数据保护|数字信任的DNA：智能企业的数据保护和隐私( 二 ) 信任|要求|管理|

数字化转型要求需要更智能、更自动化、更嵌入式的安全保障。这意味着：
? 安全角色设计和治理必须尽早考虑，以尽量减少跨系统风险和内部威胁
? 互联系统和应用必须进行监测和维护，以尽量减少漏洞，防止数据丢失
? 改变手动控制和检查的情况，替换成早期就能够确定异常和潜在情况的更智能、人工智能驱动的控制系统
? 实现数字自动化，以最大程度地减少人为干预，从而提供更可靠、有效的监控交易和流程
二）构建智能企业的防御体系鉴于这些趋势，企业可如何转变风险管理体系以建立数字信任？正如本文所探讨的那样，这要求将信任作为一种设计原则嵌入到公司的整个业务中，并将数字化的实时风险情报置于每个产品、服务和数字化转型计划中。经过优化的嵌入式风险流程和系统可以提供更快、更早的风险情报，企业可以更好保护数据和根据更多信息作出明智的业务决策。
安永将这种安全性方法称为“规划信任” ，它支持整个企业的风险管理优化思维。风险不再是规避风险，而更多地是利用风险洞察力来制定有关如何创新新产品和服务，以及进入新市场以推动增长和业务价值的增长为导向型战略决策的依据。保护数据至关重要，特别是对于企业的“皇冠上的宝石”（最珍贵资产），例如客户和敏感的业务数据。企业需要确保关键的业务决策不仅仅基于恐惧，而且还基于实时洞察力，这些洞察力即使在竞争对手无法做到的情况下也能帮助公司自信地应对风险。
首先，安永和SAP专业人员建议企业从基础知识入手，其中包括：
? 盘点数据、把数据分类和为数据进行优先排序
? 了解您如何收集、使用和共享客户个人信息
? 明确企业中对数据安全的管理责任
? 保护企业应用程序
? 促使防御方法可持续下去

文章图片

01. 对数据进行存储、分类和优化
由于信息安全资源和资金分布在数据的各个方面，企业的数据安全资源需要集中精力保护最重要的数据。这需要详细的数据清单和敏感数据的分类，例如根据以下信息：
? 哪些是敏感数据
? 哪些类型的信息如果暴露，会造成最大的危害
? 根据法规要求保护的数据
? 如果暴露了数据可能会出什么问题
? 如果发生违规，哪些客户、供应商或合作伙伴将受到损害
? 谁最有兴趣获取此数据以及为什么
数据清单可帮助识别最重要的数据，通常分为三类：
? 数据如果遭到破坏，将导致声誉受损，对品牌、消费者和投资者信心产生负面影响
? 数据遭到破坏，将产生合规风险，例如罚款、失去监管者对企业的信誉印象以及业内造成的后果
? 数据如果遭到破坏，将导致战略性业务变更，例如竞争力下降、战略执行受到影响、重大业务中断以及客户、投资者和合作伙伴之间失去信心
根据此信息，企业可以按数据驱动决策来决定对数据安全投资进行优先排序。

新数据不断创建、收集和存储。为了有效地保护数据，企业需要一个数据整理流程来支持一致、可持续的数据识别和分类，无论数据是静止、使用还是传输中。

02. 了解如何收集、使用和共享客户个人数据
了解敏感数据对于确定资源的优先级至关重要，同时消费者的个人数据具有快速发展的特质。由于媒体频繁的违规报道以及不断增加的隐私法规，消费者对企业数据使用方式的透明度的期望正在迅速提高。对于面向消费者的企业来说，至关重要的是要使自己了解如何使用和共享消费者数据，尤其是在以下方面：
? 为何收集数据（例如：个人身份信息、财务数据和健康数据）
? 消费者信息如何使用（例如：它是否可以用于银行的雇用或信贷决策）
? 使用数据的其他目的
? 与谁共享数据以及出于什么目的共享数据（例如，业务中的其他部门或与合作伙伴进行外部共享）
? 如何在企业和第三方服务器中保护数据
? 数据保留多长时间以配合企业的需求和保障消费者的隐私权
企业必须了解消费者个人信息的使用足迹。这有助于确定隐私流程和保护工作范围的优先级。企业必须尽力保护消费者数据，以保护消费者数据和公司声誉。

文章图片

03. 定义清晰的管理责任
为整家企业提供有效的数据安全保护的关键点在于明确定义各个级别的角色和职责。 SAP建议设计和实施由管理层和董事会监督的三级数据安全框架。该框架包括总体数据安全和隐私框架，在制定决策时可以利用对风险和隐私的洞察，并按风险调整基准评估业务部门。在此监督框架下的三道防线如下：
1）第一道防线：承担风险的业务部门
业务部门的负责人承担数据安全风险。他们监督数据管理和隐私流程，识别和减轻风险，设计和实施控制，定义技术要求来保护数据，设置员工权限并执行日常合规性任务。