亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

Gartner:企業(yè)對數(shù)據(jù)安全的投資如何更貼近業(yè)務(wù)需求?

責編:gltian |2022-11-09 11:14:03

隨著我國《數(shù)據(jù)安全法》和《個人信息保護法》的正式頒布施行,數(shù)據(jù)安全與隱私保護問題越來越引起國家、社會以及企業(yè)的重視。國內(nèi)很多企業(yè)在數(shù)據(jù)安全方面的投資,逐漸從過去的事件驅(qū)動轉(zhuǎn)換到當下的合規(guī)驅(qū)動。過去企業(yè)會因為發(fā)生了重大的數(shù)據(jù)泄漏或被勒索事件之后才會考慮采購安全產(chǎn)品及服務(wù)或者開展員工安全意識培訓,到現(xiàn)在開始采用一種有組織、有序的方式進行合規(guī)建設(shè)從而滿足國內(nèi)的監(jiān)管需求,然而,Gartner認為滿足合規(guī)要求是數(shù)據(jù)安全工作的底線、不是最終目的,最終數(shù)據(jù)安全的投資需要反映到對業(yè)務(wù)產(chǎn)生的價值。中國數(shù)據(jù)安全的發(fā)展趨勢,將從以事件與合規(guī)驅(qū)動投資發(fā)展成以業(yè)務(wù)驅(qū)動的安全投資。

現(xiàn)實中,CIO也經(jīng)常會被公司內(nèi)部的經(jīng)營管理層或是董事會質(zhì)疑:“我們做的這些數(shù)據(jù)安全投資,究竟能替企業(yè)帶來多少業(yè)務(wù)的價值?”

如何讓數(shù)據(jù)安全的投資更貼近業(yè)務(wù)的需求?針對這一問題,Gartner研究總監(jiān)陳延全作出了如下解讀。

Gartner預測:到2025年,國內(nèi)60%以上企業(yè)機構(gòu)的董事會,將把網(wǎng)絡(luò)安全風險視為一種業(yè)務(wù)風險。這個趨勢,會幫助我們把網(wǎng)絡(luò)安全投資以及數(shù)據(jù)安全投資從合規(guī)性驅(qū)動轉(zhuǎn)換成業(yè)務(wù)驅(qū)動。但是要達到這一步,首先安全部門需要跟業(yè)務(wù)數(shù)據(jù)使用的參與方建立一個共同理解,就是:數(shù)據(jù)對于安全部門以及業(yè)務(wù)部門是有不同意義的。因為大家看待數(shù)據(jù)的視角不同,導致安全部門和業(yè)務(wù)部門對于數(shù)據(jù)的分類、管理及風險評估采用不同的方法。

Gartner研究總監(jiān)陳延全表示,現(xiàn)在國內(nèi)有很多不同的數(shù)據(jù)風險評估合規(guī)要求,我們把使用數(shù)據(jù)過程中涉及到的風險分為三大類,自下而上包含:數(shù)據(jù)/隱私風險,業(yè)務(wù)風險,以及業(yè)務(wù)風險最終會給企業(yè)帶來的財務(wù)風險。大部分企業(yè)在做“數(shù)據(jù)風險評估”通常最關(guān)注底層的數(shù)據(jù)/隱私風險,為了滿足相關(guān)監(jiān)管要求,把通過自評估的工作流程如數(shù)據(jù)安全風險自評估、數(shù)據(jù)出境自評估或者隱私影響評估發(fā)現(xiàn)的“不合規(guī)項”直接做處置。

Gartner認為企業(yè)不管是在做數(shù)據(jù)風險評估或者是做風險處置優(yōu)先級排序的時候,除了考慮數(shù)據(jù)/隱私風險外,還需要同時考慮業(yè)務(wù)風險和財務(wù)風險。比如:企業(yè)在做風險評估時,識別出一系列數(shù)據(jù)/隱私風險,Gartner建議客戶透過一些工具、方法、流程,將這些數(shù)據(jù)的風險映射到對于業(yè)務(wù)部門的影響,再基于這些業(yè)務(wù)影響去量化財務(wù)風險。這樣,當企業(yè)在做風險處置優(yōu)先級排序的時候,就可以采取由上至下的思路,挑選出能夠最大程度降低企業(yè)的財務(wù)風險優(yōu)先處治它,就不單只是考慮合規(guī)的需求、同時也考慮業(yè)務(wù)的需求。

image001

在完成以上分析的基礎(chǔ)上,企業(yè)可以通過風險、價值、成本的模型去優(yōu)化未來的數(shù)據(jù)安全投資策略組合,讓數(shù)據(jù)安全投資更貼近業(yè)務(wù)的訴求。

image002

Gartner今年發(fā)布了一份報告,指導客戶如何去采取這些步驟,去分析和調(diào)整企業(yè)的數(shù)據(jù)安全投資方向,以及和業(yè)務(wù)部門簽訂《數(shù)據(jù)保護等級協(xié)議》。業(yè)務(wù)部門作為數(shù)據(jù)的擁有者、使用方,即便數(shù)據(jù)安全成本不一定由他們承擔,但是最終數(shù)據(jù)保護的級別應(yīng)該是由數(shù)據(jù)資產(chǎn)的擁有方來決定。對于數(shù)據(jù)的安全保護,不只是安全部門,業(yè)務(wù)部門的參與也非常重要。

image003

上一篇:關(guān)注!2022年度賽可達優(yōu)秀產(chǎn)品獎評選正式啟動

下一篇:數(shù)字工業(yè) 彈性安全丨Fortinet邀您齊聚OT安全峰會