數(shù)字經(jīng)濟(jì)時代的數(shù)字風(fēng)險管理

陳偉

一、數(shù)字經(jīng)濟(jì)時代的數(shù)字風(fēng)險

在當(dāng)前全球經(jīng)濟(jì)遭受新冠肺炎疫情沉重打擊的背景下，數(shù)字經(jīng)濟(jì)成為變局的突破口，數(shù)字技術(shù)、數(shù)字服務(wù)和數(shù)字產(chǎn)業(yè)發(fā)揮了重要作用，催生了各種新模式與新應(yīng)用。據(jù)中國信通院2020年的研究與統(tǒng)計，2019年全球數(shù)字經(jīng)濟(jì)規(guī)模達(dá)到31.8萬億美元;2019 年發(fā)達(dá)國家數(shù)字經(jīng)濟(jì)在GDP中占比達(dá)到51.3%，我國2019年數(shù)字經(jīng)濟(jì)GDP占比為36.2%。當(dāng)前數(shù)字經(jīng)濟(jì)已成為全球經(jīng)濟(jì)發(fā)展的新動能。

數(shù)字經(jīng)濟(jì)在蓬勃發(fā)展的同時也帶來了許多風(fēng)險。世界經(jīng)濟(jì)論壇發(fā)布的《2020年全球風(fēng)險報告》預(yù)測了各種未來可能性最高和影響最大的風(fēng)險，其中大規(guī)模網(wǎng)絡(luò)攻擊、數(shù)據(jù)詐騙或數(shù)據(jù)盜竊、關(guān)鍵信息基礎(chǔ)設(shè)施故障、技術(shù)進(jìn)步的負(fù)面影響等數(shù)字風(fēng)險依然是世界各國和組織最為關(guān)注的問題;國際信息系統(tǒng)審計協(xié)會（ISACA）開展聯(lián)合調(diào)查并發(fā)布研究報告《2020年企業(yè)風(fēng)險管理狀況報告》，把網(wǎng)絡(luò)安全列為企業(yè)頭號風(fēng)險。

當(dāng)前企業(yè)如何在數(shù)字化轉(zhuǎn)型的關(guān)鍵時期，結(jié)合信息安全及業(yè)務(wù)風(fēng)險現(xiàn)有管控機(jī)制，規(guī)劃跨越信息通訊技術(shù)、企業(yè)運營技術(shù)、萬物互聯(lián)、數(shù)字業(yè)務(wù)的數(shù)字風(fēng)險控制機(jī)制，是我們不得不面對的重要問題。

二、數(shù)字風(fēng)險定義與數(shù)字風(fēng)險管理

數(shù)字風(fēng)險是組織在數(shù)字化過程中，由于數(shù)字化戰(zhàn)略缺失、管控措施薄弱、新技術(shù)應(yīng)用不到位、數(shù)字技術(shù)對業(yè)務(wù)支持不足等造成的各類業(yè)務(wù)和技術(shù)風(fēng)險。數(shù)字風(fēng)險無處不在，各行各業(yè)都面臨各種數(shù)字風(fēng)險的沖擊，如IT治理風(fēng)險、網(wǎng)絡(luò)安全風(fēng)險、數(shù)字化應(yīng)用風(fēng)險、數(shù)字化轉(zhuǎn)型風(fēng)險等，這些風(fēng)險的存在將嚴(yán)重影響組織數(shù)字化進(jìn)程，因此，應(yīng)當(dāng)對數(shù)字風(fēng)險進(jìn)行有效管理。

數(shù)字風(fēng)險已深入數(shù)字經(jīng)濟(jì)的各個層面，成為數(shù)字業(yè)務(wù)生命周期各個環(huán)節(jié)中基本屬性，數(shù)字風(fēng)險管理越來越得到組織高級管理層的重視。然而當(dāng)前我們針對數(shù)字風(fēng)險卻缺乏有效的管理方法，據(jù)Gartner針對CEO的一項調(diào)查表明：“77%的CEO認(rèn)為，數(shù)字業(yè)務(wù)將引入新的風(fēng)險類型與等級”，“65%的CEO認(rèn)為，對風(fēng)險管理的研究與投資已經(jīng)滯后于實際需求”。

