北京2016年12月8日電 /美通社/ -- 慧點(diǎn)科技商業(yè)價(jià)值研究院趙彬今日撰稿《“互聯(lián)網(wǎng)+”時(shí)代的GRC實(shí)踐》,以下為全文:
云計(jì)算、移動(dòng)互聯(lián)網(wǎng),使得企業(yè)內(nèi)部的管理層級(jí)趨向扁平化,也使得企業(yè)外部的商業(yè)環(huán)境更加復(fù)雜。隨著云計(jì)算、移動(dòng)互聯(lián)網(wǎng)、大數(shù)據(jù)等新技術(shù)的普及應(yīng)用,大型企業(yè)在信息化建設(shè)上普遍呈現(xiàn)出“應(yīng)用集中化、管理集中化、人員分散化”的趨勢(shì)。這三大趨勢(shì)也給企業(yè)在企業(yè)GRC(管控、風(fēng)險(xiǎn)管理和合規(guī)遵從)等方面帶來了新的挑戰(zhàn),如面臨更加復(fù)雜、混亂的經(jīng)營、競(jìng)爭(zhēng)環(huán)境,更多的不確定性帶來更多的風(fēng)險(xiǎn)和機(jī)會(huì)。
企業(yè)內(nèi)部和外部的利益相關(guān)者不僅要求企業(yè)提高業(yè)績(jī),還要求企業(yè)的業(yè)務(wù)運(yùn)營更加透明化。企業(yè)需要積極、審慎地應(yīng)用云計(jì)算、移動(dòng)辦公、大數(shù)據(jù)等技術(shù)。
關(guān)注云計(jì)算帶來的合規(guī)與安全問題
云計(jì)算已逐漸被認(rèn)為是一種性價(jià)比較高的企業(yè)應(yīng)用交付方式,甚至成為業(yè)務(wù)流程外包的交付方式。在云計(jì)算環(huán)境中,數(shù)據(jù)和應(yīng)用與基礎(chǔ)設(shè)施是分離的,將數(shù)據(jù)和應(yīng)用遷移到云上會(huì)影響組織遵從某些法規(guī)和標(biāo)準(zhǔn)的能力。從信息安全管理和企業(yè)風(fēng)險(xiǎn)控制的角度來看,企業(yè)要想更好地利用云計(jì)算平臺(tái),必須有云的安全策略、治理策略和合規(guī)策略。
云安全需要解決很多問題。例如,如何確保本地?cái)?shù)據(jù)中心的資源安全,如何確保向公有云遷移后的大量應(yīng)用的安全,如何確保存儲(chǔ)在多家云服務(wù)商的數(shù)據(jù)中心的數(shù)據(jù)的安全,如何保護(hù)公有云和私有云的虛擬化基礎(chǔ),如何確保接入云基礎(chǔ)設(shè)施的移動(dòng)設(shè)備的安全。
一旦涉及信息安全和治理,混合云環(huán)境還會(huì)帶來更多的挑戰(zhàn)。比如,如何實(shí)現(xiàn)多租戶的隔離和共享,怎么建立科學(xué)的異常事件預(yù)警、響應(yīng)機(jī)制,怎么合理進(jìn)行權(quán)限設(shè)置以給用戶提供有限的可見度,如何處理數(shù)據(jù)的安全和合規(guī)等問題。企業(yè)在構(gòu)建基于云計(jì)算的信息系統(tǒng)時(shí),較好能夠?qū)⒃朴?jì)算整合到現(xiàn)有企業(yè)IT治理體系中。
應(yīng)對(duì)移動(dòng)辦公帶來的合規(guī)挑戰(zhàn)
移動(dòng)互聯(lián)網(wǎng)和智能終端的普及使得隨時(shí)隨地辦公成為可能,辦公設(shè)備也變得更加多種多樣。這也使得BYOD(攜帶自己的設(shè)備辦公)日益盛行。企業(yè)員工可以在任意地點(diǎn)登錄企業(yè)郵箱,利用在線辦公系統(tǒng)完成收發(fā)郵件、處理流程和溝通業(yè)務(wù)等操作。這不僅增加了員工工作的靈活性,還滿足了員工對(duì)辦公設(shè)備的個(gè)性化需求。不過對(duì)于企業(yè)來說,BYOD在降低辦公設(shè)備的采購、運(yùn)營成本的同時(shí),也帶來了新的IT管理難題,如面臨設(shè)備歸屬、數(shù)據(jù)隱私、數(shù)據(jù)安全等問題。
