假如一个企业里“拥有证书的人员超过5名”,就能自己搞风险评估了,那企业的人才策略该怎么变?面对现在越来越严的数据安全管着,企业老板通常有两个招:要么一直找外面的服务公司来检查,要么自己培养内部团队自己动手。最近有个行业通知,给后者指了条明路:支持像电信和互联网这些行业的企业,只要手里的人有证,加起来超过5个,就能自己搞数据安全风险评估。这可不光是方便一下,更像是个战略信号,告诉大家要把安全治理做得更优更好。 第一、把“成本中心”变成“能力中枢”,重新看内部评估团队。以前大家都习惯把评估活儿包给外面,但这长久下来,会让企业的核心感知能力太依赖外人,搞得成本没准数、知识留不住、响应还慢。培养内部持证队伍,能把合规花的钱变成安全资产。培训投入变成了自己的人资本和能力;建立起了随时能看风险的机制,内部团队能灵活地频繁检查,不用老等着每年那一次大审计;还能让业务和安全更融合,内部人更懂业务逻辑和数据流,提的改进建议也更实。 第二、实现这条路子,用好“评定”和“培训”这套配套系统。企业想自己长出本事,可以巧妙用市场上现成的资源。要是公司自己的安全部门想把这服务也卖给别人(比如集团内部用或者出去接单),那就可以申请个“数据安全服务能力评定”,拿个机构资质的背书。 对个人来说,关键是挑骨干去参加权威的“数据安全评估师”培训。目标就是快速组一支至少5个人的核心小组,有证上岗。这队伍是企业拿到“自主评估”资格的基石。 第三、管理上要把这三本账算清楚: 经济账:比比长期外包费和一次性培训、养人的费用。对于大公司或者数据多的公司来说,长期自己建团队往往更划算。 效率账:内部团队响应快、知识用得好、跟业务部门合作顺溜,能更快搞定风险问题。 风险账:把数据安全这门本事抓在手里,就能少担心里面服务机构质量不稳或者信息不对称带来的风险。