甄杰（重慶工商大學(xué)）

謝宗曉（中國金融認(rèn)證中心）

董坤祥（山東財(cái)經(jīng)大學(xué)）

0 引言

近年來，伴隨數(shù)字技術(shù)與實(shí)體經(jīng)濟(jì)的持續(xù)深度融合，越來越多的企業(yè)將數(shù)字化轉(zhuǎn)型作為企業(yè)發(fā)展戰(zhàn)略的重要組成部分，將技術(shù)和數(shù)據(jù)驅(qū)動(dòng)的理念、方法與運(yùn)營管理機(jī)制嵌入企業(yè)變革之中。企業(yè)數(shù)字化轉(zhuǎn)型是指通過將數(shù)字技術(shù)引入現(xiàn)有管理架構(gòu)，推動(dòng)信息結(jié)構(gòu)、管理方式、運(yùn)營機(jī)制、生產(chǎn)過程的重塑，實(shí)現(xiàn)企業(yè)運(yùn)營與管理智能化的過程。借助數(shù)字化轉(zhuǎn)型，企業(yè)可以驅(qū)動(dòng)商業(yè)模式的持續(xù)升級(jí)，實(shí)現(xiàn)降本、增收和提效等具體目標(biāo)。然而，企業(yè)在享受數(shù)字化轉(zhuǎn)型所實(shí)現(xiàn)的更高商業(yè)價(jià)值的同時(shí)，也面臨著日益復(fù)雜且嚴(yán)峻的網(wǎng)絡(luò)和信息安全形勢(shì)，如頻發(fā)的數(shù)據(jù)泄露事件、頻繁的網(wǎng)絡(luò)攻擊等。因此，如何防范和控制信息安全風(fēng)險(xiǎn)，確保數(shù)字化轉(zhuǎn)型中關(guān)鍵信息資產(chǎn)的安全是企業(yè)實(shí)踐中迫切需要解決的問題。

網(wǎng)絡(luò)和信息安全是企業(yè)數(shù)字化轉(zhuǎn)型的前提和技術(shù)，不少學(xué)者的研究以及調(diào)查機(jī)構(gòu)的數(shù)據(jù)顯示：越來越多的企業(yè)開始關(guān)注內(nèi)部關(guān)鍵信息基礎(chǔ)設(shè)施、關(guān)鍵客戶數(shù)據(jù)的安全等問題。由此可見，制定和實(shí)施安全可控的數(shù)字化轉(zhuǎn)型整體解決方案正在成為企業(yè)信息安全管理的重點(diǎn)。實(shí)際上，已經(jīng)有部分企業(yè)開始通過信息安全治理來構(gòu)建或完善企業(yè)數(shù)字化轉(zhuǎn)型中信息安全活動(dòng)的全套指導(dǎo)體系，從原來的針對(duì)單個(gè)設(shè)施設(shè)備的安全防護(hù)逐漸向構(gòu)建全面、系統(tǒng)的主動(dòng)安全防護(hù)體系過渡。本文中的信息安全治理是指在滿足合規(guī)要求基礎(chǔ)上，將信息安全融入數(shù)字化轉(zhuǎn)型的各項(xiàng)業(yè)務(wù)中去，以實(shí)現(xiàn)信息安全與組織戰(zhàn)略的一致性匹配，確保信息安全風(fēng)險(xiǎn)得到有效管理和控制的持續(xù)過程。

1 企業(yè)信息安全治理的必要性

1.1 滿足合規(guī)的要求

2016年12月發(fā)布并實(shí)施的《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》，2017年11月開始施行的《中華人民共和國網(wǎng)絡(luò)安全法》，2021年9月開始施行的《中華人民共和國數(shù)據(jù)安全法》，標(biāo)志著對(duì)信息安全和網(wǎng)絡(luò)安全的重視已經(jīng)上升到國家層面，這也為企業(yè)全面推進(jìn)信息安全合規(guī)提供了參考依據(jù)和改進(jìn)方向。同時(shí)，針對(duì)數(shù)據(jù)等關(guān)鍵信息要素的保護(hù)，不同行業(yè)的主管部門也根據(jù)行業(yè)發(fā)展需要陸續(xù)制定并發(fā)布了相關(guān)行業(yè)標(biāo)準(zhǔn)和管理規(guī)范。在數(shù)字化轉(zhuǎn)型過程中，企業(yè)要有針對(duì)性地制定信息安全合規(guī)解決方案，而信息安全治理通過不斷完善內(nèi)部的信息安全頂層設(shè)計(jì)可以幫助企業(yè)實(shí)現(xiàn)合規(guī)要求。

