數字化轉型背景下企業數據安全風險影響因素識別

摘" 要：面對企業在數字化轉型過程中日益突出的數據安全問題，構建企業數據安全風險影響因素指標體系并識別關鍵影響因素，可提升企業數據治理能力，更好地助推企業數字化轉型，應對數據安全風險。文章基于企業數據安全的內涵和特點，從環境、技術、組織3個維度構建企業數據安全風險影響因素的結構框架，使用DEMATEL方法分析各影響因素之間的關系，根據影響因素的中心度和原因度構建因果關系圖。根據影響因素的分析結果，識別出數字化轉型下的企業數據安全風險的關鍵影響因素，認為外部人員的惡意行為、訪問記錄和監控設置、內部威脅等因素是重要的影響因素。

關鍵詞：企業數據；數據安全；風險識別；DEMATEL

中圖分類號：G203 文獻標識碼：A DOI：10.19881/j.cnki.1006-3676.2023.04.06

數字化轉型已成為企業經濟高質量發展的必由之路，然而在數據價值日益凸顯的同時，數據安全風險在流轉利用過程中也被不斷放大。近年來，數據泄露、濫用、隱私侵犯等數據安全事件層出不窮，對公民個人利益、相關產業發展以及國家安全造成嚴重威脅。2021年6月，中華人民共和國第十三屆全國人民代表大會常務委員會第二十九次會議通過的《中華人民共和國數據安全法》（簡稱《數據安全法》）明確提出，在堅持總體國家安全觀基礎上，建立健全數據安全治理體系，提高數據安全保障能力。《數據安全法》與《中華人民共和國網絡安全法》以及《中華人民共和國個人信息安全法》一并成為護航產業發展的“三駕馬車”。企業作為市場經濟的主體，對數字經濟發展起著直接的貢獻作用，然而，數據安全案件頻發給企業的利益和名譽造成了巨大損失。據IBM發布的《2022年數據泄露成本報告》顯示，2022年企業數據泄露事件平均成本高達435萬美元，相比2020年增長12.7％。[1]當前，我國在企業數據治理上未形成統一規范的標準，仍然缺乏針對各行各業的細化準則，企業數據安全風險難以避免。[2]在此背景下，企業如何在加快數字化進程的同時保護數據安全、防范數據安全風險，成為企業當下亟待解決的問題。鑒于此，筆者通過構建企業數據安全風險影響因素的三維框架，并識別出重要的安全風險因素，幫助企業及時、準確地了解自身數據安全風險現狀，對企業的數據安全治理起到一定參考作用。

一、相關研究述評

通過對國內外文獻的梳理發現，目前學者們對企業數據安全的研究主要集中在企業數據安全問題、企業數據安全評價與模型以及企業數據安全保護3個方面。

（一）企業數據安全問題研究

Mike S通過調研分析發現，大部分企業缺乏相關網絡安全培訓以及正式制度，其指出企業數據安全問題與人力存在關系，認為應加強對企業員工數據安全相關的培訓以及政策管理來防范風險。[3]Rehman MHU等認為，數據既是企業創造價值的工具，也是實現可持續發展的重要因素，可通過保護客戶數據安全、數據安全共享等方式加強企業和顧客之間的信任。[4]唐彬等指出，金融業中存在數據過度挖掘、數據管理制度不健全、防護技術和平臺防護機制不完善等安全風險。[5]胡能鵬等提出從數據資產、安全策略、安全事件和安全風險4個方面來提升企業數據安全管理能力。[6]

（二）企業數據安全評價與模型研究

各國政府出臺了一系列數據安全相關標準規范，為企業展開數據安全管理和評估提供參考。例如，美國國家標準與技術研究院（National Institute of Standards and Technology，NIST）制定了《NIST大數據互操作性框架》，從定義、操作、安全及隱私等方面探討數據安全控制管理的具體內容。[7]吳繼英等將企業大數據安全要素歸納為應用、技術和管理3個維度，并基于SHEL模型構建了一個以“人”為核心的企業大數據安全評價指標體系。[8]池雅瓊等從平臺風險、企業行為和外部威脅3個層面構建企業數據保護成熟度模型，在對典型行業展開實證分析后發現企業在物理、隱私安全設置、黑客竊取、信息保護行為以及數據跨境傳輸等方面還存在諸多不足。[9]

