數(shù)據(jù)的共享和開放(以下簡稱數(shù)據(jù)開放)是很多企業(yè)關(guān)注的問題，但頗有“一管就死，一放就亂“的特征，隨著國家在安全方面的法律法規(guī)相繼出臺，“嚴管”成為了很多企業(yè)的主旋律，但“嚴管”不是亂管，我們還是要需要基于底線思維(在遵守國家相關(guān)法律法規(guī)的前提下)，盡量做到數(shù)據(jù)安全和效率的平衡，這里有九個策略供你參考!

策略一：原則制定

公司應該制定數(shù)據(jù)管理政策，明確一些基本原則，大家要對此達成共識，這些共識是安全和效率最終能達成平衡的基礎，比如以下三條：

• 第一，數(shù)據(jù)是公司的戰(zhàn)略資產(chǎn)，不是部門的私有資產(chǎn)，這可以防止部門私自對數(shù)據(jù)共享和開放建章立制。
• 第二，數(shù)據(jù)應在滿足必要的信息安全的前提下充分共享并明確服務承諾，數(shù)據(jù)產(chǎn)生部門不得拒絕或延緩跨領(lǐng)域的數(shù)據(jù)開放需求。
• 第三，數(shù)據(jù)需要實施分層分級的管控策略，比如敏感數(shù)據(jù)安全優(yōu)先，非敏感數(shù)據(jù)效率優(yōu)先。

策略二：組織保障

要成立企業(yè)級的數(shù)據(jù)管理組織，統(tǒng)籌解決數(shù)據(jù)安全開放的問題，很多數(shù)據(jù)開放問題其實不是安全問題，而是溝通層級太多導致的信息不對稱問題，或者是小鬼當家導致的胡亂決策的問題，當需求方和安全方在企業(yè)數(shù)據(jù)管理組織的安排下湊在一張桌子上打麻將的時候，問題就解決了一半。

策略三：制度約束

數(shù)據(jù)要素成為生產(chǎn)要素后，企業(yè)要加強涉及限制數(shù)據(jù)開放相關(guān)制度和規(guī)范的審核和發(fā)布，至少要加強管理，源頭問題不解決，下游再怎么努力都是事倍功半。

在這個方面要向政府學一學，比如浙江省政府在發(fā)布《浙江省公共數(shù)據(jù)開放與安全管理暫行辦法》的時候，廣泛征求了各方意見(包括大量企業(yè))，而且這個辦法還是暫行的。

但很多企業(yè)相關(guān)辦法的下發(fā)往往忽略基層的聲音，甚至不征求意見，利益部門只講辦法帶來的好處，忽略辦法的負面作用或者不知道對企業(yè)有什么全局的影響，一旦執(zhí)行很容易影響生產(chǎn)經(jīng)營，一線越是強調(diào)執(zhí)行力，受到的影響就越大。

數(shù)字化時代到來后，企業(yè)成立數(shù)據(jù)治理委員會來進行制衡很有必要，至少要有專業(yè)的組織對涉及影響數(shù)據(jù)開放的制度規(guī)范進行審核。

策略四：認知統(tǒng)一

數(shù)據(jù)開放的概念沒有標準定義，安全方很容易把所有的數(shù)據(jù)流動都等同數(shù)據(jù)開放，各種法律法規(guī)的相繼出臺也會讓安全方過度解讀，打造一部公司級的數(shù)據(jù)開放管理辦法是有必要的，至少要明確數(shù)據(jù)開放的定義，范圍等等，大家必須在同樣的語境下溝通和協(xié)作，否則雞同鴨講沒有妥協(xié)的余地。

比如“在匯聚各領(lǐng)域數(shù)據(jù)的基礎上，通過數(shù)據(jù)湖向公司內(nèi)部各部門提供可機器讀取、可再利用和分發(fā)的數(shù)據(jù)的服務”這種數(shù)據(jù)開放定義，就澄清了很多事情，開放主體是數(shù)據(jù)湖管理部門，開放對象是公司內(nèi)部各部門和下屬單位，開放內(nèi)容是可機器讀取、可再利用和分發(fā)的數(shù)據(jù)，不包含報表指標、洞察分析等數(shù)據(jù)應用和生產(chǎn)系統(tǒng)之間的數(shù)據(jù)服務調(diào)用。

