探寻合规之道,共筑数据保障之堡。专注为数据安全管理者、技术专家、隐私法务、律师等专业人士打造的知识共享与交流平台。
点击 "合规社" > 点击右上角“···” > 设为星标⭐
■作者:Smart
■编辑:王贤智
——《数据守望》专栏
IT领域从业近20年,经历着信息系统的变迁,最近3-4年变化尤为明显。一是数字化转型的出现,大量信息系统进行整合、业务流程再改造,通过数据更好的服务企业业务和管理;二是数据要素的提出,数据要素X和数据入表等事项成为热点,很多企业都在盘点数据资源,挖掘数据的价值,数据即业务的信息系统增加明显。三是近些年国内外对数据安全和个人信息的监管加码,从欧洲GDPR的长臂管辖、全球营业额的巨额罚款,到我们国家三部上位法《网络安全法》、《数据安全法》、《个人信息保护法》的颁布和实施,对数据监管上升到新的高度,监管的颗粒度变细,因数据安全造成小额罚单越来越多,形成较大社会影响力,作为承载数据的系统、APP、小程序等成为监管重点。
最近两年开始接触“数据加工处理、数据服务类”项目,从传统以“业务为功能”的信息系统逐步过度到以“数据即业务”的新型信息系统,察觉到安全合规岗位变得重要起来,对这个岗位有一些新理解,供参考。
在2008年建设机房时提供物理场地空间,网络出口机房统一建设,除此之外各个业务系统的服务商配套提供各自机柜、网络设备(防火墙、负载均衡)、服务器和应用软件等内容,导致早期机房内,服务器机柜都是各式各样、网络走线也不规范,作为IT服务商从头到尾承接的内容较多,需要整合各方资源。
记得在2013年开始提出IT基础设施集约化建设思路,建设一些数据中心和云基础设施。开始推动系统上云,办公支撑类系统作为小白鼠优先上云,再逐步考虑业务系统上云。
机房的建设思路开始集中化和规范化,由IDC提供统一机柜、统一网络走线,统一PC服务器。IT服务商不再需要建设基础设施,通过云IAAS申请虚拟服务器、网络、存储,关注重心在应用部署、业务联调测试和应用安全。
(1)一个业务需求一个信息系统
关于信息系统的痛点有两个核心词汇必须提及:“烟囱式、数据孤岛”。系统之间缺少交互,数据各自留存,缺少数据打通和数据的关联分析。
早期阶段一个业务需求就配套建设一个信息系统,比如企业门户、办公OA、HR、邮箱、CRM等都是一个个单独的系统。系统的建设需求落到具体的业务部门,每个信息系统的建设配套硬件、软件及安全措施等,应用开发商、硬件设备商和安全厂商等因为大大小小系统非常多,每个IT服务商多少都能分一杯羹。
记得2019年某运营商统计全网信息系统数量时,全集团系统超过10000个,那时网络安全的重心就是保护网络和信息系统。如何管理好这1万个系统的安全,有哪些安全工作和合规工作需要开展?实际工作中通过“专项活动”推进,分批覆盖管理系统,难度极大,后来提出“大量缩减系统”,清除三无七边系统,缩小互联网暴露面,减少被攻击的风险。
图1:”三无七边“系统范畴
(2)数字化改造与业务整合
数字转化型中提出“以数据为核心”,数据流转到哪里,配套的系统支撑到哪里。
以前运营商通过“三无七边”清理无效系统,但数字化转型情形下,原来企业各个部门、各个中心建设的老旧系统下线停用,即使正在使用的系统也需要内部整合,企业强调业务流程再改造,通过建设大数据平台、数据中台方式,将企业所有数据汇聚起来,统一提供数据服务,集中新建设超级大平台。
数字化转型已经成为一个不可逆转的趋势,它关乎企业的未来竞争力和生存能力。虽然转型本身不容易,成功也并非必然,但停滞不前、拒绝变革则无异于自我放弃,不进行数字化转型,就可能面临被淘汰的风险。
很多企业开始建设自有机房环境或外部租用IDC机房,搭建企业的私有云,形成企业内部IT基础实施(或数据中心)。在搭建基础设施时,涉及的网络安全、数据安全相关的安全能力进行统一建设,而且大部分都在项目第一期内就统筹建设完毕,如像网络流量分析、态势感知、DDOS、日志分析、漏洞扫描等能力,这类安全能力作为基础能力,适合企业集约化建设,提供所有系统共同使用。