1.2 確保應(yīng)用場(chǎng)景安全

企業(yè)數(shù)字化轉(zhuǎn)型本質(zhì)上是利用數(shù)字技術(shù)對(duì)企業(yè)運(yùn)行和管理進(jìn)行創(chuàng)新與變革，其核心要素是技術(shù)和數(shù)據(jù)，以建設(shè)數(shù)據(jù)為代表的數(shù)字化解決方案因此成為企業(yè)數(shù)字化轉(zhuǎn)型的理想選擇。因此，對(duì)于推進(jìn)數(shù)字化轉(zhuǎn)型的企業(yè)而言，其面臨的信息安全風(fēng)險(xiǎn)除了源于傳統(tǒng)意義上的基礎(chǔ)設(shè)施、網(wǎng)絡(luò)環(huán)境和系統(tǒng)應(yīng)用以外，更多的信息安全風(fēng)險(xiǎn)來自于數(shù)據(jù)及其創(chuàng)新應(yīng)用場(chǎng)景。有鑒于此，通過信息安全治理相關(guān)工作，幫助企業(yè)采用適宜的規(guī)則和制度來約束和塑造不同數(shù)據(jù)應(yīng)用場(chǎng)景下的信息安全活動(dòng)，便具有十分突出的意義。

2 企業(yè)信息安全治理面臨的主要挑戰(zhàn)

2.1 是“追求效率”還是“追求安全”

企業(yè)數(shù)字化轉(zhuǎn)型的一個(gè)主要特征就是數(shù)字化，通過數(shù)字化轉(zhuǎn)型來提高企業(yè)運(yùn)營與管理的效率，提升企業(yè)競(jìng)爭(zhēng)力。企業(yè)數(shù)字化轉(zhuǎn)型是全方位的組織變革，將推動(dòng)研發(fā)、生產(chǎn)、管理、服務(wù)的數(shù)字化和智能化，形成企業(yè)發(fā)展的倍增效應(yīng)。與此同時(shí)，隨著數(shù)字化技術(shù)對(duì)企業(yè)各個(gè)運(yùn)營環(huán)節(jié)的融合，相關(guān)的數(shù)字與信息安全威脅也滲透到企業(yè)的運(yùn)營與管理之中，信息安全形勢(shì)愈發(fā)嚴(yán)峻。因此，在數(shù)字化轉(zhuǎn)型中企業(yè)內(nèi)部存在追求轉(zhuǎn)型績(jī)效與追求數(shù)字安全之間的結(jié)構(gòu)性沖突，而信息安全治理從企業(yè)整體出發(fā)綜合考慮各方訴求，有助于平衡“追求績(jī)效”與“追求安全”之間的沖突。

2.2 多方信息安全行動(dòng)不一致

企業(yè)數(shù)字化轉(zhuǎn)型背景下的信息安全幾乎涉及企業(yè)所有部門、業(yè)務(wù)與流程，具有全業(yè)務(wù)與流程以及全員相關(guān)等特殊性，這就不可避免地存在各部門、業(yè)務(wù)之間的溝通不順暢，存在圍繞信息安全的行動(dòng)不一致的問題。同時(shí)，企業(yè)內(nèi)部不同部門的信息安全經(jīng)驗(yàn)或認(rèn)知水平的差異，會(huì)放大這種信息安全行動(dòng)的不一致程度。例如，不少企業(yè)制定的信息安全政策由于缺乏充分的內(nèi)部調(diào)研與員工參與，往往導(dǎo)致具體要求與日常工作存在矛盾。信息安全治理所明確的治理規(guī)則及其制度安排，將強(qiáng)化和協(xié)調(diào)不同部門及業(yè)務(wù)流程之間的溝通，這有利于解決企業(yè)數(shù)字化轉(zhuǎn)型中各部門之間信息安全活動(dòng)不一致的問題。

2.3 風(fēng)險(xiǎn)管理責(zé)任不落實(shí)