（三）企業數據安全保護研究

Lin A等從通用數據安全架構和角色訪問控制的角度出發，提出在方案中引入安全策略語言支持來增加數據安全訪問控制能力。[10]Goncalves ME等通過對數據進行加密并控制用戶的解密能力，實現對敏感數據的訪問控制以此確保數據的安全。[11]董楊慧等通過分析90個數據泄露事件，提出防止員工泄密、加強數據保護、提高危機公關能力等建議，降低企業數據泄露帶來的影響。[12]劉星等構建了數據經濟時代下企業數據保護的知識產權模式，為企業在法律保護模式上提供了新的角度。[13]

綜上所述，國內外學者從不同角度展開了企業數據安全的研究，但從風險分析角度來探討企業的數據安全的研究仍然較少，并且在企業數據安全風險的量化評估上相對缺乏。鑒于此，筆者在明確企業數據安全的內涵和特點的前提下，從環境、技術、組織3個維度分析風險影響因素。在三維框架的基礎上，從物理環境安全、數據管理、技術安全、管理安全和人員安全風險5個層面來構建企業數據安全風險影響因素體系。研究以期對企業在實踐中展開數據安全評價、提高數據安全管理能力提供借鑒。

二、數字化轉型下的企業數據安全風險影響因素體系構建

隨著數字化轉型的不斷推進，傳統的企業數據安全在新環境下發生了變化，產生了新的特點。鑒于此，筆者在闡述企業數據安全的內涵和特點的基礎上，從環境、技術和組織3個維度構建企業數據安全風險影響因素體系，以幫助企業在數字化轉型的背景下防范數據安全風險。

（一）企業數據安全內涵

根據《數據安全法》中給出的定義，數據安全是指“通過采取必要措施，確保數據處于有效保護和合法利用的狀態，以及具備保障持續安全狀態的能力。”隨著數字化進程不斷加快，企業數據安全的內涵有了更加廣泛、豐富的內容，其不僅包括傳統的數據安全，如數據完整性、可用性、保密性，還強調在動態下的數據處理全生命周期過程的安全[14]。企業數據安全風險可能存在于數據的收集、存儲、使用、加工、傳輸、共享等各個環節中，并且隨著特定應用場景的變化而發生改變。企業數據安全在新環境下產生了新的特點，主要體現在以下4個方面：其一，流動和利用等動態形式成為數據的常態，數據所面臨的環境更加復雜多樣，引發新的安全風險；[15]其二，云環境下數據挖掘技術的廣泛運用使得傳統的數據安全與隱私風險被無限放大，其造成的后果更加嚴重；其三，關鍵基礎設施運營者未建立起有效的防護體系機制，在供應鏈開發、運維等環節存在缺陷；其四，企業數據的跨境流動日益頻繁，面臨多種安全風險和安全攻擊。

（二）企業數據安全風險影響因素體系三維框架

企業數據安全治理是智慧城市信息安全治理過程中不可或缺的重要一環。一方面，企業作為數據的生產者和治理者，是促進智慧城市信息安全發展的重要基石，智慧城市的發展離不開企業這一重要主體的積極參與和協調；另一方面，智慧城市的健康可持續發展為企業數據安全提供強有力的保障，引導企業完善制度建設、數據管理和技術應用等方面，從而有效防范各類數據安全風險。為了更全面、準確和深入了解企業數據安全，筆者結合企業數據安全的內涵和特點，將企業數據安全風險影響因素歸納為環境、技術和組織3個維度。這3個維度之間并不是相互割裂的，而是緊密相連、相互依存的關系，共同構建起企業數據安全風險影響因素體系這個復雜的系統。（見圖1）。

