数字化转型背景下的数字风险治理

日前，2021（第二十届）中国互联网大会在北京国家会议中心成功举办。作为我国互联网领域顶尖科技与先进理念的汇聚地和风向标,本届大会以“新阶段、新理念、新格局——互联网引领数字经济新发展”为主题，围绕5G应用、工业互联网、数字政府、数据治理、知识产权保护等热点议题展开研讨。

在本次大会期间，如何帮助现代企业应对数字化转型过程中面临的数字风险挑战受到与会嘉宾广泛关注。主办方也特别举办了“数字化治理”主题论坛，并邀请了蚂蚁集团副总裁韦韬、360集团大数据协同安全技术国家工程实验室副主任钟力、谷安天下科技有限公司董事长陈伟先生、中国信通院云计算与大数据研究所陈杨等行业专家，为保障数字化产业健康发展建言献策。

作为我国数字化风险研究的资深专家，陈伟在论坛上作了《数字化转型背景下的数字风险治理》主题分享，从数字化转型背景下的数字风险、数字化风险管控的要求与原则和数字化风险治理的框架与方法这三方面出发，由表入里，结合企业实际发展情形和市场调研数据，深度论证、剖析了行业数字化转型风向，提出了更具创新性和实用性的解决方略，引起了在场企业和观众的广泛共鸣讨论。以下是陈伟先生演讲的主要内容：

十四五期间，各行各业不断深入的数字化转型正推动中国全面进入数字经济时代。新技术在推动新经济蓬勃发展的同时，也如影随行地带来了许多的新的风险。

RSA在其2020年发布的《数字风险报告》中总结出了数字化时代我们必须面对的八大类风险：网络攻击风险、动态员工风险、第三方风险、云转换风险、数据和隐私风险、流程自动化风险、合规风险和业务弹性风险。根据国内外对数字风险的研究和我国实际情况，我们提出“十四五”期间我国政企组织应重点关注以下十类数字风险：

但上述所有风险都要结合实际情况，具体分析。总的来说，企业转型发展可大致分为信息化、数字化和智能化三个阶段，企业应根据自身所处的阶段和各类场景，分析其可能存在的数字安全风险。

一个良好的数字化风险治理机制应当是以业务需求为出发点，以新技术驱动和大数据分析为手段，以身份的“零信任”和业务的“高弹性”为基础, 通过动态自适应的方法来保护企业数字资产的机密性、完整性、可用性、隐私性和可靠性，以成本最优的方式实际组织业务价值的最大化。

要建立这样一种良好的治理机制，企业应尽量应遵循以下原则：

风控协作化：从企业风险到数字风险，从网络安全与数字安全，从“三道防线”到“三线协同”，数字风险治理需要形成决策机构、业务部门、IT部门、风险管理部门和审计部门齐抓共管，协同作战的局面。

管理一体化：形成面向全组织的、集中统一的数字风险管理标准，并结合各类监管规范对于数字安全的要求，打造融数字风险识别、预警、检测、监测、保护、应急响应于一体的数字风险管控平台。

防御主动化：全面提升数字风险防护能力，应用云原生安全、可信计算、国产密码、业务反欺诈等自主可控技术，开展数字化网络安全、业务安全、数据安全的建设和整改加固，形成主动免疫、主动防御、整体防控的主动化的数字风险防御体系。

运营智能化：利用云计算、大数据及威胁情报技术，建设数字安全智慧大脑，以安全分析为核心，结合云端威胁情报，通过各种数字安全场景及可视化手段，利用安全运营服务和安全编排自动化响应技术为企业提供高效的数字安全服务。

操作实战化：从被动的威胁应对和标准合规的模式，走向在常态化攻防演练中不断完善的模式，在遭受网络攻击时具备较强的对抗能力；在新的数字业务规划与设计时，就应当把数字控制要求和措施嵌入到新系统的开发和运维过程中去。

