轉型的基礎需求

數(shù)字化轉型主要的意義是一個(gè)公司無論從流程、産品設計(jì)都要基于大(dà)數(shù)據、雲計(jì)算(suàn)的架構來(lái)為(wèi)企業業務發展制(zhì)定方向。很(hěn)多(duō)企業管理(lǐ)者會(huì)認為(wèi)IT隻是輔助業務發展的工具，但(dàn)在大(dà)數(shù)據時(shí)、雲計(jì)算(suàn)和(hé)人(rén)工智能時(shí)代，IT是生(shēng)産力的重要組成部分。同時(shí)，數(shù)字化正在進入深水(shuǐ)區(qū)，制(zhì)造業、服務業等傳統意義上(shàng)的非數(shù)據密集型行(xíng)業開(kāi)始産生(shēng)海量的數(shù)據，更不用說原本就是“數(shù)字企業”的金融、互聯網、教育等等行(xíng)業，毋庸置疑，數(shù)據已經成為(wèi)各行(xíng)各業的基本生(shēng)産要素之一。

事實上(shàng)，如果不先打破IT和(hé)業務之間(jiān)的隔閡，數(shù)字化轉型就根本無法開(kāi)始。正因為(wèi)這樣，企業架構才成為(wèi)數(shù)字化轉型的兩大(dà)基礎需求之一，也是企業在籌劃轉型前的必修課。通(tōng)過對企業戰略、組織、職能、業務流程、IT系統、數(shù)據、網絡部署等的完整、一體(tǐ)化描述，明(míng)确企業業務的狀況，體(tǐ)現業務與IT的映射關系，明(míng)确各類IT設施對業務的支撐關系，從而構建穩健的企業信息系統架構，實現數(shù)據共享、模塊集成、業務協同，滿足未來(lái)不斷變化的業務需求。

随着煙囪似的信息化逐漸破除，信息系統間(jiān)開(kāi)始打通(tōng)、共享、協同，數(shù)據時(shí)代的重要生(shēng)産要素—數(shù)據也開(kāi)始在企業內(nèi)部快速流轉，直至“失控”。由于在完成數(shù)字化轉型後，所有(yǒu)的企業都将變成數(shù)字型企業，業務也将數(shù)字化，被“萃取”出更高(gāo)的價值，一切的資産都将以數(shù)據的形式呈現，傳統的設備也将變為(wèi)聯網設備持續在線，接收信息指令的控制(zhì)。如果不在轉型過程中把數(shù)據安全作(zuò)為(wèi)基礎需求，企業管理(lǐ)者恐将在日後的數(shù)字化業務大(dà)發展的時(shí)候惴惴不安。

用企業架構的模式思考數(shù)據安全治理(lǐ)

企業架構是對真實世界企業的業務流程和(hé)IT設施的抽象描述，通(tōng)過分析企業業務戰略導向、企業組織與流程、信息化需求、企業業務能力與業務模式來(lái)确定業務架構，進而确定企業的IT架構。企業架構是企業信息化的頂層設計(jì)、完整理(lǐ)念和(hé)方法論。

目前數(shù)據安全領域普遍存在安全目标與業務目标相脫節、數(shù)據安全需求不明(míng)确、控制(zhì)措施是否得(de)當缺乏明(míng)确依據等問題。為(wèi)了确保數(shù)字化支撐下的業務的“長治久安”，數(shù)據安全治理(lǐ)也需要量身定制(zhì)，貼合企業業務來(lái)進行(xíng)。因此，數(shù)據安全治理(lǐ)絕不僅僅是一個(gè)産品或解決方案“套餐”，而是從決策層到技(jì)術(shù)層，從業務部門(mén)到IT部門(mén)，從管理(lǐ)制(zhì)度到技(jì)術(shù)支撐，自上(shàng)而下貫穿企業各個(gè)部門(mén)的完整覆蓋，并且要與其間(jiān)的各個(gè)環節相匹配和(hé)适應。企業內(nèi)的各個(gè)層級之間(jiān)也需要對數(shù)據安全治理(lǐ)的目标和(hé)宗旨取得(de)如企業架構一般的共識，确保采取合理(lǐ)和(hé)适當的方法對數(shù)據資産實現有(yǒu)效保護。

體(tǐ)系化地進行(xíng)數(shù)據安全治理(lǐ)，就要走出以往頭痛醫(yī)頭腳痛醫(yī)腳的安全建設誤區(qū)，比如隻重視(shì)攻防對抗，輕視(shì)數(shù)據保護;重視(shì)單點防禦，缺乏體(tǐ)系建設;重視(shì)技(jì)術(shù)産品，與業務結合差;重視(shì)滿足合規，對實效沒有(yǒu)更高(gāo)要求等一系列問題。

