作者:Gartner 高級(jí)研究總監(jiān) 高峰、
Gartner 高級(jí)研究總監(jiān) 顧星宇、
Gartner 高級(jí)研究總監(jiān) 周玲、
Gartner研究總監(jiān) 金瑋
近年來,許多在中國(guó)運(yùn)營(yíng)的企業(yè)機(jī)構(gòu)開始研究將其在中國(guó)的應(yīng)用與全球IT系統(tǒng)解耦的可能性(本文中的“解耦”是指IT解耦),特別是在《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》和《數(shù)據(jù)出境安全評(píng)估辦法》等中國(guó)網(wǎng)絡(luò)安全法規(guī)實(shí)施之后。
在中國(guó),在中國(guó),IT解耦意味著要構(gòu)建在架構(gòu)方面獨(dú)立于全球IT系統(tǒng)(包括基礎(chǔ)設(shè)施、應(yīng)用、數(shù)據(jù)、運(yùn)營(yíng)和支持)的獨(dú)立應(yīng)用。IT解耦主要側(cè)重于最大限度地降低網(wǎng)絡(luò)安全合規(guī)風(fēng)險(xiǎn),并由中國(guó)的安全法規(guī)驅(qū)動(dòng)。
由于成本和復(fù)雜性增加等挑戰(zhàn),中國(guó)企業(yè)機(jī)構(gòu)很難實(shí)現(xiàn)由合規(guī)驅(qū)動(dòng)的IT解耦。首席信息官(CIO)及安全和風(fēng)險(xiǎn)管理(SRM)領(lǐng)導(dǎo)者應(yīng)在IT解耦之外放眼全局,通過一下三大策略,降低網(wǎng)絡(luò)安全合規(guī)風(fēng)險(xiǎn),以遵守監(jiān)管要求并實(shí)現(xiàn)業(yè)務(wù)收益(見圖1)。
圖1:利用風(fēng)險(xiǎn)緩解措施,降低網(wǎng)絡(luò)安全合規(guī)風(fēng)險(xiǎn)并實(shí)現(xiàn)業(yè)務(wù)收益
優(yōu)先考慮本地化,滿足明確的監(jiān)管要求和業(yè)務(wù)需求
盡管解耦并不等同于網(wǎng)絡(luò)安全合規(guī),也并不存在明確的標(biāo)準(zhǔn),但在中國(guó)運(yùn)營(yíng)的企業(yè)機(jī)構(gòu)必須要遵守相關(guān)法規(guī),根據(jù)要求在國(guó)內(nèi)托管應(yīng)用。不同行業(yè)都有類似的監(jiān)管規(guī)定,企業(yè)機(jī)構(gòu)最常采用的方法是,實(shí)施應(yīng)用解耦,并且在中國(guó)大陸托管數(shù)據(jù)存儲(chǔ)庫(kù),以滿足明確的監(jiān)管要求。
除了必須遵守法規(guī)要求之外,解耦并不是實(shí)現(xiàn)網(wǎng)絡(luò)安全合規(guī)的唯一選擇,而且可能會(huì)使成本顯著增加。許多在華經(jīng)營(yíng)的跨國(guó)企業(yè)多年來一直致力于進(jìn)行應(yīng)用本地化,以滿足其業(yè)務(wù)需求。
“解耦”是一個(gè)較新的術(shù)語,更傾向于受網(wǎng)絡(luò)安全合規(guī)驅(qū)動(dòng)。在許多情況下,解耦和本地化的概念有所重合,特別是在實(shí)施中。這意味著,針對(duì)業(yè)務(wù)需求的本地化也可以改善網(wǎng)絡(luò)安全合規(guī)性,從而提升業(yè)務(wù)成果。因此,企業(yè)機(jī)構(gòu)應(yīng)首先滿足明確的監(jiān)管要求,然后根據(jù)業(yè)務(wù)需要優(yōu)先考慮本地化。
建立溝通和響應(yīng)流程
如今,網(wǎng)絡(luò)安全法規(guī)日益普及。一些國(guó)家或地區(qū)已經(jīng)發(fā)布了網(wǎng)絡(luò)安全相關(guān)法規(guī)。解耦是一種被動(dòng)的應(yīng)對(duì)思維,無法滿足不斷變化的監(jiān)管要求,以及降低風(fēng)險(xiǎn)的需求和業(yè)務(wù)需求。此外,解耦甚至本地化都不僅僅是網(wǎng)絡(luò)安全決策或IT決策,而是需要與業(yè)務(wù)、法務(wù)及其他團(tuán)隊(duì)共同做出的決定,因?yàn)檫@會(huì)從多個(gè)方面(如成本、效率和復(fù)雜性)影響業(yè)務(wù)。
中國(guó)的企業(yè)機(jī)構(gòu)應(yīng)建立明確的跨部門溝通和響應(yīng)流程,特別是在高管層面。通過明確傳達(dá)網(wǎng)絡(luò)安全法規(guī)并建立響應(yīng)流程,企業(yè)機(jī)構(gòu)可以快速處理網(wǎng)絡(luò)安全違規(guī)引發(fā)的事件,并最大限度地減少業(yè)務(wù)中斷。
采用組裝式IT架構(gòu)
雖然建立網(wǎng)絡(luò)安全法規(guī)和相關(guān)事件的響應(yīng)流程可以降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn),但由于缺乏靈活的架構(gòu),緩解措施可能需要花費(fèi)很長(zhǎng)時(shí)間或大量成本。
企業(yè)機(jī)構(gòu)應(yīng)尋求一種適應(yīng)性強(qiáng)的彈性方法,應(yīng)對(duì)網(wǎng)絡(luò)安全合規(guī)風(fēng)險(xiǎn)。為滿足上述要求,企業(yè)機(jī)構(gòu)應(yīng)制定實(shí)現(xiàn)組裝式IT架構(gòu)的長(zhǎng)期戰(zhàn)略,在多家供應(yīng)商、多種技術(shù)和平臺(tái)之間靈活切換。這也將提供更多的韌性,有利于快速響應(yīng)網(wǎng)絡(luò)安全法規(guī),最大限度地減少業(yè)務(wù)中斷。