上述趋势导致企业的信息系统数量锐减,很多数字化方式就是在一个超级大平台上装载很多业务子系统,因此出现了信息系统的综合集成商,他们的话语权在增强。
以前的对接路径是各类IT服务商直接对接各部门进行项目建设。现在对接路径是各类服务商对接项目总集成商,总集成商对接甲方企业,出现问题时,甲方企业只对接总集成商,形式上更加精简,职责界限更加清晰,总集成商再统筹调动各服务商解决问题。
IT基础环境的集约化建设,让业务系统和IT环境的分工界面逐渐清晰,其中网络安全通用能力和业务系统的业务安全、应用安全也逐步分离。
基础安全能力(防护和检测)由企业基础设施部门(或IT部门)统一提供,业务系统的安全人员负责相关漏洞整改,重点关心数据安全。
实际商安全工作不能做到真正的切割,只是安全岗位工作分工更加清晰,相反数据安全是整体性的安全,底层是网络安全解决边界的安全,做好从内到外的防护;外围是数字身份安全,解决人或应用访问数据的身份识别和访问授权;应用内部是业务逻辑安全和应用安全。
此外,我们在探讨数据安全需要结合实际场景开展,像办公场景安全、研发场景、远程运维场景等也可能直接影响业务系统的数据安全,任何一个环境的疏漏都可能造成数据泄漏和数据滥用问题。
信息系统的集约化建设,IT基础设施和通用安全完全符合“云计算”最早提出的理念,像公共设施的“水和电”一样,随用随结算,按量计费,用多少算多少。涉及上云系统的通用安全能力,只需要通过“勾选”方式购买,像安全扫描、安全防护能力变得简便,涉及网络安全岗位、网络管理相关岗位需求量下降明显。
与此相反,随着数据要素价值的显现和安全监管加码,关于数据合规、安全合规方面的工作开始增多,他们典型的一些工作事项:
(1)配合外部监管的各类安全检查;
(2)企业内部开展各类安全合规、评估和审计等;
(3)企业内部各类合规事项的应对(等保测评、密码测评、安全测评等);
(4)企业内部各类安全资质的认证与审核等。
这类工作不需要技术能力很强,核心能力是对安全合规要求的理解,熟悉各类检查、评估等安全工作的流程和落地实施步骤,有点像之前信息安全岗位的工作内容,但内容又更加丰富和重要。
此外,安全合规工作需要接触业务、了解系统,对接监管单位、接触企业内部的法务、数据合规、数据开发等多岗位角色,是一个综合性很强的岗位。
企业侧对“安全合规+数据合规”类的工作岗位需求将明显增多,对于企业的价值逐渐增加,它偏向安全管理类的岗位,需要整体把企业安全合规重要事项梳理清楚、组织实施,涉及技术部分可以调用企业专业人员实现,也可引入外部安全服务。
面对数字化转型、数据要素、人工智能等新兴趋势,我们应保持一定敏锐的洞察力,主动感受这些细腻的变化。个人层面上,主动接触一些相对较新的业务领域,进行转型和储备,有助于我们拓宽视野,也为我们的职业发展提供了新的可能性。
然而,对于大多数普通人来说,我们也不应过于激进,盲目追求那些热门但尚未成熟的技术概念,如区块链、量子计算等。这些新兴领域虽然充满潜力,但也需要时间来验证和成熟。
合理分配时间和精力,一方面要扎实做好基础工作,积累通用知识,另一方面也要适度探索新型业务形态,保持好奇心,多尝试那些能够带来新经验的工作,这将有助于我们在不断变化中保持核心竞争力。
上述仅代表个人观点,供参考!
No.016
「 数据合规知识星球 」是一个专注于数据安全和个人信息保护的资源和知识集散地。星球提供图解PPT、行业解决方案、数据安全合规管理制度模板、评估工具及评估报告模板、监管政策及标准汇编整理等,帮助组织或个人理解并遵守数据安全合规的法律法规,促进操作和业务流程的安全合规。
550+次内容更新 1100份+干货文件不限下载 310+律师、法务合规、数据保护、安全人员共同选择
⬇️⬇️⬇️
310+律师、法务合规、数据保护、安全人员共同选择
⬇️⬇️⬇️
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...