數(shù)字風(fēng)險管理是針對數(shù)字化轉(zhuǎn)型過程的各類風(fēng)險，在持續(xù)開展風(fēng)險評估基礎(chǔ)上，執(zhí)行相關(guān)風(fēng)險管理制度與流程、部署技術(shù)控制措施，建立健全安全運行體系，從而為實現(xiàn)風(fēng)險管理的總體目標(biāo)提供合理保證的一系列過程和方法。

未來數(shù)字風(fēng)險管理與將是網(wǎng)絡(luò)安全的重要延伸，網(wǎng)絡(luò)安全的發(fā)展也將與數(shù)字風(fēng)險管理走向融合。根據(jù)Gartner 2020年9月的一份有關(guān)網(wǎng)絡(luò)安全的新興技術(shù)和趨勢的研究報告預(yù)測，未來網(wǎng)絡(luò)安全將產(chǎn)生許多新的應(yīng)用領(lǐng)域，其中“數(shù)字風(fēng)險管理DRM”和“數(shù)字風(fēng)險保護(hù)服務(wù)DRPS”將是重要的新領(lǐng)域。

三、數(shù)字風(fēng)險管理的方法

要開展有效的數(shù)字風(fēng)險管理，首先要建立適宜的數(shù)字風(fēng)險管理框架（見圖1）。

該數(shù)字風(fēng)險管理框架由數(shù)字風(fēng)險治理、數(shù)字化轉(zhuǎn)型控制、數(shù)字風(fēng)險控制、新技術(shù)安全、數(shù)字安全機(jī)制、數(shù)字安全中臺及數(shù)字業(yè)務(wù)安全等內(nèi)容組成。

（一）數(shù)字風(fēng)險治理

數(shù)字化轉(zhuǎn)型是當(dāng)前企事業(yè)單位為適應(yīng)數(shù)字經(jīng)濟(jì)時代而進(jìn)行的一種生產(chǎn)力變革。數(shù)字化轉(zhuǎn)型涉及組織的各個方面，需要強(qiáng)有力的治理機(jī)制去支撐數(shù)字轉(zhuǎn)型過程中的決策、協(xié)調(diào)和支持的職能。

數(shù)字化轉(zhuǎn)型分為嘗試期、發(fā)展期和深入期三個階段，三個階段在數(shù)字治理機(jī)制（決策、控制和支撐）方面各有其特點，應(yīng)提前進(jìn)行規(guī)劃與調(diào)整（見表1）。

（二）數(shù)字化轉(zhuǎn)型控制

從本質(zhì)上說，數(shù)字化轉(zhuǎn)型其實是業(yè)務(wù)轉(zhuǎn)型，是信息技術(shù)驅(qū)動下的一場業(yè)務(wù)、管理和商業(yè)模式的深度變革重構(gòu)，技術(shù)是支點，業(yè)務(wù)是內(nèi)核。數(shù)字化轉(zhuǎn)型是使數(shù)字技術(shù)成為賦能模式創(chuàng)新和業(yè)務(wù)突破的核心力量，推動傳統(tǒng)產(chǎn)業(yè)、企業(yè)轉(zhuǎn)型升級，從而促進(jìn)整個社會轉(zhuǎn)型發(fā)展。

數(shù)字化轉(zhuǎn)型方法因行業(yè)、業(yè)務(wù)、技術(shù)、環(huán)境的不同而不同，組織可自行選擇適宜的轉(zhuǎn)型方法，但風(fēng)險管理人員一般可以從轉(zhuǎn)型戰(zhàn)略、保障條件、基本原則、關(guān)鍵行動、價值實現(xiàn)等方面把握其中的關(guān)鍵控制點并進(jìn)行風(fēng)險評判（見表2）。

（三）數(shù)字風(fēng)險控制體系

國際內(nèi)部審計師協(xié)會（IIA）于2020年7月發(fā)布了全新的“三線模型”，新增了六項原則，對新時期數(shù)字風(fēng)險體系的建立具有指導(dǎo)意義。

在“三線模型”中，第一線是組織為客戶提供產(chǎn)品和服務(wù)的前沿職能，包含支持性部門;第二線的職能部門負(fù)責(zé)協(xié)助開展風(fēng)險管理工作;第三線是內(nèi)部審計，對所有與實現(xiàn)目標(biāo)相關(guān)的事務(wù)提供獨立和客觀的確認(rèn)和建議。

