企業(yè)數(shù)字化轉(zhuǎn)型中信息安全治理面臨的挑戰(zhàn)及對策分析

甄杰（重慶工商大學(xué)）

謝宗曉（中國金融認(rèn)證中心）

董坤祥（山東財經(jīng)大學(xué)）

0 引言

近年來，伴隨數(shù)字技術(shù)與實體經(jīng)濟的持續(xù)深度融合，越來越多的企業(yè)將數(shù)字化轉(zhuǎn)型作為企業(yè)發(fā)展戰(zhàn)略的重要組成部分，將技術(shù)和數(shù)據(jù)驅(qū)動的理念、方法與運營管理機制嵌入企業(yè)變革之中。企業(yè)數(shù)字化轉(zhuǎn)型是指通過將數(shù)字技術(shù)引入現(xiàn)有管理架構(gòu)，推動信息結(jié)構(gòu)、管理方式、運營機制、生產(chǎn)過程的重塑，實現(xiàn)企業(yè)運營與管理智能化的過程。借助數(shù)字化轉(zhuǎn)型，企業(yè)可以驅(qū)動商業(yè)模式的持續(xù)升級，實現(xiàn)降本、增收和提效等具體目標(biāo)。然而，企業(yè)在享受數(shù)字化轉(zhuǎn)型所實現(xiàn)的更高商業(yè)價值的同時，也面臨著日益復(fù)雜且嚴(yán)峻的網(wǎng)絡(luò)和信息安全形勢，如頻發(fā)的數(shù)據(jù)泄露事件、頻繁的網(wǎng)絡(luò)攻擊等。因此，如何防范和控制信息安全風(fēng)險，確保數(shù)字化轉(zhuǎn)型中關(guān)鍵信息資產(chǎn)的安全是企業(yè)實踐中迫切需要解決的問題。

網(wǎng)絡(luò)和信息安全是企業(yè)數(shù)字化轉(zhuǎn)型的前提和技術(shù)，不少學(xué)者的研究以及調(diào)查機構(gòu)的數(shù)據(jù)顯示：越來越多的企業(yè)開始關(guān)注內(nèi)部關(guān)鍵信息基礎(chǔ)設(shè)施、關(guān)鍵客戶數(shù)據(jù)的安全等問題。由此可見，制定和實施安全可控的數(shù)字化轉(zhuǎn)型整體解決方案正在成為企業(yè)信息安全管理的重點。實際上，已經(jīng)有部分企業(yè)開始通過信息安全治理來構(gòu)建或完善企業(yè)數(shù)字化轉(zhuǎn)型中信息安全活動的全套指導(dǎo)體系，從原來的針對單個設(shè)施設(shè)備的安全防護逐漸向構(gòu)建全面、系統(tǒng)的主動安全防護體系過渡。本文中的信息安全治理是指在滿足合規(guī)要求基礎(chǔ)上，將信息安全融入數(shù)字化轉(zhuǎn)型的各項業(yè)務(wù)中去，以實現(xiàn)信息安全與組織戰(zhàn)略的一致性匹配，確保信息安全風(fēng)險得到有效管理和控制的持續(xù)過程。

1 企業(yè)信息安全治理的必要性

1.1 滿足合規(guī)的要求

2016年12月發(fā)布并實施的《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》，2017年11月開始施行的《中華人民共和國網(wǎng)絡(luò)安全法》，2021年9月開始施行的《中華人民共和國數(shù)據(jù)安全法》，標(biāo)志著對信息安全和網(wǎng)絡(luò)安全的重視已經(jīng)上升到國家層面，這也為企業(yè)全面推進信息安全合規(guī)提供了參考依據(jù)和改進方向。同時，針對數(shù)據(jù)等關(guān)鍵信息要素的保護，不同行業(yè)的主管部門也根據(jù)行業(yè)發(fā)展需要陸續(xù)制定并發(fā)布了相關(guān)行業(yè)標(biāo)準(zhǔn)和管理規(guī)范。在數(shù)字化轉(zhuǎn)型過程中，企業(yè)要有針對性地制定信息安全合規(guī)解決方案，而信息安全治理通過不斷完善內(nèi)部的信息安全頂層設(shè)計可以幫助企業(yè)實現(xiàn)合規(guī)要求。

