我們堅信,中國的商協(xié)會未來發(fā)展之路只有一條,那就是-數(shù)據(jù)化、上云。道阻且長,行則將至。按我們搭建的數(shù)據(jù)云商協(xié)會價值體系,盡力用簡潔易懂的文字,持續(xù)輸出我們的思考,并試圖探索落地的方法、具體的操作,這就是《數(shù)據(jù)商會談》。
-- 中科趣商會
作者:馬子業(yè)
工信部新聞發(fā)言人、信息通信管理局局長趙志國20日表示,今年以來已累計完成29萬款A(yù)PP技術(shù)檢測,對1862款違規(guī)APP提出整改要求,公開通報319款整改不到位APP,組織下架了107款拒不整改的APP。在通報的服務(wù)中,包括一些非常著名的企業(yè),因為過分收集客戶信息,同時存在一些數(shù)據(jù)安全的漏洞。這個通告進一步加熱了關(guān)于數(shù)據(jù)安全的話題,這個事情毫無疑問也會引起大家的反思,我的數(shù)據(jù)是安全的嗎?
這個問題反應(yīng)了在數(shù)字化時代所有人都面臨的一個深刻的挑戰(zhàn)。廣義來看,還有國際間是否允許信息自由流動,數(shù)據(jù)所有權(quán)如何確認(rèn),個人信息保護的程度,公共信息如何分享,AI技術(shù)在數(shù)據(jù)安全和保護上帶來的挑戰(zhàn)和機會等等。不過毫無疑問,對于數(shù)據(jù)安全沒有一個簡單的、萬能的答案。
由于數(shù)字化已經(jīng)成為當(dāng)今社會的最大的趨勢,也在成為新基礎(chǔ)設(shè)施的主要支撐,不能泛泛而談。而且數(shù)據(jù)安全絕對不是什么可有可無的事情,它考驗的更多的是一個組織的管理體系的底線,而不是什么可以隨便提高要求的高級玩具。
基于數(shù)字商協(xié)會這個主題,下面只針對商協(xié)會這個特殊組織的需求進行展開。
首先我們要探討一下,什么是商協(xié)會最重要的數(shù)據(jù)資產(chǎn)呢?商協(xié)會最關(guān)心的是什么數(shù)據(jù)的泄露呢?
我們知道,越有歷史的商協(xié)會,越有豐富的文化沉淀,擁有很多的歷史資料,會員也都是各界的翹楚,因此還有強大的人脈關(guān)系,這些毫無疑問是商協(xié)會的重要資產(chǎn)。即使是新成立的協(xié)會,也會匯集相當(dāng)一批有理想,有共同追求的企業(yè)和賢達,僅僅這些剛剛聚集在一起的企業(yè)和個人,也往往是有豐富社會資源的精英企業(yè)或者精英個體,這些會員就是新成立的商協(xié)會最重要的資產(chǎn)。
無論歷史悠久的還是新成立的商協(xié)會一定不希望自己會員信息隨便泄露,特別是會員的個人相關(guān)的信息,還有商協(xié)會的大量內(nèi)部資料,活動的內(nèi)容等等,不希望被不相關(guān)的人隨意訪問、獲取。
可是,商協(xié)會本身又是松散的、開放的組織架構(gòu),需要不停的吸引新會員,需要和所有的會員分享相關(guān)信息才能吸引會員參與,需要高效及時的支持會員的需求,需要和會員組織大量的公開的活動來宣傳協(xié)會,宣傳會員企業(yè)。因此數(shù)據(jù)的“安全”和數(shù)據(jù)的“使用”在商協(xié)會有直接的沖突。
這個問題有解嗎?
