開發十年，就只剩下這套架構體系了！ >>>   

數字化轉型涉及對企業和組織如何利用新技術追求新收入或新商業模式的徹底反思，還需要跨部門協作，把專注於業務的理念與面向未來的IT技術配合起來。成功的企業數字化轉型不僅是通過資訊和數字化技術重塑企業核心業務，還要具備配套的資料安全能力，以讓數字化轉型後的企業在資料時代持續“活下去”。

企業架構與安全是數字化轉型的基礎需求

數字化轉型主要的意義是一個公司無論從流程、產品設計都要基於大資料、雲端計算的架構來為企業業務發展制定方向。很多企業管理者會認為IT只是輔助業務發展的工具，但在大資料時、雲端計算和人工智慧時代，IT是生產力的重要組成部分。同時，數字化正在進入深水區，製造業、服務業等傳統意義上的非資料密集型行業開始產生海量的資料，更不用說原本就是“數字企業”的金融、網際網路、教育等等行業，毋庸置疑，資料已經成為各行各業的基本生產要素之一。

事實上，如果不先打破IT和業務之間的隔閡，數字化轉型就根本無法開始。正因為這樣，企業架構才成為數字化轉型的兩大基礎需求之一，也是企業在籌劃轉型前的必修課。通過對企業戰略、組織、職能、業務流程、IT系統、資料、網路部署等的完整、一體化描述，明確企業業務的狀況，體現業務與IT的對映關係，明確各類IT設施對業務的支撐關係，從而構建穩健的企業資訊系統架構，實現資料共享、模組整合、業務協同，滿足未來不斷變化的業務需求。

隨著煙囪似的資訊化逐漸破除，資訊系統間開始打通、共享、協同，資料時代的重要生產要素—資料也開始在企業內部快速流轉，直至“失控”。由於在完成數字化轉型後，所有的企業都將變成數字型企業，業務也將數字化，被“萃取”出更高的價值，一切的資產都將以資料的形式呈現，傳統的裝置也將變為聯網裝置持續線上，接收資訊指令的控制。如果不在轉型過程中把資料安全作為基礎需求，企業管理者恐將在日後的數字化業務大發展的時候惴惴不安。

用企業架構的模式思考資料安全治理

企業架構是對真實世界企業的業務流程和IT設施的抽象描述，通過分析企業業務戰略導向、企業組織與流程、資訊化需求、企業業務能力與業務模式來確定業務架構，進而確定企業的IT架構。企業架構是企業資訊化的頂層設計、完整理念和方法論。

目前資料安全領域普遍存在安全目標與業務目標相脫節、資料安全需求不明確、控制措施是否得當缺乏明確依據等問題。為了確保數字化支撐下的業務的“長治久安”，資料安全治理也需要量身定製，貼合企業業務來進行。因此，資料安全治理絕不僅僅是一個產品或解決方案“套餐”，而是從決策層到技術層，從業務部門到IT部門，從管理制度到技術支撐，自上而下貫穿企業各個部門的完整覆蓋，並且要與其間的各個環節相匹配和適應。企業內的各個層級之間也需要對資料安全治理的目標和宗旨取得如企業架構一般的共識，確保採取合理和適當的方法對資料資產實現有效保護。
體系化地進行資料安全治理，就要走出以往頭痛醫頭腳痛醫腳的安全建設誤區，比如只重視攻防對抗，輕視資料保護;重視單點防禦，缺乏體系建設;重視技術產品，與業務結合差;重視滿足合規，對實效沒有更高要求等一系列問題。

要想做好資料安全治理，首先要自問下面這些問題：

是否有安全效果問責制
誰對資料安全治理具有決策權
有無劃定可接受的安全風險範圍
資料安全方案設計是否有業務部門參與
目前的資料安全手段有無能力進行有效的風險控制
是否有風險控制措施有效性的評估手段

資料安全治理要深入業務流程

資料安全治理不是一個IT專案，而是與其他業務線發展同等重要的業務行為，與業務流程改進一樣，是能夠為企業良性發展提供有力保障的戰略行為，或者說資料安全其實是企業業務的一個組成部分，而不僅是技術支撐。

因此，在應用大家耳熟能詳的各種安全技術和機制之前，首先需要做的是瞭解企業安全戰略，梳理業務流程、梳理關鍵資料、梳理資訊和資料流、確立權責關係、確立資料許可權、功能許可權和角色許可權。通過梳理業務流程和其中的關鍵資料，進行威脅建模，有助於建立對應的資料安全治理措施和制定相關的可接受風險承受範圍。在一款新產品上市過程中，涉及從戰略制定到售後支援等近10個業務階段和資訊化系統，數十種不同的關鍵敏感資料，不同的資料丟失可能都會給新產品的拓展帶來威脅，比如戰略決策、拓展計劃等檔案洩露會遭到競爭對手的提前狙擊，供應商、採購價、配方、設計圖等資訊洩露會導致競爭對手控制原材料採購價或直接複製產品等等。

同樣地，在跨系統和業務部門間持續流轉的資料，根據業務功能的不同有對應的安全需求。業務活動類別的業務屬性為業務功能，邏輯位置，責任追究屬性，非常態使用屬性。每種概念的安全需求都要從保密性，完整性，可用性，不可抵賴性等安全屬性進行分析。資料物件的業務屬性決定了其安全屬性，需要根據安全屬性確定安全需求，根據安全需求實施安全控制。比如業務功能決定了業務活動的重要級別和保密性，關聯程度越高資料可用性和完整性要求越高，責任追究屬性要求資料的使用記錄不可篡改等等。
由於企業內部系統的互通性和複雜性，要求對於資料的安全保護，必須進入到業務流程中。企業還需要對結構化和非結構化資料進行分別保護，根據其所處的位置和形式進行分類劃分，以及根據重要程度進行分級(要有密級標識)，對不同位置、不a同形式和不同級別的資料實行不同的保護策略。比如未經審批授權無法將資料匯出;帶出工作環境需要將資料加密處理;不同類別的商業祕密文件，需要按部門、專案組、使用者名稱的方式設定細粒度使用許可權，且應給予最小許可權等等。

小結

在數字化轉型的大背景下，企業需要將資料安全治理與企業架構相結合，形成一個從上而下的整體框架，形成包括治理前提，具體目標和技術支撐在內的完整體系，當然，資料安全治理也不宜冒進，需要確保業務需求與風險控制有良好的平衡，在保障業務發展和業務敏捷度之間找到一個合理的度，才能有效推進資料安全治理程序，實現有效護航企