1.2 確保應(yīng)用場景安全

企業(yè)數(shù)字化轉(zhuǎn)型本質(zhì)上是利用數(shù)字技術(shù)對企業(yè)運行和管理進行創(chuàng)新與變革，其核心要素是技術(shù)和數(shù)據(jù)，以建設(shè)數(shù)據(jù)為代表的數(shù)字化解決方案因此成為企業(yè)數(shù)字化轉(zhuǎn)型的理想選擇。因此，對于推進數(shù)字化轉(zhuǎn)型的企業(yè)而言，其面臨的信息安全風(fēng)險除了源于傳統(tǒng)意義上的基礎(chǔ)設(shè)施、網(wǎng)絡(luò)環(huán)境和系統(tǒng)應(yīng)用以外，更多的信息安全風(fēng)險來自于數(shù)據(jù)及其創(chuàng)新應(yīng)用場景。有鑒于此，通過信息安全治理相關(guān)工作，幫助企業(yè)采用適宜的規(guī)則和制度來約束和塑造不同數(shù)據(jù)應(yīng)用場景下的信息安全活動，便具有十分突出的意義。

2 企業(yè)信息安全治理面臨的主要挑戰(zhàn)

2.1 是“追求效率”還是“追求安全”

企業(yè)數(shù)字化轉(zhuǎn)型的一個主要特征就是數(shù)字化，通過數(shù)字化轉(zhuǎn)型來提高企業(yè)運營與管理的效率，提升企業(yè)競爭力。企業(yè)數(shù)字化轉(zhuǎn)型是全方位的組織變革，將推動研發(fā)、生產(chǎn)、管理、服務(wù)的數(shù)字化和智能化，形成企業(yè)發(fā)展的倍增效應(yīng)。與此同時，隨著數(shù)字化技術(shù)對企業(yè)各個運營環(huán)節(jié)的融合，相關(guān)的數(shù)字與信息安全威脅也滲透到企業(yè)的運營與管理之中，信息安全形勢愈發(fā)嚴(yán)峻。因此，在數(shù)字化轉(zhuǎn)型中企業(yè)內(nèi)部存在追求轉(zhuǎn)型績效與追求數(shù)字安全之間的結(jié)構(gòu)性沖突，而信息安全治理從企業(yè)整體出發(fā)綜合考慮各方訴求，有助于平衡“追求績效”與“追求安全”之間的沖突。

2.2 多方信息安全行動不一致

企業(yè)數(shù)字化轉(zhuǎn)型背景下的信息安全幾乎涉及企業(yè)所有部門、業(yè)務(wù)與流程，具有全業(yè)務(wù)與流程以及全員相關(guān)等特殊性，這就不可避免地存在各部門、業(yè)務(wù)之間的溝通不順暢，存在圍繞信息安全的行動不一致的問題。同時，企業(yè)內(nèi)部不同部門的信息安全經(jīng)驗或認(rèn)知水平的差異，會放大這種信息安全行動的不一致程度。例如，不少企業(yè)制定的信息安全政策由于缺乏充分的內(nèi)部調(diào)研與員工參與，往往導(dǎo)致具體要求與日常工作存在矛盾。信息安全治理所明確的治理規(guī)則及其制度安排，將強化和協(xié)調(diào)不同部門及業(yè)務(wù)流程之間的溝通，這有利于解決企業(yè)數(shù)字化轉(zhuǎn)型中各部門之間信息安全活動不一致的問題。

