作者:Gartner 高级研究总监 高峰、
Gartner 高级研究总监 顾星宇、
Gartner 高级研究总监 周玲、
Gartner研究总监 金玮
近年来,许多在中国运营的企业机构开始研究将其在中国的应用与全球IT系统解耦的可能性(本文中的“解耦”是指IT解耦),特别是在《数据安全法》、《个人信息保护法》和《数据出境安全评估办法》等中国网络安全法规实施之后。
在中国,在中国,IT解耦意味着要构建在架构方面独立于全球IT系统(包括基础设施、应用、数据、运营和支持)的独立应用。IT解耦主要侧重于最大限度地降低网络安全合规风险,并由中国的安全法规驱动。
由于成本和复杂性增加等挑战,中国企业机构很难实现由合规驱动的IT解耦。首席信息官(CIO)及安全和风险管理(SRM)领导者应在IT解耦之外放眼全局,通过一下三大策略,降低网络安全合规风险,以遵守监管要求并实现业务收益(见图1)。
图1:利用风险缓解措施,降低网络安全合规风险并实现业务收益
优先考虑本地化,满足明确的监管要求和业务需求
尽管解耦并不等同于网络安全合规,也并不存在明确的标准,但在中国运营的企业机构必须要遵守相关法规,根据要求在国内托管应用。不同行业都有类似的监管规定,企业机构最常采用的方法是,实施应用解耦,并且在中国大陆托管数据存储库,以满足明确的监管要求。
除了必须遵守法规要求之外,解耦并不是实现网络安全合规的唯一选择,而且可能会使成本显著增加。许多在华经营的跨国企业多年来一直致力于进行应用本地化,以满足其业务需求。
“解耦”是一个较新的术语,更倾向于受网络安全合规驱动。在许多情况下,解耦和本地化的概念有所重合,特别是在实施中。这意味着,针对业务需求的本地化也可以改善网络安全合规性,从而提升业务成果。因此,企业机构应首先满足明确的监管要求,然后根据业务需要优先考虑本地化。
建立沟通和响应流程
如今,网络安全法规日益普及。一些国家或地区已经发布了网络安全相关法规。解耦是一种被动的应对思维,无法满足不断变化的监管要求,以及降低风险的需求和业务需求。此外,解耦甚至本地化都不仅仅是网络安全决策或IT决策,而是需要与业务、法务及其他团队共同做出的决定,因为这会从多个方面(如成本、效率和复杂性)影响业务。
中国的企业机构应建立明确的跨部门沟通和响应流程,特别是在高管层面。通过明确传达网络安全法规并建立响应流程,企业机构可以快速处理网络安全违规引发的事件,并最大限度地减少业务中断。
采用组装式IT架构
虽然建立网络安全法规和相关事件的响应流程可以降低网络安全风险,但由于缺乏灵活的架构,缓解措施可能需要花费很长时间或大量成本。
企业机构应寻求一种适应性强的弹性方法,应对网络安全合规风险。为满足上述要求,企业机构应制定实现组装式IT架构的长期战略,在多家供应商、多种技术和平台之间灵活切换。这也将提供更多的韧性,有利于快速响应网络安全法规,最大限度地减少业务中断。
