數(shù)據(jù)的共享和開放(以下簡稱數(shù)據(jù)開放)是很多企業(yè)關(guān)注的問題，但頗有“一管就死，一放就亂“的特征，隨著國家在安全方面的法律法規(guī)相繼出臺(tái)，“嚴(yán)管”成為了很多企業(yè)的主旋律，但“嚴(yán)管”不是亂管，我們還是要需要基于底線思維(在遵守國家相關(guān)法律法規(guī)的前提下)，盡量做到數(shù)據(jù)安全和效率的平衡，這里有九個(gè)策略供你參考!

策略一：原則制定

公司應(yīng)該制定數(shù)據(jù)管理政策，明確一些基本原則，大家要對(duì)此達(dá)成共識(shí)，這些共識(shí)是安全和效率最終能達(dá)成平衡的基礎(chǔ)，比如以下三條：

• 第一，數(shù)據(jù)是公司的戰(zhàn)略資產(chǎn)，不是部門的私有資產(chǎn)，這可以防止部門私自對(duì)數(shù)據(jù)共享和開放建章立制。
• 第二，數(shù)據(jù)應(yīng)在滿足必要的信息安全的前提下充分共享并明確服務(wù)承諾，數(shù)據(jù)產(chǎn)生部門不得拒絕或延緩跨領(lǐng)域的數(shù)據(jù)開放需求。
• 第三，數(shù)據(jù)需要實(shí)施分層分級(jí)的管控策略，比如敏感數(shù)據(jù)安全優(yōu)先，非敏感數(shù)據(jù)效率優(yōu)先。

策略二：組織保障

要成立企業(yè)級(jí)的數(shù)據(jù)管理組織，統(tǒng)籌解決數(shù)據(jù)安全開放的問題，很多數(shù)據(jù)開放問題其實(shí)不是安全問題，而是溝通層級(jí)太多導(dǎo)致的信息不對(duì)稱問題，或者是小鬼當(dāng)家導(dǎo)致的胡亂決策的問題，當(dāng)需求方和安全方在企業(yè)數(shù)據(jù)管理組織的安排下湊在一張桌子上打麻將的時(shí)候，問題就解決了一半。

策略三：制度約束

數(shù)據(jù)要素成為生產(chǎn)要素后，企業(yè)要加強(qiáng)涉及限制數(shù)據(jù)開放相關(guān)制度和規(guī)范的審核和發(fā)布，至少要加強(qiáng)管理，源頭問題不解決，下游再怎么努力都是事倍功半。

在這個(gè)方面要向政府學(xué)一學(xué)，比如浙江省政府在發(fā)布《浙江省公共數(shù)據(jù)開放與安全管理暫行辦法》的時(shí)候，廣泛征求了各方意見(包括大量企業(yè))，而且這個(gè)辦法還是暫行的。

但很多企業(yè)相關(guān)辦法的下發(fā)往往忽略基層的聲音，甚至不征求意見，利益部門只講辦法帶來的好處，忽略辦法的負(fù)面作用或者不知道對(duì)企業(yè)有什么全局的影響，一旦執(zhí)行很容易影響生產(chǎn)經(jīng)營，一線越是強(qiáng)調(diào)執(zhí)行力，受到的影響就越大。

數(shù)字化時(shí)代到來后，企業(yè)成立數(shù)據(jù)治理委員會(huì)來進(jìn)行制衡很有必要，至少要有專業(yè)的組織對(duì)涉及影響數(shù)據(jù)開放的制度規(guī)范進(jìn)行審核。

策略四：認(rèn)知統(tǒng)一

數(shù)據(jù)開放的概念沒有標(biāo)準(zhǔn)定義，安全方很容易把所有的數(shù)據(jù)流動(dòng)都等同數(shù)據(jù)開放，各種法律法規(guī)的相繼出臺(tái)也會(huì)讓安全方過度解讀，打造一部公司級(jí)的數(shù)據(jù)開放管理辦法是有必要的，至少要明確數(shù)據(jù)開放的定義，范圍等等，大家必須在同樣的語境下溝通和協(xié)作，否則雞同鴨講沒有妥協(xié)的余地。

比如“在匯聚各領(lǐng)域數(shù)據(jù)的基礎(chǔ)上，通過數(shù)據(jù)湖向公司內(nèi)部各部門提供可機(jī)器讀取、可再利用和分發(fā)的數(shù)據(jù)的服務(wù)”這種數(shù)據(jù)開放定義，就澄清了很多事情，開放主體是數(shù)據(jù)湖管理部門，開放對(duì)象是公司內(nèi)部各部門和下屬單位，開放內(nèi)容是可機(jī)器讀取、可再利用和分發(fā)的數(shù)據(jù)，不包含報(bào)表指標(biāo)、洞察分析等數(shù)據(jù)應(yīng)用和生產(chǎn)系統(tǒng)之間的數(shù)據(jù)服務(wù)調(diào)用。

