数据安全治理(1):数据安全治理与数据安全管理

U2      2020-02-03 20:11      303     

以下内容摘自《数据安全架构设计与实战》一书:

在早期的传统职能组织架构中,一般采用垂直的上下级管理模式,从高层开始,就是一人分管一个或几个领域,互不插手其领域内的事情。在这样的职能组织体系内,权威的唯一来源是上级,上级决策后下级执行。如果下级不执行或执行不到位,上级可以利用自己的威慑力对下级进行打压或处罚,如在考核权、奖金分配权、提名权等方面进行压制。在上级面前,下级人微言轻,极少会出现反对上级的情况。整个团队的能力瓶颈,就受制于上级的视野和能力范围,也就是常说的“兵熊熊一个,将熊熊一窝”。但在实际工作上,没有任何一个人是全能的,这种单一权威来源的管理模式(“一言堂”)具有很大的弊端,很可能让实际工作走偏。

而在治理模式下,不再指望每一个上级都是英明的领导,也不再将上级作为唯一的权威,而是通过一种分工协作而又互相制衡的矩阵型组织和制度设计,让每个人能够发挥主观能动性,但又都在政策框架下行动,不至于偏离太远,让各团队总是能朝着“大致正确”的方向前进。在决策上,一般采取集体决策的形式,比如各种风险管理委员会、技术管理委员会、指导委员会等。

从这个意义上说,治理是一种协作和秩序,较少依靠个人的权威,由“人治”转变为“法治”。在战略、组织、政策框架下,一切行动都受到一定程度的制约,需要接受他人的挑战,经得起实践检验。从管理到治理,既是观念上的转变,也是矩阵型组织相对于职能型组织的优势,体现出整个组织自上而下的高度重视,促进全员参与,人人发挥主观能动性。在治理模式下,每个团队中的每个人都可以成为自己所负责领域的权威,同时也将接受来自其他协作团队的挑战,这种机制可以让自己的工作在基本正确的轨道上开展。

在治理模式下,同样需要管理。治理模式下的管理,是从战术层面支撑治理的开展,是在治理所设定的战略方向、组织架构、政策框架下所采取的行政事务管理和日常例行决策的集合,包括计划、组织、辅导与考核,以及利用人力、物力、财力来达成目标。下表就是管理和治理的区别:

对比要素

管理

治理

决策者

职能部门内最高级别的主管

董事会或各领域风险管理委员会(集体决策)

角色定位

被授权,在政策框架内以及职能部门内执行战术层面的决策(执法)、业务合规、沟通与报告

战略方向决策、制定政策、授权给合适的人选(让他来执行战术决策)以及监督与问责

改进方法

面向目标,使用技术手段、业务手段、团队激励与考核方法调整

面向战略,组织架构调整与权责的重新划分(部门整合、裁撤等)、部门管理者调整(轮岗、调岗等)、跨部门流程

用一张图来表示治理与管理的定位差异:

治理和管理

小结:“数据安全治理”是为达成数据安全目标而采取的战略、组织、政策的总和。“数据安全管理”,则是在数据安全治理所设定的战略方向、组织架构、政策框架下所采取的行政事务管理和日常例行决策的集合。

本文地址: https://www.janusec.com/articles/data/1580731891.html (转载请注明出处)


评论区(共0条评论)
Copyright ©2020 金汤智库(JANUSEC) All rights reserved.