2.3 風(fēng)險管理責(zé)任不落實

企業(yè)數(shù)字化轉(zhuǎn)型是一項復(fù)雜的系統(tǒng)工程，需要持續(xù)推進數(shù)字化技術(shù)與實體經(jīng)濟的融合。同時，數(shù)字化的運營將推動企業(yè)開發(fā)和設(shè)計更多數(shù)據(jù)驅(qū)動的產(chǎn)品或服務(wù)以及數(shù)據(jù)驅(qū)動的眾多應(yīng)用場景。對于由數(shù)據(jù)驅(qū)動的全新業(yè)務(wù)場景的安全管理，往往會存在滯后的現(xiàn)象，而一旦發(fā)生數(shù)據(jù)泄露事件將會對企業(yè)造成嚴(yán)重的經(jīng)濟損失。信息安全治理將針對企業(yè)內(nèi)外部環(huán)境的變化，將風(fēng)險防范和風(fēng)險責(zé)任細(xì)化至每個員工的工作崗位，努力通過行為指引和塑造減少信息安全風(fēng)險發(fā)生的可能性以及風(fēng)險發(fā)生之后的責(zé)任承擔(dān)問題，緩解安全責(zé)任不落實的問題。

3 企業(yè)信息安全治理的具體對策分析

3.1 設(shè)計合理的信息安全治理結(jié)構(gòu)

如前所述，企業(yè)信息安全治理是一項復(fù)雜的系統(tǒng)工程，需要綜合考慮企業(yè)高層管理團隊中CEO、CIO、CFO、各部門主管，以及廣大員工的利益、訴求和責(zé)任，在秉承多元治理主體的理念下對信息安全治理相關(guān)的決策權(quán)、執(zhí)行權(quán)、投資權(quán)、監(jiān)督權(quán)等權(quán)利進行合理配置，完善企業(yè)信息安全治理的治理結(jié)構(gòu)，面向信息安全規(guī)范相關(guān)方在數(shù)字化轉(zhuǎn)型中的權(quán)責(zé)利關(guān)系，實現(xiàn)信息安全與數(shù)字化轉(zhuǎn)型戰(zhàn)略的良性互動與匹配。

3.2 健全適宜的信息安全治理機制

企業(yè)內(nèi)部制度層面治理機制的構(gòu)建是信息安全治理的核心內(nèi)容，治理機制是一系列規(guī)則的綜合，是維持不同主體之間關(guān)系的重要抓手，它針對相應(yīng)的信息安全治理結(jié)構(gòu)來選擇適當(dāng)?shù)闹贫劝才艁硗七M治理過程。在企業(yè)數(shù)字化轉(zhuǎn)型中，信息安全治理既要保留契約治理所強調(diào)的規(guī)則，又要兼顧管理治理所看重的關(guān)系協(xié)調(diào)，還要納入流程治理所需要的控制措施嵌入，進而實現(xiàn)多手段的信息安全風(fēng)險管控策略。

3.3 完善有效的信息安全治理模式

有效的治理模式是企業(yè)信息安全治理落地的關(guān)鍵，信息安全治理模式是信息安全治理在企業(yè)內(nèi)部具體實施的一種方式，它通過風(fēng)險責(zé)任的落實來塑造和指引各業(yè)務(wù)流程及具體崗位的員工信息安全行為。也就是說，它針對企業(yè)數(shù)字化轉(zhuǎn)型中的關(guān)鍵信息資源保護作出規(guī)定，明確提出各個崗位的安全職責(zé)和要求，實現(xiàn)職責(zé)清晰以及風(fēng)險責(zé)任落地的目標(biāo)，確保企業(yè)數(shù)字化轉(zhuǎn)型中重要信息資產(chǎn)的機密性、完整性與可用性。

4 小結(jié)

網(wǎng)絡(luò)、數(shù)據(jù)和信息安全是企業(yè)數(shù)字化轉(zhuǎn)型的前提和基礎(chǔ)，本文通過分析企業(yè)數(shù)字化轉(zhuǎn)型中信息安全治理面臨的主要挑戰(zhàn)，從治理結(jié)構(gòu)、治理機制和治理模式提出全面提升企業(yè)信息安全治理有效性的對策與建議，以期形成面向企業(yè)數(shù)字化轉(zhuǎn)型的信息安全管理體系，幫助企業(yè)實現(xiàn)對關(guān)鍵信息資產(chǎn)/資源的主動保護。

（注：本文僅做學(xué)術(shù)探討，與作者所在單位觀點無關(guān)）