數據的共享和開放(以下簡稱數據開放)是很多企業關注的問題，但頗有“一管就死，一放就亂“的特征，隨著國家在安全方面的法律法規相繼出臺，“嚴管”成為了很多企業的主旋律，但“嚴管”不是亂管，我們還是要需要基于底線思維(在遵守國家相關法律法規的前提下)，盡量做到數據安全和效率的平衡，這里有九個策略供你參考!

策略一：原則制定

公司應該制定數據管理政策，明確一些基本原則，大家要對此達成共識，這些共識是安全和效率最終能達成平衡的基礎，比如以下三條：

• 第一，數據是公司的戰略資產，不是部門的私有資產，這可以防止部門私自對數據共享和開放建章立制。
• 第二，數據應在滿足必要的信息安全的前提下充分共享并明確服務承諾，數據產生部門不得拒絕或延緩跨領域的數據開放需求。
• 第三，數據需要實施分層分級的管控策略，比如敏感數據安全優先，非敏感數據效率優先。

策略二：組織保障

要成立企業級的數據管理組織，統籌解決數據安全開放的問題，很多數據開放問題其實不是安全問題，而是溝通層級太多導致的信息不對稱問題，或者是小鬼當家導致的胡亂決策的問題，當需求方和安全方在企業數據管理組織的安排下湊在一張桌子上打麻將的時候，問題就解決了一半。

策略三：制度約束

數據要素成為生產要素后，企業要加強涉及限制數據開放相關制度和規范的審核和發布，至少要加強管理，源頭問題不解決，下游再怎么努力都是事倍功半。

在這個方面要向政府學一學，比如浙江省政府在發布《浙江省公共數據開放與安全管理暫行辦法》的時候，廣泛征求了各方意見(包括大量企業)，而且這個辦法還是暫行的。

但很多企業相關辦法的下發往往忽略基層的聲音，甚至不征求意見，利益部門只講辦法帶來的好處，忽略辦法的負面作用或者不知道對企業有什么全局的影響，一旦執行很容易影響生產經營，一線越是強調執行力，受到的影響就越大。

數字化時代到來后，企業成立數據治理委員會來進行制衡很有必要，至少要有專業的組織對涉及影響數據開放的制度規范進行審核。

策略四：認知統一

數據開放的概念沒有標準定義，安全方很容易把所有的數據流動都等同數據開放，各種法律法規的相繼出臺也會讓安全方過度解讀，打造一部公司級的數據開放管理辦法是有必要的，至少要明確數據開放的定義，范圍等等，大家必須在同樣的語境下溝通和協作，否則雞同鴨講沒有妥協的余地。

比如“在匯聚各領域數據的基礎上，通過數據湖向公司內部各部門提供可機器讀取、可再利用和分發的數據的服務”這種數據開放定義，就澄清了很多事情，開放主體是數據湖管理部門，開放對象是公司內部各部門和下屬單位，開放內容是可機器讀取、可再利用和分發的數據，不包含報表指標、洞察分析等數據應用和生產系統之間的數據服務調用。

策略五：流程優化

企業為實現價值創造，從輸入客戶要求開始到交付產品及服務給客戶獲得客戶滿意并實現企業自身價值的E2E(端對端)業務過程就是業務流程，適配業務流的流程會帶來價值提升，是優秀作業實踐的總結和固化，推廣流程的目的是讓不同團隊執行流程時獲得成功的可復制性。

現實中數據開放的安全要求都是靠通過增加人工安全審核的環節來實現的，導致了冗長的數據開放流程，這需要公司有流程驅動的基因，要設置數據開放的流程CEO，要能進行數據開放流程的運營，要能為數據開放的流程SLA負責，比如針對不同敏感等級的數據設置不同的開放流程(直接開放、可控開放和嚴控開放)來提升開放效率。

策略六：事后審計

數據開放經常面臨多重審批的要求，這導致了冗長的數據開放時間和不確定的數據開放SLA，但很多安全審批環節的設置是遵循慣例、或者是形式上的需要，因此將審批由事前審批改為事后稽核或審計是一種兼顧安全和效率的方法。

SOX審計就是如此吧，為了完美控制風險當然最好是全部事前控制，但大家都知道這樣做是不現實的，因為公司耗不起，現在數據開放流程耗得起只在于企業對數據開放還不夠重視。

策略七：考核約束

為了達到全局最優，安全部門的KPI不僅要包括安全指標，也要包括數據開放的效率指標，比如數據直接開放的比例、數據開放的時長等等，這樣數據需求方、數據安全方、數據提供方才會共同努力給出兼顧多方利益的解決方案，達到數據開放的納什均衡，如果僅有一方使力，平衡是不可能達到的。

策略八：數字驅動

要將數據安全治理貫穿數據全生命周期，實現用數字化手段破解安全與效率之間的結構性矛盾，以流程的數字化為例，通過數據的敏感等級數字化(比如將全量數據劃分為低敏感，較敏感，敏感，極敏感)，數據安全審批規則的數字化(比如規定低敏感等級可直接訂閱)等手段，可以逐步實現數據開放流程的自動化。

策略九：價值導向

在數字化的背景下，企業要加強數據的應用，盡快發揮出數據的價值，當數據創造的效益已經對公司有很大影響的時候，會有更多的人為數據安全和效益的平衡出謀劃策，所有的資源都會向有價值的事情傾斜。

比如當年大數據價值變現起步的時候，安全是最大的反對方，至于業務能不能成功是其次，但當大數據價值變現規模化的時候，安全更多時候成了合作伙伴，會幫助評估如何在安全的前提下做成，談判的底蘊還是實力，你覺得被安全搞得很難受，那是因為還不夠強。

有人會說，這些策略在我的企業很難執行。的確是的，一方面，容易的事情大都被做完了，另一方面是時機未到，需要點運氣。但無論如何，我們至少要提前知道這些道理，這樣在機會出現的時候才能頂得上去。