策略五：流程優(yōu)化

企業(yè)為實現(xiàn)價值創(chuàng)造，從輸入客戶要求開始到交付產(chǎn)品及服務給客戶獲得客戶滿意并實現(xiàn)企業(yè)自身價值的E2E(端對端)業(yè)務過程就是業(yè)務流程，適配業(yè)務流的流程會帶來價值提升，是優(yōu)秀作業(yè)實踐的總結(jié)和固化，推廣流程的目的是讓不同團隊執(zhí)行流程時獲得成功的可復制性。

現(xiàn)實中數(shù)據(jù)開放的安全要求都是靠通過增加人工安全審核的環(huán)節(jié)來實現(xiàn)的，導致了冗長的數(shù)據(jù)開放流程，這需要公司有流程驅(qū)動的基因，要設置數(shù)據(jù)開放的流程CEO，要能進行數(shù)據(jù)開放流程的運營，要能為數(shù)據(jù)開放的流程SLA負責，比如針對不同敏感等級的數(shù)據(jù)設置不同的開放流程(直接開放、可控開放和嚴控開放)來提升開放效率。

策略六：事后審計

數(shù)據(jù)開放經(jīng)常面臨多重審批的要求，這導致了冗長的數(shù)據(jù)開放時間和不確定的數(shù)據(jù)開放SLA，但很多安全審批環(huán)節(jié)的設置是遵循慣例、或者是形式上的需要，因此將審批由事前審批改為事后稽核或?qū)徲嬍且环N兼顧安全和效率的方法。

SOX審計就是如此吧，為了完美控制風險當然最好是全部事前控制，但大家都知道這樣做是不現(xiàn)實的，因為公司耗不起，現(xiàn)在數(shù)據(jù)開放流程耗得起只在于企業(yè)對數(shù)據(jù)開放還不夠重視。

策略七：考核約束

為了達到全局最優(yōu)，安全部門的KPI不僅要包括安全指標，也要包括數(shù)據(jù)開放的效率指標，比如數(shù)據(jù)直接開放的比例、數(shù)據(jù)開放的時長等等，這樣數(shù)據(jù)需求方、數(shù)據(jù)安全方、數(shù)據(jù)提供方才會共同努力給出兼顧多方利益的解決方案，達到數(shù)據(jù)開放的納什均衡，如果僅有一方使力，平衡是不可能達到的。

策略八：數(shù)字驅(qū)動

要將數(shù)據(jù)安全治理貫穿數(shù)據(jù)全生命周期，實現(xiàn)用數(shù)字化手段破解安全與效率之間的結(jié)構(gòu)性矛盾，以流程的數(shù)字化為例，通過數(shù)據(jù)的敏感等級數(shù)字化(比如將全量數(shù)據(jù)劃分為低敏感，較敏感，敏感，極敏感)，數(shù)據(jù)安全審批規(guī)則的數(shù)字化(比如規(guī)定低敏感等級可直接訂閱)等手段，可以逐步實現(xiàn)數(shù)據(jù)開放流程的自動化。

策略九：價值導向

在數(shù)字化的背景下，企業(yè)要加強數(shù)據(jù)的應用，盡快發(fā)揮出數(shù)據(jù)的價值，當數(shù)據(jù)創(chuàng)造的效益已經(jīng)對公司有很大影響的時候，會有更多的人為數(shù)據(jù)安全和效益的平衡出謀劃策，所有的資源都會向有價值的事情傾斜。

比如當年大數(shù)據(jù)價值變現(xiàn)起步的時候，安全是最大的反對方，至于業(yè)務能不能成功是其次，但當大數(shù)據(jù)價值變現(xiàn)規(guī)?；臅r候，安全更多時候成了合作伙伴，會幫助評估如何在安全的前提下做成，談判的底蘊還是實力，你覺得被安全搞得很難受，那是因為還不夠強。

有人會說，這些策略在我的企業(yè)很難執(zhí)行。的確是的，一方面，容易的事情大都被做完了，另一方面是時機未到，需要點運氣。但無論如何，我們至少要提前知道這些道理，這樣在機會出現(xiàn)的時候才能頂?shù)蒙先ァ?/p>