策略五：流程優(yōu)化

企業(yè)為實(shí)現(xiàn)價(jià)值創(chuàng)造，從輸入客戶要求開始到交付產(chǎn)品及服務(wù)給客戶獲得客戶滿意并實(shí)現(xiàn)企業(yè)自身價(jià)值的E2E(端對(duì)端)業(yè)務(wù)過程就是業(yè)務(wù)流程，適配業(yè)務(wù)流的流程會(huì)帶來價(jià)值提升，是優(yōu)秀作業(yè)實(shí)踐的總結(jié)和固化，推廣流程的目的是讓不同團(tuán)隊(duì)執(zhí)行流程時(shí)獲得成功的可復(fù)制性。

現(xiàn)實(shí)中數(shù)據(jù)開放的安全要求都是靠通過增加人工安全審核的環(huán)節(jié)來實(shí)現(xiàn)的，導(dǎo)致了冗長的數(shù)據(jù)開放流程，這需要公司有流程驅(qū)動(dòng)的基因，要設(shè)置數(shù)據(jù)開放的流程CEO，要能進(jìn)行數(shù)據(jù)開放流程的運(yùn)營，要能為數(shù)據(jù)開放的流程SLA負(fù)責(zé)，比如針對(duì)不同敏感等級(jí)的數(shù)據(jù)設(shè)置不同的開放流程(直接開放、可控開放和嚴(yán)控開放)來提升開放效率。

策略六：事后審計(jì)

數(shù)據(jù)開放經(jīng)常面臨多重審批的要求，這導(dǎo)致了冗長的數(shù)據(jù)開放時(shí)間和不確定的數(shù)據(jù)開放SLA，但很多安全審批環(huán)節(jié)的設(shè)置是遵循慣例、或者是形式上的需要，因此將審批由事前審批改為事后稽核或?qū)徲?jì)是一種兼顧安全和效率的方法。

SOX審計(jì)就是如此吧，為了完美控制風(fēng)險(xiǎn)當(dāng)然最好是全部事前控制，但大家都知道這樣做是不現(xiàn)實(shí)的，因?yàn)楣竞牟黄?，現(xiàn)在數(shù)據(jù)開放流程耗得起只在于企業(yè)對(duì)數(shù)據(jù)開放還不夠重視。

策略七：考核約束

為了達(dá)到全局最優(yōu)，安全部門的KPI不僅要包括安全指標(biāo)，也要包括數(shù)據(jù)開放的效率指標(biāo)，比如數(shù)據(jù)直接開放的比例、數(shù)據(jù)開放的時(shí)長等等，這樣數(shù)據(jù)需求方、數(shù)據(jù)安全方、數(shù)據(jù)提供方才會(huì)共同努力給出兼顧多方利益的解決方案，達(dá)到數(shù)據(jù)開放的納什均衡，如果僅有一方使力，平衡是不可能達(dá)到的。

策略八：數(shù)字驅(qū)動(dòng)

要將數(shù)據(jù)安全治理貫穿數(shù)據(jù)全生命周期，實(shí)現(xiàn)用數(shù)字化手段破解安全與效率之間的結(jié)構(gòu)性矛盾，以流程的數(shù)字化為例，通過數(shù)據(jù)的敏感等級(jí)數(shù)字化(比如將全量數(shù)據(jù)劃分為低敏感，較敏感，敏感，極敏感)，數(shù)據(jù)安全審批規(guī)則的數(shù)字化(比如規(guī)定低敏感等級(jí)可直接訂閱)等手段，可以逐步實(shí)現(xiàn)數(shù)據(jù)開放流程的自動(dòng)化。

策略九：價(jià)值導(dǎo)向

在數(shù)字化的背景下，企業(yè)要加強(qiáng)數(shù)據(jù)的應(yīng)用，盡快發(fā)揮出數(shù)據(jù)的價(jià)值，當(dāng)數(shù)據(jù)創(chuàng)造的效益已經(jīng)對(duì)公司有很大影響的時(shí)候，會(huì)有更多的人為數(shù)據(jù)安全和效益的平衡出謀劃策，所有的資源都會(huì)向有價(jià)值的事情傾斜。

比如當(dāng)年大數(shù)據(jù)價(jià)值變現(xiàn)起步的時(shí)候，安全是最大的反對(duì)方，至于業(yè)務(wù)能不能成功是其次，但當(dāng)大數(shù)據(jù)價(jià)值變現(xiàn)規(guī)?；臅r(shí)候，安全更多時(shí)候成了合作伙伴，會(huì)幫助評(píng)估如何在安全的前提下做成，談判的底蘊(yùn)還是實(shí)力，你覺得被安全搞得很難受，那是因?yàn)檫€不夠強(qiáng)。

有人會(huì)說，這些策略在我的企業(yè)很難執(zhí)行。的確是的，一方面，容易的事情大都被做完了，另一方面是時(shí)機(jī)未到，需要點(diǎn)運(yùn)氣。但無論如何，我們至少要提前知道這些道理，這樣在機(jī)會(huì)出現(xiàn)的時(shí)候才能頂?shù)蒙先ァ?/p>