放眼IT解耦之外，中國企業(yè)降低網(wǎng)絡(luò)安全合規(guī)風(fēng)險(xiǎn)的三大策略

作者：Gartner 高級(jí)研究總監(jiān) 高峰、

Gartner 高級(jí)研究總監(jiān) 顧星宇、

Gartner 高級(jí)研究總監(jiān) 周玲、

Gartner研究總監(jiān) 金瑋

近年來，許多在中國運(yùn)營(yíng)的企業(yè)機(jī)構(gòu)開始研究將其在中國的應(yīng)用與全球IT系統(tǒng)解耦的可能性（本文中的“解耦”是指IT解耦），特別是在《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》和《數(shù)據(jù)出境安全評(píng)估辦法》等中國網(wǎng)絡(luò)安全法規(guī)實(shí)施之后。

在中國，在中國，IT解耦意味著要構(gòu)建在架構(gòu)方面獨(dú)立于全球IT系統(tǒng)（包括基礎(chǔ)設(shè)施、應(yīng)用、數(shù)據(jù)、運(yùn)營(yíng)和支持）的獨(dú)立應(yīng)用。IT解耦主要側(cè)重于最大限度地降低網(wǎng)絡(luò)安全合規(guī)風(fēng)險(xiǎn)，并由中國的安全法規(guī)驅(qū)動(dòng)。

由于成本和復(fù)雜性增加等挑戰(zhàn)，中國企業(yè)機(jī)構(gòu)很難實(shí)現(xiàn)由合規(guī)驅(qū)動(dòng)的IT解耦。首席信息官（CIO）及安全和風(fēng)險(xiǎn)管理（SRM）領(lǐng)導(dǎo)者應(yīng)在IT解耦之外放眼全局，通過一下三大策略，降低網(wǎng)絡(luò)安全合規(guī)風(fēng)險(xiǎn)，以遵守監(jiān)管要求并實(shí)現(xiàn)業(yè)務(wù)收益（見圖1）。

圖1：利用風(fēng)險(xiǎn)緩解措施，降低網(wǎng)絡(luò)安全合規(guī)風(fēng)險(xiǎn)并實(shí)現(xiàn)業(yè)務(wù)收益

優(yōu)先考慮本地化，滿足明確的監(jiān)管要求和業(yè)務(wù)需求

盡管解耦并不等同于網(wǎng)絡(luò)安全合規(guī)，也并不存在明確的標(biāo)準(zhǔn)，但在中國運(yùn)營(yíng)的企業(yè)機(jī)構(gòu)必須要遵守相關(guān)法規(guī)，根據(jù)要求在國內(nèi)托管應(yīng)用。不同行業(yè)都有類似的監(jiān)管規(guī)定，企業(yè)機(jī)構(gòu)最常采用的方法是，實(shí)施應(yīng)用解耦，并且在中國大陸托管數(shù)據(jù)存儲(chǔ)庫，以滿足明確的監(jiān)管要求。

除了必須遵守法規(guī)要求之外，解耦并不是實(shí)現(xiàn)網(wǎng)絡(luò)安全合規(guī)的唯一選擇，而且可能會(huì)使成本顯著增加。許多在華經(jīng)營(yíng)的跨國企業(yè)多年來一直致力于進(jìn)行應(yīng)用本地化，以滿足其業(yè)務(wù)需求。

“解耦”是一個(gè)較新的術(shù)語，更傾向于受網(wǎng)絡(luò)安全合規(guī)驅(qū)動(dòng)。在許多情況下，解耦和本地化的概念有所重合，特別是在實(shí)施中。這意味著，針對(duì)業(yè)務(wù)需求的本地化也可以改善網(wǎng)絡(luò)安全合規(guī)性，從而提升業(yè)務(wù)成果。因此，企業(yè)機(jī)構(gòu)應(yīng)首先滿足明確的監(jiān)管要求，然后根據(jù)業(yè)務(wù)需要優(yōu)先考慮本地化。

建立溝通和響應(yīng)流程

如今，網(wǎng)絡(luò)安全法規(guī)日益普及。一些國家或地區(qū)已經(jīng)發(fā)布了網(wǎng)絡(luò)安全相關(guān)法規(guī)。解耦是一種被動(dòng)的應(yīng)對(duì)思維，無法滿足不斷變化的監(jiān)管要求，以及降低風(fēng)險(xiǎn)的需求和業(yè)務(wù)需求。此外，解耦甚至本地化都不僅僅是網(wǎng)絡(luò)安全決策或IT決策，而是需要與業(yè)務(wù)、法務(wù)及其他團(tuán)隊(duì)共同做出的決定，因?yàn)檫@會(huì)從多個(gè)方面（如成本、效率和復(fù)雜性）影響業(yè)務(wù)。

中國的企業(yè)機(jī)構(gòu)應(yīng)建立明確的跨部門溝通和響應(yīng)流程，特別是在高管層面。通過明確傳達(dá)網(wǎng)絡(luò)安全法規(guī)并建立響應(yīng)流程，企業(yè)機(jī)構(gòu)可以快速處理網(wǎng)絡(luò)安全違規(guī)引發(fā)的事件，并最大限度地減少業(yè)務(wù)中斷。

采用組裝式IT架構(gòu)

雖然建立網(wǎng)絡(luò)安全法規(guī)和相關(guān)事件的響應(yīng)流程可以降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，但由于缺乏靈活的架構(gòu)，緩解措施可能需要花費(fèi)很長(zhǎng)時(shí)間或大量成本。

企業(yè)機(jī)構(gòu)應(yīng)尋求一種適應(yīng)性強(qiáng)的彈性方法，應(yīng)對(duì)網(wǎng)絡(luò)安全合規(guī)風(fēng)險(xiǎn)。為滿足上述要求，企業(yè)機(jī)構(gòu)應(yīng)制定實(shí)現(xiàn)組裝式IT架構(gòu)的長(zhǎng)期戰(zhàn)略，在多家供應(yīng)商、多種技術(shù)和平臺(tái)之間靈活切換。這也將提供更多的韌性，有利于快速響應(yīng)網(wǎng)絡(luò)安全法規(guī)，最大限度地減少業(yè)務(wù)中斷。