要想做(zuò)好數(shù)據安全治理(lǐ)，首先要自問下面這些(xiē)問題：

是否有(yǒu)安全效果問責制(zhì)

誰對數(shù)據安全治理(lǐ)具有(yǒu)決策權

有(yǒu)無劃定可(kě)接受的安全風險範圍

數(shù)據安全方案設計(jì)是否有(yǒu)業務部門(mén)參與

目前的數(shù)據安全手段有(yǒu)無能力進行(xíng)有(yǒu)效的風險控制(zhì)

是否有(yǒu)風險控制(zhì)措施有(yǒu)效性的評估手段

數(shù)據安全治理(lǐ)要深入業務流程

數(shù)據安全治理(lǐ)不是一個(gè)IT項目，而是與其他業務線發展同等重要的業務行(xíng)為(wèi)，與業務流程改進一樣，是能夠為(wèi)企業良性發展提供有(yǒu)力保障的戰略行(xíng)為(wèi)，或者說數(shù)據安全其實是企業業務的一個(gè)組成部分，而不僅是技(jì)術(shù)支撐。

因此，在應用大(dà)家(jiā)耳熟能詳的各種安全技(jì)術(shù)和(hé)機制(zhì)之前，首先需要做(zuò)的是了解企業安全戰略，梳理(lǐ)業務流程、梳理(lǐ)關鍵數(shù)據、梳理(lǐ)信息和(hé)數(shù)據流、确立權責關系、确立數(shù)據權限、功能權限和(hé)角色權限。通(tōng)過梳理(lǐ)業務流程和(hé)其中的關鍵數(shù)據，進行(xíng)威脅建模，有(yǒu)助于建立對應的數(shù)據安全治理(lǐ)措施和(hé)制(zhì)定相關的可(kě)接受風險承受範圍。在一款新産品上(shàng)市過程中，涉及從戰略制(zhì)定到售後支持等近10個(gè)業務階段和(hé)信息化系統，數(shù)十種不同的關鍵敏感數(shù)據，不同的數(shù)據丢失可(kě)能都會(huì)給新産品的拓展帶來(lái)威脅，比如戰略決策、拓展計(jì)劃等文件洩露會(huì)遭到競争對手的提前狙擊，供應商、采購價、配方、設計(jì)圖等信息洩露會(huì)導緻競争對手控制(zhì)原材料采購價或直接複制(zhì)産品等等。

同樣地，在跨系統和(hé)業務部門(mén)間(jiān)持續流轉的數(shù)據，根據業務功能的不同有(yǒu)對應的安全需求。業務活動類别的業務屬性為(wèi)業務功能，邏輯位置，責任追究屬性，非常态使用屬性。每種概念的安全需求都要從保密性，完整性，可(kě)用性，不可(kě)抵賴性等安全屬性進行(xíng)分析。數(shù)據對象的業務屬性決定了其安全屬性，需要根據安全屬性确定安全需求，根據安全需求實施安全控制(zhì)。比如業務功能決定了業務活動的重要級别和(hé)保密性，關聯程度越高(gāo)數(shù)據可(kě)用性和(hé)完整性要求越高(gāo)，責任追究屬性要求數(shù)據的使用記錄不可(kě)篡改等等。

由于企業內(nèi)部系統的互通(tōng)性和(hé)複雜性，要求對于數(shù)據的安全保護，必須進入到業務流程中。企業還(hái)需要對結構化和(hé)非結構化數(shù)據進行(xíng)分别保護，根據其所處的位置和(hé)形式進行(xíng)分類劃分，以及根據重要程度進行(xíng)分級(要有(yǒu)密級标識)，對不同位置、不a同形式和(hé)不同級别的數(shù)據實行(xíng)不同的保護策略。比如未經審批授權無法将數(shù)據導出;帶出工作(zuò)環境需要将數(shù)據加密處理(lǐ);不同類别的商業秘密文檔，需要按部門(mén)、項目組、用戶名的方式設置細粒度使用權限，且應給予最小(xiǎo)權限等等。

小(xiǎo)結

在數(shù)字化轉型的大(dà)背景下，企業需要将數(shù)據安全治理(lǐ)與企業架構相結合，形成一個(gè)從上(shàng)而下的整體(tǐ)框架，形成包括治理(lǐ)前提，具體(tǐ)目标和(hé)技(jì)術(shù)支撐在內(nèi)的完整體(tǐ)系，當然，數(shù)據安全治理(lǐ)也不宜冒進，需要确保業務需求與風險控制(zhì)有(yǒu)良好的平衡，在保障業務發展和(hé)業務敏捷度之間(jiān)找到一個(gè)合理(lǐ)的度，才能有(yǒu)效推進數(shù)據安全治理(lǐ)進程，實現有(yǒu)效護航企業數(shù)字化轉型。

轉自it常青樹(shù)