1.環境維度分析

企業數據安全風險所處的環境主要包括政策、物理、技術和管理環境4個方面。其中，政策環境是指國家數據安全相關法律法規對企業信息活動提出的要求和約束；物理環境是指智慧城市基礎設施和企業自身物理環境，具體內容包括信息網絡設施、信息共享設施、機房設備安全和系統平臺安全等；技術環境包括智慧城市下物聯網、云計算等新型技術環境；管理環境是指包括對人員、機房設備和制度的管理，具體內容涉及對員工的安全培訓、數據安全專職人員的崗位設置以及制定嚴格合理的安全管理制度和安全事故的應急措施等。

2.技術維度分析

在云計算、人工智能、區塊鏈等新型基礎設施和新技術快速發展的同時，其帶來的安全威脅也日益凸顯，企業對安全防護需求更加迫切。從數據安全的特點上考慮，傳統的數據安全技術無法滿足當前對于數據安全保障的高效、實時和動態的需求，企業應根據數據的應用場景變化應用新的技術。在數據的采集、存儲、處理等每一環節都可能存在數據安全的風險，因此按照數據生命周期來劃分數據安全技術，包括數據采集技術、數據存儲技術、隱私保護技術和數據處理技術。[16]其中，數據采集技術主要利用訪問控制、數據偽造等手段防止數據的非授權采集和規避隱私泄露風險；數據存儲技術利用數據加密和完整性驗證防止數據泄露；隱私保護技術包括差分隱私、知識圖譜等；數據處理技術包括數據發布和數據挖掘等。[17]

3．組織維度分析

企業對數據安全風險的管控，不僅是安全部門的職責，而是涉及多方主體共同參與，并且組織內部的各層級之間需要達成一致的共識，確保采取合理適當的措施，才能有效應對安全風險。具體包括數據利益相關方、數據治理委員會、數據管理者和數據技術專家等。其中，數據利益相關方主要工作是創建和使用數據，并對其進行監管；數據治理委員會負責擬定本企業數據治理相關的制度、目標、標準等，以及負責協調各部門之間的工作；數據管理者作為執行部門，負責執行制定各項決策和任務；數據技術專家主要負責數據生命周期的各個階段的工作，包括數據錄入、修改、備份、修復等。

環境、技術和組織3個維度是構建企業數據安全風險影響因素體系的基礎。為了更系統、全面地構建企業數據安全風險影響因素體系，筆者將環境維度擴充為物理及環境安全風險因素，技術維度解釋為技術安全風險因素，組織維度擴充為管理安全風險和人員安全風險因素。結合企業數據安全的內涵和特點，將數據內容風險因素也納入體系之中，使研究更具科學性、合理性。

（三）企業數據安全風險影響因素體系的檢驗與修正

為保證影響因素體系的科學性與合理性，采用德爾菲法，通過調查問卷和訪談的形式對高校企業管理、信息安全等相關領域以及企業相關人員等10名專家進行意見征詢，了解他們對企業數據安全風險的理解以及對影響因素體系的解釋。在經過多輪的專家意見征詢后針對專家們提出的意見對指標進行修正，從而形成最終的企業數據安全風險影響因素體系（見表1）。

三、企業數據安全風險影響因素分析

筆者采用DEMATEL方法來分析企業數據安全風險影響因素，并識別影響企業數據安全風險的關鍵因素，這樣有利于幫助企業發現自身在數據安全上存在的問題和風險，提升數據安全保障能力，更好地助推企業數字化轉型。

（一）DEMATEL方法

DEMATEL（Decision Making Trial and Evaluation Laboratory）又稱決策實驗和評價實驗室，用以對復雜系統中各因素進行分析與識別，刻畫因素間的相互影響程度。[18]通過梳理相關文獻發現，企業數據安全風險影響因素之間相互作用、相互影響。因此，運用DEMATEL方法從企業數據安全風險影響因素的眾多因素中掌握影響關系，識別關鍵因素。其基本步驟如下：

