作者：Gartner 高級研究總監 高峰、

　　Gartner 高級研究總監 顧星宇、

　　Gartner 高級研究總監 周玲、

　　Gartner研究總監 金瑋

　　近年來，許多在中國運營的企業機構開始研究將其在中國的應用與全球IT系統解耦的可能性(本文中的“解耦”是指IT解耦)，特別是在《數據安全法》、《個人信息保護法》和《數據出境安全評估辦法》等中國網絡安全法規實施之后。

　　在中國，在中國，IT解耦意味著要構建在架構方面獨立于全球IT系統(包括基礎設施、應用、數據、運營和支持)的獨立應用。IT解耦主要側重于最大限度地降低網絡安全合規風險，并由中國的安全法規驅動。

　　由于成本和復雜性增加等挑戰，中國企業機構很難實現由合規驅動的IT解耦。首席信息官(CIO)及安全和風險管理(SRM)領導者應在IT解耦之外放眼全局，通過一下三大策略，降低網絡安全合規風險，以遵守監管要求并實現業務收益(見圖1)。

　　圖1：利用風險緩解措施，降低網絡安全合規風險并實現業務收益

　　優先考慮本地化，滿足明確的監管要求和業務需求

　　盡管解耦并不等同于網絡安全合規，也并不存在明確的標準，但在中國運營的企業機構必須要遵守相關法規，根據要求在國內托管應用。不同行業都有類似的監管規定，企業機構最常采用的方法是，實施應用解耦，并且在中國大陸托管數據存儲庫，以滿足明確的監管要求。

　　除了必須遵守法規要求之外，解耦并不是實現網絡安全合規的唯一選擇，而且可能會使成本顯著增加。許多在華經營的跨國企業多年來一直致力于進行應用本地化，以滿足其業務需求。

　　“解耦”是一個較新的術語，更傾向于受網絡安全合規驅動。在許多情況下，解耦和本地化的概念有所重合，特別是在實施中。這意味著，針對業務需求的本地化也可以改善網絡安全合規性，從而提升業務成果。因此，企業機構應首先滿足明確的監管要求，然后根據業務需要優先考慮本地化。

　　建立溝通和響應流程

　　如今，網絡安全法規日益普及。一些國家或地區已經發布了網絡安全相關法規。解耦是一種被動的應對思維，無法滿足不斷變化的監管要求，以及降低風險的需求和業務需求。此外，解耦甚至本地化都不僅僅是網絡安全決策或IT決策，而是需要與業務、法務及其他團隊共同做出的決定，因為這會從多個方面(如成本、效率和復雜性)影響業務。

　　中國的企業機構應建立明確的跨部門溝通和響應流程，特別是在高管層面。通過明確傳達網絡安全法規并建立響應流程，企業機構可以快速處理網絡安全違規引發的事件，并最大限度地減少業務中斷。

　　采用組裝式

　　雖然建立網絡安全法規和相關事件的響應流程可以降低網絡安全風險，但由于缺乏靈活的架構，緩解措施可能需要花費很長時間或大量成本。

　　企業機構應尋求一種適應性強的彈性方法，應對網絡安全合規風險。為滿足上述要求，企業機構應制定實現組裝式IT架構的長期戰略，在多家供應商、多種技術和平臺之間靈活切換。這也將提供更多的韌性，有利于快速響應網絡安全法規，最大限度地減少業務中斷。