企业数字化转型中信息安全治理面临的挑战及对策分析

甄杰（重庆工商大学）

谢宗晓（中国金融认证中心）

董坤祥（山东财经大学）

0 引言

近年来，伴随数字技术与实体经济的持续深度融合，越来越多的企业将数字化转型作为企业发展战略的重要组成部分，将技术和数据驱动的理念、方法与运营管理机制嵌入企业变革之中。企业数字化转型是指通过将数字技术引入现有管理架构，推动信息结构、管理方式、运营机制、生产过程的重塑，实现企业运营与管理智能化的过程。借助数字化转型，企业可以驱动商业模式的持续升级，实现降本、增收和提效等具体目标。然而，企业在享受数字化转型所实现的更高商业价值的同时，也面临着日益复杂且严峻的网络和信息安全形势，如频发的数据泄露事件、频繁的网络攻击等。因此，如何防范和控制信息安全风险，确保数字化转型中关键信息资产的安全是企业实践中迫切需要解决的问题。

网络和信息安全是企业数字化转型的前提和技术，不少学者的研究以及调查机构的数据显示：越来越多的企业开始关注内部关键信息基础设施、关键客户数据的安全等问题。由此可见，制定和实施安全可控的数字化转型整体解决方案正在成为企业信息安全管理的重点。实际上，已经有部分企业开始通过信息安全治理来构建或完善企业数字化转型中信息安全活动的全套指导体系，从原来的针对单个设施设备的安全防护逐渐向构建全面、系统的主动安全防护体系过渡。本文中的信息安全治理是指在满足合规要求基础上，将信息安全融入数字化转型的各项业务中去，以实现信息安全与组织战略的一致性匹配，确保信息安全风险得到有效管理和控制的持续过程。

1 企业信息安全治理的必要性

1.1 满足合规的要求

2016年12月发布并实施的《国家网络空间安全战略》，2017年11月开始施行的《中华人民共和国网络安全法》，2021年9月开始施行的《中华人民共和国数据安全法》，标志着对信息安全和网络安全的重视已经上升到国家层面，这也为企业全面推进信息安全合规提供了参考依据和改进方向。同时，针对数据等关键信息要素的保护，不同行业的主管部门也根据行业发展需要陆续制定并发布了相关行业标准和管理规范。在数字化转型过程中，企业要有针对性地制定信息安全合规解决方案，而信息安全治理通过不断完善内部的信息安全顶层设计可以帮助企业实现合规要求。

1.2 确保应用场景安全

企业数字化转型本质上是利用数字技术对企业运行和管理进行创新与变革，其核心要素是技术和数据，以建设数据为代表的数字化解决方案因此成为企业数字化转型的理想选择。因此，对于推进数字化转型的企业而言，其面临的信息安全风险除了源于传统意义上的基础设施、网络环境和系统应用以外，更多的信息安全风险来自于数据及其创新应用场景。有鉴于此，通过信息安全治理相关工作，帮助企业采用适宜的规则和制度来约束和塑造不同数据应用场景下的信息安全活动，便具有十分突出的意义。

2 企业信息安全治理面临的主要挑战

2.1 是“追求效率”还是“追求安全”

企业数字化转型的一个主要特征就是数字化，通过数字化转型来提高企业运营与管理的效率，提升企业竞争力。企业数字化转型是全方位的组织变革，将推动研发、生产、管理、服务的数字化和智能化，形成企业发展的倍增效应。与此同时，随着数字化技术对企业各个运营环节的融合，相关的数字与信息安全威胁也渗透到企业的运营与管理之中，信息安全形势愈发严峻。因此，在数字化转型中企业内部存在追求转型绩效与追求数字安全之间的结构性冲突，而信息安全治理从企业整体出发综合考虑各方诉求，有助于平衡“追求绩效”与“追求安全”之间的冲突。

2.2 多方信息安全行动不一致

企业数字化转型背景下的信息安全几乎涉及企业所有部门、业务与流程，具有全业务与流程以及全员相关等特殊性，这就不可避免地存在各部门、业务之间的沟通不顺畅，存在围绕信息安全的行动不一致的问题。同时，企业内部不同部门的信息安全经验或认知水平的差异，会放大这种信息安全行动的不一致程度。例如，不少企业制定的信息安全政策由于缺乏充分的内部调研与员工参与，往往导致具体要求与日常工作存在矛盾。信息安全治理所明确的治理规则及其制度安排，将强化和协调不同部门及业务流程之间的沟通，这有利于解决企业数字化转型中各部门之间信息安全活动不一致的问题。

2.3 风险管理责任不落实

企业数字化转型是一项复杂的系统工程，需要持续推进数字化技术与实体经济的融合。同时，数字化的运营将推动企业开发和设计更多数据驱动的产品或服务以及数据驱动的众多应用场景。对于由数据驱动的全新业务场景的安全管理，往往会存在滞后的现象，而一旦发生数据泄露事件将会对企业造成严重的经济损失。信息安全治理将针对企业内外部环境的变化，将风险防范和风险责任细化至每个员工的工作岗位，努力通过行为指引和塑造减少信息安全风险发生的可能性以及风险发生之后的责任承担问题，缓解安全责任不落实的问题。

3 企业信息安全治理的具体对策分析

3.1 设计合理的信息安全治理结构

如前所述，企业信息安全治理是一项复杂的系统工程，需要综合考虑企业高层管理团队中CEO、CIO、CFO、各部门主管，以及广大员工的利益、诉求和责任，在秉承多元治理主体的理念下对信息安全治理相关的决策权、执行权、投资权、监督权等权利进行合理配置，完善企业信息安全治理的治理结构，面向信息安全规范相关方在数字化转型中的权责利关系，实现信息安全与数字化转型战略的良性互动与匹配。

3.2 健全适宜的信息安全治理机制

企业内部制度层面治理机制的构建是信息安全治理的核心内容，治理机制是一系列规则的综合，是维持不同主体之间关系的重要抓手，它针对相应的信息安全治理结构来选择适当的制度安排来推进治理过程。在企业数字化转型中，信息安全治理既要保留契约治理所强调的规则，又要兼顾管理治理所看重的关系协调，还要纳入流程治理所需要的控制措施嵌入，进而实现多手段的信息安全风险管控策略。

3.3 完善有效的信息安全治理模式

有效的治理模式是企业信息安全治理落地的关键，信息安全治理模式是信息安全治理在企业内部具体实施的一种方式，它通过风险责任的落实来塑造和指引各业务流程及具体岗位的员工信息安全行为。也就是说，它针对企业数字化转型中的关键信息资源保护作出规定，明确提出各个岗位的安全职责和要求，实现职责清晰以及风险责任落地的目标，确保企业数字化转型中重要信息资产的机密性、完整性与可用性。

4 小结

网络、数据和信息安全是企业数字化转型的前提和基础，本文通过分析企业数字化转型中信息安全治理面临的主要挑战，从治理结构、治理机制和治理模式提出全面提升企业信息安全治理有效性的对策与建议，以期形成面向企业数字化转型的信息安全管理体系，帮助企业实现对关键信息资产/资源的主动保护。

（注：本文仅做学术探讨，与作者所在单位观点无关）