步驟1：建立初始直接影響矩陣G=[ gij]。邀請專家學者對各指標之間的相互影響程度進行打分，所有受訪者的評分值被平均后即可以得到以矩陣形式表示的直接影響矩陣G，其中gij 表示指標Χi對指標Χj的直接影響程度，并規定主對角線上元素gij =0，具體算式為：

G=[ gij]= g11 g12 g1n

G=[ gij]= g21 g22 g2n

G=[ gij]= " " " "

G=[ gij]= gn1 gn2 gnn

步驟2：運用公式將矩陣G標準化。記標準化后的直接影響矩陣為P，具體算式為：

P=G/

步驟3：計算綜合影響矩陣T綜合影響矩陣為初始直接影響矩陣和間接影響矩陣的和，其中Ε代表單位矩陣。具體算式為：

T=（tij）n×n=lim（P+P2+Λ+Ph）=P（E-P）-1

步驟4：計算中心度與原因度，并繪制出影響網絡關系圖。將綜合影響矩陣T的每行與每列分別加總求和，即可得出每行與每列之總和D和R，具體算式為：

D= ∑tij =（Di）n×1=（D1，Λ，Di，Λ，Λ，Dn）

R= ∑tij =（Rj）n×1=（R1，Λ，Rj，Λ，Λ，Rn）

其中，Di表示指標i直接影響和間接影響其他指標程度的總和，Ri表示指標i被其他指標影響程度的總和。（Di+Ri）表示指標之間的影響及被影響的總程度，稱之為中心度，中心度越大，表明該指標越重要；（Di-Ri）表示指標之間的影響或被影響的總程度，稱之為原因度，是指標之間的因果關系程度；最后，將中心度（Di+Ri）和原因度（Di-Ri）設為橫坐標和縱坐標，即可畫出各因素的因果關系圖。

（二）影響因素識別與計算

為保證研究結果的科學性和樣本數據的可靠性，筆者邀請10位高校企業管理、信息安全等相關領域專家以及企業相關人員，對各要素之間的強弱程度進行打分。打分規則采用四級標度法（無關系=0、弱關系=1、中關系=2、強關系=3），對于10位專家的打分結果利用平均值法取整，據此建立直接影響矩陣（見表2）。

運用Matlab2018a軟件，根據上述公式計算得到綜合影響矩陣、中心度、原因度，結果如表3所示。

以中心度為橫軸，原因度為縱軸繪制因果關系圖，得到18個影響因素在坐標系中的位置。并且以中心度平均數為5.240的線為內部輔助軸線，如圖2所示。

（三）結果分析

影響企業數據安全風險的18個因素之間是相互作用和聯系的，形成了一個復雜的系統，由上述DEMATEL方法識別可以得出以下結果：

1.原因因素和結果因素分析

據表3可知，機房設備安全（B1）、系統平臺安全（B2）、數據采集安全技術（B8）、數據存儲安全技術（B9）、數據傳輸共享技術（B10）、數據處理分析技術內部（B11）、內部員工惡意行為（B15）、外部人員惡意行為（B17）這8個因素的原因度大于0，為原因因素，其中原因度排名前三的依次是內部員工惡意行為（B15）、外部人員惡意行為（B17）和系統平臺安全（B2），說明這些因素強烈影響著其他因素。研究顯示，在85％的數據泄露和網絡安全事件中，“人的因素”成為關鍵因素，企業內部的惡意人員和外部攻擊造成的威脅愈演愈烈，成為企業數據安全中的嚴重隱患。企業應健全科學的安全規章制度，規范員工安全行為，明確數據安全責任，使每位員工清晰地了解自己在數據工作中的角色定位和遵循的原則；同時加強培訓內部人員的技術水平，培養員工數據安全意識，使員工充分意識到自身在企業數據安全治理中的重要性，最大可能地降低安全隱患。