“三線模型”適用于數(shù)字化轉(zhuǎn)型組織建立數(shù)字風(fēng)險管理體系，它重點關(guān)注風(fēng)險管理在完成組織目標(biāo)、創(chuàng)造價值，以及在“防御風(fēng)險”和保護(hù)價值方面作出的貢獻(xiàn)。該模型中，第二線的職能未被限定為某些職能部門，而是描述為“為風(fēng)險相關(guān)的事務(wù)提供專業(yè)知識、支持、監(jiān)督并提出合理質(zhì)疑”。因此，“三線模型”更適用于當(dāng)前數(shù)字化轉(zhuǎn)型環(huán)境下規(guī)模不同、復(fù)雜性各異以及監(jiān)管程度不同的組織。通過確定適合的、實用的風(fēng)險管理的三線結(jié)構(gòu)，分配并定義風(fēng)險管理及控制的具體職能，動態(tài)且高效地協(xié)調(diào)各職能群體，即使是那些沒有IT安全、風(fēng)險合規(guī)團(tuán)隊的小企業(yè)也同樣可以操作。

數(shù)字化轉(zhuǎn)型期的組織，根據(jù)實際情況也可把數(shù)字風(fēng)險管理擴(kuò)展到合規(guī)管理、績效評價、數(shù)字安全保險等領(lǐng)域。

（四）新技術(shù)與業(yè)務(wù)風(fēng)險體系

數(shù)字化是指通過萬物互聯(lián)、大數(shù)據(jù)、人工智能、區(qū)塊鏈等新興技術(shù)，把物理世界與虛擬世界緊密結(jié)合起來，利用數(shù)字技術(shù)對組織的總體戰(zhàn)略、業(yè)務(wù)運營、生產(chǎn)管理、市場營銷進(jìn)行系統(tǒng)化、整體性的變革，構(gòu)建新型數(shù)字業(yè)務(wù)，給組織提供創(chuàng)造收入和價值的新機(jī)會。

因此，新技術(shù)應(yīng)用在數(shù)字化轉(zhuǎn)型中已經(jīng)成為新的生產(chǎn)要素，新技術(shù)安全與數(shù)字業(yè)務(wù)安全等應(yīng)當(dāng)成為數(shù)字風(fēng)險管理中的重要內(nèi)容。

1.新技術(shù)安全。云計算、大數(shù)據(jù)、移動互聯(lián)、物聯(lián)網(wǎng)、區(qū)塊鏈、人工智能、5G、IPv6等新技術(shù)、新場景已經(jīng)廣泛應(yīng)用在政企環(huán)境中的數(shù)字化業(yè)務(wù)中，對其風(fēng)險進(jìn)行控制的方法，應(yīng)當(dāng)是在符合國家網(wǎng)絡(luò)安全法、等級保護(hù)要求，以及國際網(wǎng)絡(luò)安全最佳實踐的基礎(chǔ)上，在新技術(shù)平臺和應(yīng)用的建設(shè)過程中確保其來源可信性、架構(gòu)安全性、部署合規(guī)性和數(shù)據(jù)安全性。

2.數(shù)字安全機(jī)制。在新技術(shù)建設(shè)安全的基礎(chǔ)上，通過建立風(fēng)險評測、態(tài)勢感知、智能運維、零信任、攻防演練、安全可控、IT外包安全等安全運維機(jī)制，持續(xù)保障新技術(shù)平臺和應(yīng)用的安全。

3.數(shù)字安全中臺。通過服務(wù)目錄、服務(wù)編排、服務(wù)接口等形式向組織提供安全即服務(wù)，如主動安全防護(hù)、動態(tài)安全監(jiān)控、自動應(yīng)急響應(yīng)、威脅情報、數(shù)據(jù)防泄露、業(yè)務(wù)風(fēng)險預(yù)警等服務(wù)。

4.數(shù)字業(yè)務(wù)安全。在業(yè)務(wù)設(shè)計、研發(fā)、生產(chǎn)、營銷和服務(wù)等方面，通過數(shù)字風(fēng)險保護(hù)和管理與技術(shù)措施，確保數(shù)字業(yè)務(wù)的信息安全、運行安全、身份安全、內(nèi)容安全和活動安全，從而保障數(shù)字業(yè)務(wù)的正常運行。