恢复弹性化：在遭受网络攻击、业务中断、安全事件干扰，甚至在灾难事件发生时，具有快速恢复的能力（即数字安全的弹性）。未来复杂的数字化环境下，数字安全弹性是数字安全保障体系必不可少的基本属性。

根据我国政企机构数字化发展特点及国家监管部门的要求，我们研发了如下数字化风险治理框架，以协助政企机构把网络安全管理逐步提升为数字风险管理。

该数字化风险治理框架由数字化高层控制、数字化转型控制、数字安全控制及数字化风险控制四个模块组成：

数字化高层控制

数字化高层控制是当前政企单位为适应数字经济时代而进行的一种高层治理机制的优化与变革。数字化转型涉及企业的各个方面，需要强有力的治理机制去支撑数字转型过程中的战略、决策、组织、协调和支持的职能。

数字化转型分为尝试期、发展期和深入期三个阶段，三个阶段在数字治理机制（战略、决策、控制和支撑）方面各有其特点，应提前进行规划与调整。

数字化转型控制

从本质上说，数字化转型其实是业务转型，是信息技术驱动下的一场业务、管理和商业模式的深度变革重构，技术是支点，业务是内核。数字化转型是使数字技术成为赋能模式创新和业务突破的核心力量，推动传统产业、企业转型升级，从而促进整个社会转型发展。

数字化转型方法因行业、业务、技术、环境的不同而不同，企业可自行选择适宜的转型方法。数据转型过程一般有：业务转型评估、转型计划制定、转型方案设计、专业团队构建、转型方案等；风险管理人员一般可以从转型战略、企业文化、整合协调、关键措施、价值实现等方面把握其中的关键控制点并进行风险评判。

数字化安全控制

新技术应用在数字化转型中已经成为新的生产要素，新技术安全与数字业务安全等应当成为数字风险管理中的重要内容。主要包括新基建新技术安全、数字安全机制、数字安全服务、数字业务安全等内容。

新基建新技术安全主要包括：云计算安全、大数据安全、移动互联安全、物联网安全、区块链安全、人工智能安全、5G安全、IPV6安全等；数字安全机制主要包括：零信任、开发运维安全一体化DevSecOps、态势感知、国产密码、SASE、SDP、微隔离、供应链安全、攻防演练等；数字业务安全主要包括：数字化业务设计、业务运营安全、业务数据安全、业务反欺诈、产品设计、生产制造、市场营销、客户服务等；数字安全服务主要包括：安全服务目录、安全服务编排、安全服务接口、安全服务度量等。

数字化风险控制

此处所说的数字化风险控制是从传统的企业风险控制三道防线体系演化过来的。数字化风险控制不能只是技术部门的责任，对于企业中的决策机构、业务部门、风险管理部门及审计部门同样具有相关责任。需要建立包括技术部门、业务部门在内的第一道防线，建立风险管理部门负责的第二道防线，以及审计部门负责的第三道防线（当然，我们还可以把决策机构看成是顶层防线）。三道防线齐抓共管才能确保数字化风险在企业中得到有效控制。

企业甚至可以引入外部机构和资源来参与数字化风险控制，例如第三方安全评测和数字安全保险等业务。

当前，数字化浪潮风起云涌，国家“十四五”规划纲要确立了发展数字经济战略，需要建立数字化风险治理机制为其保驾护航。因此，数字化风险治理是企业未来内部治理进一步完善的必然趋势。数字化风险管控的重要难点之一在于企业成员意识的转变和治理机制的建立。IT人员不是实现企业风险管控的唯一群体，只满足合规要求也不是企业的最终目标。体系化、全面化的管控框架建立需要在实践中不断试错、不断进步。数字化转型任重道远，数字化风险类型也再不断变化，需要在以人为本的基础之上来逐步建立有效的风险控制规范。企业应当提升员工风险意识，实时关注风险类型、威胁因素的变化发展规律，建立适合企业自身的数字化风险治理方案。