自然災害威脅（B3）、數據分類分級（B4）、數據合規（B5）、數據銷毀（B6）、訪問記錄和監控設置（B7）、安全制度管理（B12）、人員管理（B13）、設備維護管理（B14）、內部員工操作失誤（B16）、人員安全文化素質及技術水平（B18）這些因素的原因度小于0，為結果因素。其中人員安全文化素質及技術水平（B18）的原因度最小，是最容易受到其他因素影響的結果因素。為避免數據安全事件，企業應高度重視自身的安全教育培訓，從安全意識、安全知識和安全技能等方面加強員工對安全風險的識別及規避能力，預防和減少安全事故的發生，從員工個人角度提升企業整體的數據安全管理水平。

2.影響因素的中心度分析

系統中各個因素的中心度反映了因素在系統中的相對重要程度，中心度的大小與影響因素的重要程度呈現正向相關關系。據表3可知，外部人員惡意行為（B17）的中心度在所有影響因素中最大，同時該因素的影響度也是排名第一，說明外部人員的惡意行為是企業數據安全風險中的關鍵影響因素之一。另外，中心度排名前五的因素還有訪問記錄和監控設置（B7）、內部員工操作失誤（B16）、人員安全文化素質及技術水平（B18）、系統平臺安全（B2）。由于企業自身基礎設施相對落后，同時缺乏安全技術能力，使這些薄弱環節成為黑客、犯罪團體等組織和攻擊的目標。企業應健全數據安全制度，制定嚴格的管理流程，明確規定數據的分類分級、對應的保護措施、全生命周期的保護策略。同時，應對數據的采集、加工、流通等過程采取不同的技術保護措施，利用科技力量預防數據泄露事件的發生，有效降低風險，最大程度減少損失。

3.主因素分析

根據表3的結果，主因素中原因度排名依次為人員安全風險（A5）、物理及環境安全風險（A1）、技術安全風險（A3）、管理安全風險（A4）和數據內容風險（A2），其中，原因因素為物理及環境安全風險（A1）、技術安全風險（A3）、人員安全風險（A5）；結果因素為管理安全風險（A4）、數據內容風險（A2）。中心度最大的主要因素是人員安全風險（A5），是占據企業數據安全風險中關鍵的影響因素，因此需要高度重視“人的因素”，警惕內外部人員給企業造成的泄露風險。

四、結語

研究聚焦企業在數字化轉型過程中面臨的數據安全風險問題，在文獻梳理的基礎上界定新環境下企業數據安全的內涵和特點，從環境、技術、組織三個維度構建數字化轉型下企業數據安全風險影響因素體系框架；運用系統因素的分析方法DEMATEL分析各影響因素之間的關系，并識別出企業數據安全風險中的關鍵影響因素。研究結果表明，外部人員的惡意行為、訪問記錄和監控設置、內部威脅等因素是重要的影響因素。

從理論意義來說，研究為數字化轉型進程中的企業數據安全治理研究提供一定參考價值，拓展了數據安全風險研究上的應用，并系統地總結和概述了影響企業數據安全風險的多個因素，構建了較為科學、合理的風險評價指標體系，使研究更具可行性和可操作性；從實踐意義來說，從企業在數字化進程中面臨的數據治理的現實需求出發，有助于提高企業上下對數據安全的重視程度，幫助企業更好地管理數據資產，更清晰、準確地發現其數據安全方面存在的問題，以助推企業數字化轉型，促進經濟高質量發展，對企業數據安全管理能力的提升具有一定的指導意義和參考價值。

保護企業的數據安全不是一個靜態的過程，而是一個系統的、動態的、與時俱進的過程。研究在影響因素指標的選取上存在局限性，由于專家的數量較少，導致研究結果存在一定的主觀性。后續研究可通過擴大調查數量和范圍，進一步完善指標要素體系，對企業的數據安全風險影響因素體系進行更深層次的研究與分析。

參考文獻：

[1] IBM Security.2022年數據泄露成本報告[EB/OL].（2022-07-28）[2023-02-13].https：//www.ibm.com/downloads/cas/A48NDEYW.

[2] 韋葦，任錦鸞，李文姬.基于國際比較的數據治理體系及優化策略[J].科技智囊，2022（07）：1-7.

