+(86)18109025069
service@qushanghui.com.cn
商会动态

数据商会谈(45)数据安全考验的是机构管理的底线

趣商会企业服务
新闻来源: 趣商会企业服务
查看次数:1937

我们坚信,中国的商协会未来发展之路只有一条,那就是-数据化、上云。道阻且长,行则将至。按我们搭建的数据云商协会价值体系,尽力用简洁易懂的文字,持续输出我们的思考,并试图探索落地的方法、具体的操作,这就是《数据商会谈》。

-- 中科趣商会


作者:马子业

工信部新闻发言人、信息通信管理局局长赵志国20日表示,今年以来已累计完成29万款APP技术检测,对1862款违规APP提出整改要求,公开通报319款整改不到位APP,组织下架了107款拒不整改的APP。在通报的服务中,包括一些非常著名的企业,因为过分收集客户信息,同时存在一些数据安全的漏洞。这个通告进一步加热了关于数据安全的话题,这个事情毫无疑问也会引起大家的反思,我的数据是安全的吗?

这个问题反应了在数字化时代所有人都面临的一个深刻的挑战。广义来看,还有国际间是否允许信息自由流动,数据所有权如何确认,个人信息保护的程度,公共信息如何分享,AI技术在数据安全和保护上带来的挑战和机会等等。不过毫无疑问,对于数据安全没有一个简单的、万能的答案。

由于数字化已经成为当今社会的最大的趋势,也在成为新基础设施的主要支撑,不能泛泛而谈。而且数据安全绝对不是什么可有可无的事情,它考验的更多的是一个组织的管理体系的底线,而不是什么可以随便提高要求的高级玩具。

基于数字商协会这个主题,下面只针对商协会这个特殊组织的需求进行展开。

首先我们要探讨一下,什么是商协会最重要的数据资产呢?商协会最关心的是什么数据的泄露呢?

我们知道,越有历史的商协会,越有丰富的文化沉淀,拥有很多的历史资料,会员也都是各界的翘楚,因此还有强大的人脉关系,这些毫无疑问是商协会的重要资产。即使是新成立的协会,也会汇集相当一批有理想,有共同追求的企业和贤达,仅仅这些刚刚聚集在一起的企业和个人,也往往是有丰富社会资源的精英企业或者精英个体,这些会员就是新成立的商协会最重要的资产

无论历史悠久的还是新成立的商协会一定不希望自己会员信息随便泄露,特别是会员的个人相关的信息,还有商协会的大量内部资料,活动的内容等等,不希望被不相关的人随意访问、获取。

可是,商协会本身又是松散的、开放的组织架构,需要不停的吸引新会员,需要和所有的会员分享相关信息才能吸引会员参与,需要高效及时的支持会员的需求,需要和会员组织大量的公开的活动来宣传协会,宣传会员企业。因此数据的“安全”和数据的“使用”在商协会有直接的冲突。

这个问题有解吗?

当然有。但肯定不是像以前的图书馆,将商协会资料锁起来,借阅的人需要书面登记,看完了还回来下一个人再用。也不是常见的印刷一个会员通讯录,会员人手一份,或者更现代一点把通讯录输入一个Excel表格再加上密码,只有会员才有密码,才能打开。

这些传统方式已经无法适应现代社会数字化、高效化、快速化、非接触化的要求,这样也无法发挥数据的价值,而且根本无法满足数据安全的要求。这些信息仍然很容易被会员或者参会人员放到互联网,随手发到朋友圈而变成公共信息,随便被获取。在这个数字化年代还这样管理的商协会,即便没有生存问题,也会遇到很大的发展挑战。同样,这样的数据安全观也反映了这个商协会领导层对于数字化时代机构管理的理念,严重的落后于时代。

数据安全的本质是攻防转换的逻辑,关键是魔高一尺道高一丈。防守方是商协会的体系。进攻方可能是竞争对手,可能是网络黑客,可能是需要信息的企业和个人,可能是组织的员工。

封闭自己的方式,类似于自杀来反抗别人的攻击。反之,不设防的方式,类似于把自己的金银珠宝放在集市上还没人看管。因此动态的攻防系统,将是数据安全的常态。

那么问题又来了,谁来帮一个商协会建设虚拟数字环境下的动态攻防体系呢?先不说成本,员工不是这样的专家怎么办呢?

从国内外的案例来看,把客户的数据保护作为企业生存基础的企业,应该是商协会首选的合作伙伴。与自己高成本设立数据安全体系相比,中小规模的商协会和企业,最佳的选择还是与行业内专业的数字化系统供应商合作,支付合理的成本,让自己的系统安全的运行在专业的环境中,保护自己免受上述四个方面的攻击。

从数据安全角度,商协会选择合作伙伴时,建议按照下边的标准去对比:

第一、合格的伙伴本身必须是专业的软件公司、互联网基因的公司,具备相应的技术能力,具备持续升级和改善的能力;不能是某些商协会自己开发的软件,因为非其主要业务,缺乏持续升级能力;

第二、软件服务企业必须有完善的数据硬件和软件基础,保证了数据的备份、授权访问、恶意删除保护等等完善的功能;

第三、企业必须有完善的企业管理制度,杜绝企业自己的失误给客户造成的损失;

第四、合理的安全级别设置和费用收取;

趣商会数据安全管理体系

还有另外一个倾向,一些非专业的商协会领导,因为了解了一些概念,就脑筋一热就要私有云部署,单独的数据库管理。先不说大部分商协会没有战略级的重要机密信息,数据安全等级不可能高于等保一级的程度,而且数据量也仅仅在GB的层级,一个私有云服务器和单独的数据库,将成为沉重的负担。因为系统的复杂结构,还会增加会员访问的难度,资料分享的不便。

每个商协会都会有自己的数据安全要求,这些要求要基于商协会管理的底线来设置,而不能按照自己理想的情况提出要求,因为数据安全是一个高成本的需求,脱离组织管理现状的要求,不仅会大大提高运营成本,还会给自己组织的日常运营带来很多麻烦。比如文件的保密级别,如果设置过多过于复杂的标准,将使工作人员难以执行,而使数据安全体系陷于形式主义,同时安全系统也将无法起到作用。

综上所诉,数据安全是数字化时代一个商协会保护自己数字资产的基础性设施。但是,还需要再次重复我的观点同时也是本文的标题:数据安全考验的是企业管理的底线,而不是机构提出自己的最高要求。







END



 数据商会谈(43) | 商协会的关注点要尽快转移到服务会员上来
 商会接待工作务必知道的领导干部排序!
 数据商会谈(40)这样运营商会协会的公众号,领导立马给加了鸡腿