半岛.综合体育(中国)官方网站 bandao sports

由“静”到“动”的数据安全风险治理
创建时间:2022-11-11 浏览次数:1336

摘要:动态风险治理(dynamic risk governance,DRG)是一种用于定义风险管理角色和责任这一关键任务的方法。组织通过实施动态风险治理,针对每种风险适当地定制化风险治理,使组织能够更好地管理风险并降低保障成本。

数字化带来新的,快速变化的风险


随着5G、AI、大数据、云计算、区块链、超级融合、数字孪生、元宇宙等新技术的应用,数字经济、数字政府得到了大力发展,同时加快了组织数字化转型进程;组织业务从本地迁移上云、敏捷项目的实施、开源代码的应用、数据流动和开发利用等因素,导致数据风险决策越来越分散,数据泄露、滥用、篡改等数据安全事件越发频繁,企业面临更复杂、具有相互关联的安全风险挑战。

组织数字化转型的实施,传统的风险轨迹和周期性原则变得越来越不重要,因为业务变更可能是颠覆式的,从根本上改变了业务方式,风险是快速变化和互关联的;这使得组织更容易受到网络漏洞和其他数据驱动风险的影响,造成大规模数据泄露。例如随着组织业务的发展,组织采集、存储、处理的个人信息或数据不断增多,数据处理场景越来越丰富,其风险也随之变大,数据泄露后的影响急剧增加。组织需时刻关注更复杂和相互关联的风险变化。

组织依靠三道防线的传统风险治理模型是根据组织职能的决定性作用,而不是根据实际的数据处理活动和谁最适合执行这些活动来划分风险管理责任,同时传统风险治理模型没有明确高级管理层参与以及该模型具有静态的和应急场景下一刀切的性质,使风险和安全职能之间的协调挑战更加严重,已无法抵御组织数字化转型带来的新的,快速变化的风险

传统三道防线风险治理框架

风险由静向动转变,为组织数据安全保驾护航


Gartner 2022年新兴技术成熟度曲线预测动态风险治理(DRG)是构建数字业务的关键组成部分,该框架允许通过动态风险治理将组织战略转化为风险管理。通过让高级管理层决定风险管理在角色和职责方面的组织方式,风险管理可以与战略紧密相连。DRG由四个相互关联的组件组成:

DRG是通过分析适合每个风险的风险治理强度并为它们构建风险RACI矩阵(确定责任和问责机制,选定参考依据,并记录任务完成时应通知的人员)来实现的。定期向高级管理层提交这些报告,以便随着战略或机会的出现而更新。

数字经济时代下的数据安全管理与传统孤岛式数据安全管理模式有着颠覆式的变化;传统孤岛式数据资产属于静态资产,数据在单个系统或组织内部少量流动,可以看着一种静态资产,无法体现数据本身的价值,所面临的风险主要来源于外部攻击业务系统或内部人员泄露;而数据经济时代,5G、大数据、AI、云计算等新技术的应用,数据需要跨系统、跨部门、跨组织流通,数据资产由静态转变为一种动态资产,数据的价值和数据安全风险会随着组织所在行业、经营环境以及组织业务的发展而产生变化,这些变化可能是根本性的,同时数据安全保护的义务也会随着数据的转移而传递。

2020年4月9日,中共中央国务院《关于构建更加完善的要素市场化配置体制机制的意见》,指出数据是继土地、劳动力、资本、技术的第五大生产要素。数据已成为企业核心资产,除了自身应用外,还会涉及本行业数据共享、跨界数据处理(如互联网厂商和传统车企合作等跨界合作)、数据出境处理等,这也增加了数据泄露的风险;不同的数据处理场景,涉及的数据类型、数据敏感等级、数据规模的不同其面临的安全风险影响也不相同;传统风险治理模型是按角色划分,按照同一个风险模型开展风险治理,并且在职能上存在边界,已无法抵御快速变化、增长的安全风险。

由“静”到“动”的风险治理框架打破了职能边界,通过风险和活动而不是按角色分配权力,通过建立了更密切的工作关系,以便在风险发生时迅速处理风险,通过更多的合作,实现及时、协作和高效风险管理。

DRG的实施需要需要考虑风险管理数字化,如通过自动化风险管理平台或数据安全平台实现数据安全风险管理和风险可视化,加快处理风险的协同和处置效率组织将数据集中化管理,持续进行风险分析,并建立组织风险视图,组织高级管理层、各风险责任人可自行跟踪关键的数据安全风险,实现对数据安全风险分析过程的全面治理。同时组织可从外部数据集中提取风险数据,将组织内部数据集和外部数据集整合在一起,创建共享的、不断更新的组织风险视图;内部和外部数据不断应用于风险分析中,风险监测始终是处于动态更新,从而提高组织整体风险意识、风险治理效率。通过删除不必要的任务和请求来获得协作时间,从而加快数据安全风险处置效率,降低成本。

 总  结  


DRG框架的实施,能够帮助组织更加了解组织整体风险状况,组织根据风险偏好和容忍度制定风险治理策略,并针对不同数据处理活动、不同数据类型和敏感等级的风险采取不同的风险治理模型,实现精细化的风险治理。同时使组织高层对风险管理具有整体性的了解,并从战略上推动风险治理;组织各职能部门之间合作会更加密切,组织在商业决策中更具有风险意识。


往期回顾

喜报|半岛.综合体育入口成功通过2022年成都市企业技术中心认定

喜报|半岛.综合体育入口新认定为四川省“专精特新”中小企业

喜报|半岛.综合体育入口荣获“天府铸网2022”网络安全应急演练优秀支撑奖