北京2016年12月8日電 /美通社/ -- 慧點科技商業(yè)價值研究院趙彬今日撰稿《“互聯(lián)網(wǎng)+”時代的GRC實踐》,以下為全文:
云計算、移動互聯(lián)網(wǎng),使得企業(yè)內(nèi)部的管理層級趨向扁平化,也使得企業(yè)外部的商業(yè)環(huán)境更加復(fù)雜。隨著云計算、移動互聯(lián)網(wǎng)、大數(shù)據(jù)等新技術(shù)的普及應(yīng)用,大型企業(yè)在信息化建設(shè)上普遍呈現(xiàn)出“應(yīng)用集中化、管理集中化、人員分散化”的趨勢。這三大趨勢也給企業(yè)在企業(yè)GRC(管控、風險管理和合規(guī)遵從)等方面帶來了新的挑戰(zhàn),如面臨更加復(fù)雜、混亂的經(jīng)營、競爭環(huán)境,更多的不確定性帶來更多的風險和機會。
企業(yè)內(nèi)部和外部的利益相關(guān)者不僅要求企業(yè)提高業(yè)績,還要求企業(yè)的業(yè)務(wù)運營更加透明化。企業(yè)需要積極、審慎地應(yīng)用云計算、移動辦公、大數(shù)據(jù)等技術(shù)。
關(guān)注云計算帶來的合規(guī)與安全問題
云計算已逐漸被認為是一種性價比較高的企業(yè)應(yīng)用交付方式,甚至成為業(yè)務(wù)流程外包的交付方式。在云計算環(huán)境中,數(shù)據(jù)和應(yīng)用與基礎(chǔ)設(shè)施是分離的,將數(shù)據(jù)和應(yīng)用遷移到云上會影響組織遵從某些法規(guī)和標準的能力。從信息安全管理和企業(yè)風險控制的角度來看,企業(yè)要想更好地利用云計算平臺,必須有云的安全策略、治理策略和合規(guī)策略。
云安全需要解決很多問題。例如,如何確保本地數(shù)據(jù)中心的資源安全,如何確保向公有云遷移后的大量應(yīng)用的安全,如何確保存儲在多家云服務(wù)商的數(shù)據(jù)中心的數(shù)據(jù)的安全,如何保護公有云和私有云的虛擬化基礎(chǔ),如何確保接入云基礎(chǔ)設(shè)施的移動設(shè)備的安全。
一旦涉及信息安全和治理,混合云環(huán)境還會帶來更多的挑戰(zhàn)。比如,如何實現(xiàn)多租戶的隔離和共享,怎么建立科學的異常事件預(yù)警、響應(yīng)機制,怎么合理進行權(quán)限設(shè)置以給用戶提供有限的可見度,如何處理數(shù)據(jù)的安全和合規(guī)等問題。企業(yè)在構(gòu)建基于云計算的信息系統(tǒng)時,較好能夠?qū)⒃朴嬎阏系浆F(xiàn)有企業(yè)IT治理體系中。
應(yīng)對移動辦公帶來的合規(guī)挑戰(zhàn)
移動互聯(lián)網(wǎng)和智能終端的普及使得隨時隨地辦公成為可能,辦公設(shè)備也變得更加多種多樣。這也使得BYOD(攜帶自己的設(shè)備辦公)日益盛行。企業(yè)員工可以在任意地點登錄企業(yè)郵箱,利用在線辦公系統(tǒng)完成收發(fā)郵件、處理流程和溝通業(yè)務(wù)等操作。這不僅增加了員工工作的靈活性,還滿足了員工對辦公設(shè)備的個性化需求。不過對于企業(yè)來說,BYOD在降低辦公設(shè)備的采購、運營成本的同時,也帶來了新的IT管理難題,如面臨設(shè)備歸屬、數(shù)據(jù)隱私、數(shù)據(jù)安全等問題。
對于企業(yè)來說,要解決由于BYOD帶來的數(shù)據(jù)安全問題,行之有效的辦法就是制定數(shù)據(jù)安全責任制度,采用各種控制措施將企業(yè)數(shù)據(jù)和個人數(shù)據(jù)充分隔離,并制定使用終端設(shè)備的規(guī)范。只有這樣,才能真正做到既有效保護企業(yè)數(shù)據(jù),又不侵犯員工隱私。
為了從根本上解決移動辦公的安全問題,企業(yè)還需要采取以下幾個措施:第一,重視對員工的教育與培訓;第二,部署適用的移動設(shè)備管理(MDM)系統(tǒng)、企業(yè)移動管理(EMM)系統(tǒng);第三,重視移動信息化治理措施的落實。
利用大數(shù)據(jù)提升GRC智能
企業(yè)在運營與管理過程中會產(chǎn)生大量的過程數(shù)據(jù)和信息(如文檔、日志等);企業(yè)在應(yīng)對日益復(fù)雜的業(yè)務(wù)環(huán)境過程中,還需要處理多種多樣的數(shù)據(jù)和信息。企業(yè)運營管理所需處理的數(shù)據(jù)已經(jīng)不再局限于具有靜態(tài)結(jié)構(gòu)和有限交互路徑的數(shù)據(jù),而是來源復(fù)雜多樣的數(shù)據(jù),其中包括社交媒體數(shù)據(jù)、電子郵件數(shù)據(jù)、傳感器數(shù)據(jù)、商業(yè)應(yīng)用數(shù)據(jù)、檔案和文件。企業(yè)獲取和分析數(shù)據(jù)的方法亟待更新。
大數(shù)據(jù)可以被視為海量、快速增長和多樣化的信息資產(chǎn),也被業(yè)界認為是一個真正的游戲規(guī)則改變者。在一些關(guān)鍵領(lǐng)域,特別是操作和合規(guī)風險管理領(lǐng)域,由大數(shù)據(jù)技術(shù)支撐的分享模型將支持風險人員輕松進行日常決策。引入大數(shù)據(jù)分析技術(shù)、風險模型服務(wù),以及文本分析、流程挖掘和先進流程倉庫等技術(shù),能夠幫助企業(yè)實現(xiàn)合規(guī)智能、風險智能和流程智能。通過對風險模型和工具進行模擬和優(yōu)化,企業(yè)可強化對數(shù)據(jù)的分析和洞察,從而在流程執(zhí)行之前、期間和之后對方案進行優(yōu)化和完善,較大程度地優(yōu)化業(yè)務(wù)流程和決策效果。
相較于采用商業(yè)智能,采用大數(shù)據(jù)分析技術(shù)能進一步提高風險模型的預(yù)測能力和穩(wěn)定性。具體來說,大數(shù)據(jù)分析能夠在如下三個方面重塑組織的風險管理:其一,大數(shù)據(jù)技術(shù)可幫助企業(yè)重新塑造風險管理理念;其二,大數(shù)據(jù)技術(shù)可幫助企業(yè)變革風險管理體制;其三,大數(shù)據(jù)技術(shù)可幫助企業(yè)分享系統(tǒng)數(shù)據(jù)。