當(dāng)然有。但肯定不是像以前的圖書館,將商協(xié)會資料鎖起來,借閱的人需要書面登記,看完了還回來下一個人再用。也不是常見的印刷一個會員通訊錄,會員人手一份,或者更現(xiàn)代一點把通訊錄輸入一個Excel表格再加上密碼,只有會員才有密碼,才能打開。
這些傳統(tǒng)方式已經(jīng)無法適應(yīng)現(xiàn)代社會數(shù)字化、高效化、快速化、非接觸化的要求,這樣也無法發(fā)揮數(shù)據(jù)的價值,而且根本無法滿足數(shù)據(jù)安全的要求。這些信息仍然很容易被會員或者參會人員放到互聯(lián)網(wǎng),隨手發(fā)到朋友圈而變成公共信息,隨便被獲取。在這個數(shù)字化年代還這樣管理的商協(xié)會,即便沒有生存問題,也會遇到很大的發(fā)展挑戰(zhàn)。同樣,這樣的數(shù)據(jù)安全觀也反映了這個商協(xié)會領(lǐng)導(dǎo)層對于數(shù)字化時代機構(gòu)管理的理念,嚴(yán)重的落后于時代。
數(shù)據(jù)安全的本質(zhì)是攻防轉(zhuǎn)換的邏輯,關(guān)鍵是魔高一尺道高一丈。防守方是商協(xié)會的體系。進攻方可能是競爭對手,可能是網(wǎng)絡(luò)黑客,可能是需要信息的企業(yè)和個人,可能是組織的員工。
封閉自己的方式,類似于自殺來反抗別人的攻擊。反之,不設(shè)防的方式,類似于把自己的金銀珠寶放在集市上還沒人看管。因此動態(tài)的攻防系統(tǒng),將是數(shù)據(jù)安全的常態(tài)。
那么問題又來了,誰來幫一個商協(xié)會建設(shè)虛擬數(shù)字環(huán)境下的動態(tài)攻防體系呢?先不說成本,員工不是這樣的專家怎么辦呢?
從國內(nèi)外的案例來看,把客戶的數(shù)據(jù)保護作為企業(yè)生存基礎(chǔ)的企業(yè),應(yīng)該是商協(xié)會首選的合作伙伴。與自己高成本設(shè)立數(shù)據(jù)安全體系相比,中小規(guī)模的商協(xié)會和企業(yè),最佳的選擇還是與行業(yè)內(nèi)專業(yè)的數(shù)字化系統(tǒng)供應(yīng)商合作,支付合理的成本,讓自己的系統(tǒng)安全的運行在專業(yè)的環(huán)境中,保護自己免受上述四個方面的攻擊。
從數(shù)據(jù)安全角度,商協(xié)會選擇合作伙伴時,建議按照下邊的標(biāo)準(zhǔn)去對比:
第一、合格的伙伴本身必須是專業(yè)的軟件公司、互聯(lián)網(wǎng)基因的公司,具備相應(yīng)的技術(shù)能力,具備持續(xù)升級和改善的能力;不能是某些商協(xié)會自己開發(fā)的軟件,因為非其主要業(yè)務(wù),缺乏持續(xù)升級能力;
第二、軟件服務(wù)企業(yè)必須有完善的數(shù)據(jù)硬件和軟件基礎(chǔ),保證了數(shù)據(jù)的備份、授權(quán)訪問、惡意刪除保護等等完善的功能;
第三、企業(yè)必須有完善的企業(yè)管理制度,杜絕企業(yè)自己的失誤給客戶造成的損失;
第四、合理的安全級別設(shè)置和費用收取;
趣商會數(shù)據(jù)安全管理體系
還有另外一個傾向,一些非專業(yè)的商協(xié)會領(lǐng)導(dǎo),因為了解了一些概念,就腦筋一熱就要私有云部署,單獨的數(shù)據(jù)庫管理。先不說大部分商協(xié)會沒有戰(zhàn)略級的重要機密信息,數(shù)據(jù)安全等級不可能高于等保一級的程度,而且數(shù)據(jù)量也僅僅在GB的層級,一個私有云服務(wù)器和單獨的數(shù)據(jù)庫,將成為沉重的負擔(dān)。因為系統(tǒng)的復(fù)雜結(jié)構(gòu),還會增加會員訪問的難度,資料分享的不便。
每個商協(xié)會都會有自己的數(shù)據(jù)安全要求,這些要求要基于商協(xié)會管理的底線來設(shè)置,而不能按照自己理想的情況提出要求,因為數(shù)據(jù)安全是一個高成本的需求,脫離組織管理現(xiàn)狀的要求,不僅會大大提高運營成本,還會給自己組織的日常運營帶來很多麻煩。比如文件的保密級別,如果設(shè)置過多過于復(fù)雜的標(biāo)準(zhǔn),將使工作人員難以執(zhí)行,而使數(shù)據(jù)安全體系陷于形式主義,同時安全系統(tǒng)也將無法起到作用。
綜上所訴,數(shù)據(jù)安全是數(shù)字化時代一個商協(xié)會保護自己數(shù)字資產(chǎn)的基礎(chǔ)性設(shè)施。但是,還需要再次重復(fù)我的觀點同時也是本文的標(biāo)題:數(shù)據(jù)安全考驗的是企業(yè)管理的底線,而不是機構(gòu)提出自己的最高要求。
END