對(duì)于企業(yè)來說,要解決由于BYOD帶來的數(shù)據(jù)安全問題,行之有效的辦法就是制定數(shù)據(jù)安全責(zé)任制度,采用各種控制措施將企業(yè)數(shù)據(jù)和個(gè)人數(shù)據(jù)充分隔離,并制定使用終端設(shè)備的規(guī)范。只有這樣,才能真正做到既有效保護(hù)企業(yè)數(shù)據(jù),又不侵犯員工隱私。
為了從根本上解決移動(dòng)辦公的安全問題,企業(yè)還需要采取以下幾個(gè)措施:第一,重視對(duì)員工的教育與培訓(xùn);第二,部署適用的移動(dòng)設(shè)備管理(MDM)系統(tǒng)、企業(yè)移動(dòng)管理(EMM)系統(tǒng);第三,重視移動(dòng)信息化治理措施的落實(shí)。
利用大數(shù)據(jù)提升GRC智能
企業(yè)在運(yùn)營與管理過程中會(huì)產(chǎn)生大量的過程數(shù)據(jù)和信息(如文檔、日志等);企業(yè)在應(yīng)對(duì)日益復(fù)雜的業(yè)務(wù)環(huán)境過程中,還需要處理多種多樣的數(shù)據(jù)和信息。企業(yè)運(yùn)營管理所需處理的數(shù)據(jù)已經(jīng)不再局限于具有靜態(tài)結(jié)構(gòu)和有限交互路徑的數(shù)據(jù),而是來源復(fù)雜多樣的數(shù)據(jù),其中包括社交媒體數(shù)據(jù)、電子郵件數(shù)據(jù)、傳感器數(shù)據(jù)、商業(yè)應(yīng)用數(shù)據(jù)、檔案和文件。企業(yè)獲取和分析數(shù)據(jù)的方法亟待更新。
大數(shù)據(jù)可以被視為海量、快速增長(zhǎng)和多樣化的信息資產(chǎn),也被業(yè)界認(rèn)為是一個(gè)真正的游戲規(guī)則改變者。在一些關(guān)鍵領(lǐng)域,特別是操作和合規(guī)風(fēng)險(xiǎn)管理領(lǐng)域,由大數(shù)據(jù)技術(shù)支撐的分享模型將支持風(fēng)險(xiǎn)人員輕松進(jìn)行日常決策。引入大數(shù)據(jù)分析技術(shù)、風(fēng)險(xiǎn)模型服務(wù),以及文本分析、流程挖掘和先進(jìn)流程倉庫等技術(shù),能夠幫助企業(yè)實(shí)現(xiàn)合規(guī)智能、風(fēng)險(xiǎn)智能和流程智能。通過對(duì)風(fēng)險(xiǎn)模型和工具進(jìn)行模擬和優(yōu)化,企業(yè)可強(qiáng)化對(duì)數(shù)據(jù)的分析和洞察,從而在流程執(zhí)行之前、期間和之后對(duì)方案進(jìn)行優(yōu)化和完善,較大程度地優(yōu)化業(yè)務(wù)流程和決策效果。
相較于采用商業(yè)智能,采用大數(shù)據(jù)分析技術(shù)能進(jìn)一步提高風(fēng)險(xiǎn)模型的預(yù)測(cè)能力和穩(wěn)定性。具體來說,大數(shù)據(jù)分析能夠在如下三個(gè)方面重塑組織的風(fēng)險(xiǎn)管理:其一,大數(shù)據(jù)技術(shù)可幫助企業(yè)重新塑造風(fēng)險(xiǎn)管理理念;其二,大數(shù)據(jù)技術(shù)可幫助企業(yè)變革風(fēng)險(xiǎn)管理體制;其三,大數(shù)據(jù)技術(shù)可幫助企業(yè)分享系統(tǒng)數(shù)據(jù)。