[3] Mike S.Instilling a Culture of Data Security Throughout the Organization[J].Network Security，2018（06）：9-11.

[4] Rehman MHU，Chang V，Batool A，et al.Big Data Reduction Framework for Value Creation in Sustainable Enterprises[J].International Journal of Information Management，2016（06）：917-928.

[5] 唐彬，吳曉光.金融業大數據安全問題[J].中國金融，2017（23）：77-78.

[6] 胡能鵬，劉曉光.互聯網企業數據安全管理應用研究[J].網絡安全技術與應用，2020（12）：76-77.

[7] NIST.Big Data at NIST[EB/OL].（2019-03-15）[2023-02-13].https：//www.nist.gov/itl/big-data-nist.

[8] 吳繼英，張一凡，熊書明.基于SHEL模型的企業大數據安全評價指標體系構建[J].科技管理研究，2021（17）：144-151.

[9] 池雅瓊，劉峰，齊佳音.數字化轉型背景下企業數據保護成熟度模型構建[J].情報雜志，2021（09）：133-140.

[10] Lin A，Brown R.The Application of Security Policy to Role-Based Access Control and Common Data Security Architecture[J].Computer Communications，2000（17）：1584-1593.

[11] Goncalves ME，Jesus IA. Security Policies and the Weakening of Personal Data Protection in the European Union[J].Computer Law and Security Review，2013（03）：255-263.

[12] 董楊慧，謝友寧.大數據視野下的數據泄露與安全管理—基于90個數據泄露事件的分析[J].情報雜志，2014（11）：154-158.

[13] 劉星，姜南，歐忠輝，等.數字經濟時代企業數據權益保護研究[J].情報雜志，2021（10）：91-98，107.

[14] 董木欣，徐玉德.國有企業數字化轉型中的數據安全與治理路徑—基于信息生態視域[J].財會月刊，2022（13）：132-136.

[15] 曹開研.《數據安全法》：新形勢下數據風險治理的利器及實施展望[J].青年記者，2021（17）：70-72.

[16] Li J，Zou K，Xiang S，et al.Resource Allocation to Information Security in Smart Cities Based on Evolutionary Game[J].Tobacco Regulatory Science，2021（01）：805-815.

[17] Mehmood A，Natgunanathan I，Xiang Y，et al.Protection of Big Data Privacy[J].IEEE Access，2016（04）：1821-1834.

[18] 方俊智，文淑惠.DEMATEL中初始直接關系矩陣的構建方法[J].統計與決策，2017（13）：29-33.

Identification of Influencing Factors of Enterprise Data Security Risk under the Background of Digital Transformation

Huang" Zixun" " Zou" Kai

（School of Public Administration，Xiangtan University，Hunan，Xiangtan，411105）

Abstract：Considering the increasingly prominent data security issues in the process of digital transformation of enterprises，an index system of enterprise data security risk impact factors is constructed and key impact factors are identified，can improve the enterprise data governance ability，better facilitating the digital transformation of enterprise and addressing data security risks. Based on the connotation and characteristics of enterprise data security，the article constructing the structural frame work of enterprise data security risk influencing factors from three dimensions of environment，technology and organization，the DEMATEL method was used to analyze the relationship among the influencing factors，and the key influencing factors was quantified according to the centrality and causality of the influencing factors. Based on the analysis of the influencing factors，the key influencing factor of enterprise data security risks were identified，think that malicious behavior of external personnel，access record sand monitoring settings， internal threats and other factors are important influencing factors.

Key words：Enterprise data；Data security；Risk identification；DEMATEL

基金項目：本文系國家社會科學基金項目“大數據環境下智慧城市信息安全困境及應對策略研究”（項目編號：18BTQ055）、湖南省社科基金項目“智慧城市信息安全風險評估指標體系研究”（項目編號：18YBA398）階段性研究成果。

作者簡介：黃子洵，女，1998年生，碩士研究生，研究方向：信息安全。鄒凱，男，1965年生，博士，教授，博士生導師，研究方向：智慧城市、信息安全等。