企業(yè)數(shù)字化轉(zhuǎn)型是一項(xiàng)復(fù)雜的系統(tǒng)工程，需要持續(xù)推進(jìn)數(shù)字化技術(shù)與實(shí)體經(jīng)濟(jì)的融合。同時(shí)，數(shù)字化的運(yùn)營將推動(dòng)企業(yè)開發(fā)和設(shè)計(jì)更多數(shù)據(jù)驅(qū)動(dòng)的產(chǎn)品或服務(wù)以及數(shù)據(jù)驅(qū)動(dòng)的眾多應(yīng)用場(chǎng)景。對(duì)于由數(shù)據(jù)驅(qū)動(dòng)的全新業(yè)務(wù)場(chǎng)景的安全管理，往往會(huì)存在滯后的現(xiàn)象，而一旦發(fā)生數(shù)據(jù)泄露事件將會(huì)對(duì)企業(yè)造成嚴(yán)重的經(jīng)濟(jì)損失。信息安全治理將針對(duì)企業(yè)內(nèi)外部環(huán)境的變化，將風(fēng)險(xiǎn)防范和風(fēng)險(xiǎn)責(zé)任細(xì)化至每個(gè)員工的工作崗位，努力通過行為指引和塑造減少信息安全風(fēng)險(xiǎn)發(fā)生的可能性以及風(fēng)險(xiǎn)發(fā)生之后的責(zé)任承擔(dān)問題，緩解安全責(zé)任不落實(shí)的問題。

3 企業(yè)信息安全治理的具體對(duì)策分析

3.1 設(shè)計(jì)合理的信息安全治理結(jié)構(gòu)

如前所述，企業(yè)信息安全治理是一項(xiàng)復(fù)雜的系統(tǒng)工程，需要綜合考慮企業(yè)高層管理團(tuán)隊(duì)中CEO、CIO、CFO、各部門主管，以及廣大員工的利益、訴求和責(zé)任，在秉承多元治理主體的理念下對(duì)信息安全治理相關(guān)的決策權(quán)、執(zhí)行權(quán)、投資權(quán)、監(jiān)督權(quán)等權(quán)利進(jìn)行合理配置，完善企業(yè)信息安全治理的治理結(jié)構(gòu)，面向信息安全規(guī)范相關(guān)方在數(shù)字化轉(zhuǎn)型中的權(quán)責(zé)利關(guān)系，實(shí)現(xiàn)信息安全與數(shù)字化轉(zhuǎn)型戰(zhàn)略的良性互動(dòng)與匹配。

3.2 健全適宜的信息安全治理機(jī)制

企業(yè)內(nèi)部制度層面治理機(jī)制的構(gòu)建是信息安全治理的核心內(nèi)容，治理機(jī)制是一系列規(guī)則的綜合，是維持不同主體之間關(guān)系的重要抓手，它針對(duì)相應(yīng)的信息安全治理結(jié)構(gòu)來選擇適當(dāng)?shù)闹贫劝才艁硗七M(jìn)治理過程。在企業(yè)數(shù)字化轉(zhuǎn)型中，信息安全治理既要保留契約治理所強(qiáng)調(diào)的規(guī)則，又要兼顧管理治理所看重的關(guān)系協(xié)調(diào)，還要納入流程治理所需要的控制措施嵌入，進(jìn)而實(shí)現(xiàn)多手段的信息安全風(fēng)險(xiǎn)管控策略。

3.3 完善有效的信息安全治理模式

有效的治理模式是企業(yè)信息安全治理落地的關(guān)鍵，信息安全治理模式是信息安全治理在企業(yè)內(nèi)部具體實(shí)施的一種方式，它通過風(fēng)險(xiǎn)責(zé)任的落實(shí)來塑造和指引各業(yè)務(wù)流程及具體崗位的員工信息安全行為。也就是說，它針對(duì)企業(yè)數(shù)字化轉(zhuǎn)型中的關(guān)鍵信息資源保護(hù)作出規(guī)定，明確提出各個(gè)崗位的安全職責(zé)和要求，實(shí)現(xiàn)職責(zé)清晰以及風(fēng)險(xiǎn)責(zé)任落地的目標(biāo)，確保企業(yè)數(shù)字化轉(zhuǎn)型中重要信息資產(chǎn)的機(jī)密性、完整性與可用性。

4 小結(jié)

網(wǎng)絡(luò)、數(shù)據(jù)和信息安全是企業(yè)數(shù)字化轉(zhuǎn)型的前提和基礎(chǔ)，本文通過分析企業(yè)數(shù)字化轉(zhuǎn)型中信息安全治理面臨的主要挑戰(zhàn)，從治理結(jié)構(gòu)、治理機(jī)制和治理模式提出全面提升企業(yè)信息安全治理有效性的對(duì)策與建議，以期形成面向企業(yè)數(shù)字化轉(zhuǎn)型的信息安全管理體系，幫助企業(yè)實(shí)現(xiàn)對(duì)關(guān)鍵信息資產(chǎn)/資源的主動(dòng)保護(hù)。

（注：本文僅做學(xué)術(shù)探討，與作者所在單位觀點(diǎn)無關(guān)）