企業數字化轉型中信息安全治理面臨的挑戰及對策研究

王愛軍

（國家能源集團國源電力有限公司，北京 101000）

1 企業信息安全治理的重要意義

1.1 滿足合規的要求

1.2 確保應用場景安全

通過引入先進的數字技術，企業可以實現從傳統到現代的跨越式發展，這就需要將技術、數據、人才等多種要素有機結合起來，構建一套完善的數字化解決方案，從而實現企業的數字化轉型。隨著數字化轉型的深入發展，企業所面臨的信息安全風險已經超越了傳統的基礎設施、網絡環境和系統應用，越來越多的是由于數據的變化和創新性所帶來的威脅[2]。為此，建立完善的信息安全管控機制，并且根據不同的數據應用場景，制定合理的規章制度，顯得尤為重要。

2 企業信息安全治理存在的問題

2.1 是注重效率還是注重安全

企業數字化轉型是一種極具挑戰性的組織變革，其目的在于將信息技術應用于企業研發、生產、管理、服務等各個領域，使其具備更加先進的技術，從而極大地改善企業的運營效率，提升其市場競爭力，并使其長期穩定地發展。隨著數字化技術的不斷發展，它已經深入到企業的各個運營環節，同時也帶來了一些新的挑戰，比如數字安全和信息安全的威脅。為了解決這些問題，企業必須在追求轉型績效和保障數字安全之間尋求一種平衡，以便更好地實現“追求績效”和“追求安全”的目標。

2.2 各方在信息安全方面的行動存在分歧

隨著企業數字化轉型的推進，信息安全已經成為企業發展的重要組成部分，它涉及企業的各個層面，包括業務、流程和人員，因此，必須加強對信息安全的管理，確保各部門和人員的溝通協調，共同保證信息安全。隨著技術的發展，企業內部各個部門的信息安全經驗和認識水平的差距越來越明顯，從而加劇了信息安全行動的協調難度[3]。

2.3 風險管理責任無法有效落實

企業數字化轉型是一項極具挑戰性的工程，它不僅需要不斷深入地探索、整合、利用數據，還必須把握好節奏，從而使企業能夠創造出更有競爭力的數據驅動的產品、服務，并在各種領域得到廣泛的應用。隨著數字技術的飛速發展，傳統的安全管理方式已無法滿足當今復雜的業務需求，一旦出現數據泄漏，就會給企業帶來巨大的經濟損失。

2.4 網絡黑客攻擊危害

網絡黑客的入侵已經成為當今社會最嚴峻的信息安全問題，極大地威脅著網絡環境。黑客無視安全性和隱私保護，利用各種手段對用戶計算機系統實施攻擊，以破壞其安全性和可靠性，并對其造成嚴重的損害[4]。這種攻擊可以分為兩種：一種是主動攻擊，即破壞網絡設施和服務；另一種則是利用蠕蟲病毒等惡意軟件，破壞網絡環境，導致用戶無法正常訪問和操作。隨著黑客等非法入侵者的滲透，大數據挖掘技術的使用者可能會遭受到非法攻擊，從而導致用戶信息安全受到極大的威脅，這將使得信息安全風險急劇上升。

2.5 網絡病毒危害

木馬和蠕蟲病毒是人為編寫的計算機語言程序，它們具有高度的自我復制能力、傳播能力、破壞力和隱蔽性。如果用戶的計算機或其他設備感染了網絡病毒，它們將會對系統的運行狀態、數據和賬號信息造成嚴重的影響。隨著科技的進步，計算機網絡病毒的種類越來越多，而且傳播的速度也越來越快，可以通過硬盤、電子郵件、聊天工具、瀏覽器、文件下載等多種途徑傳播，特洛伊木馬尤其明顯，它們會被“合法身份”等程序或指令所掩蓋，一旦發作，它們就會對計算機系統造成嚴重的破壞，導致無法執行正常的程序指令，還會盜用用戶信息，甚至造成系統癱瘓，嚴重影響用戶系統的安全性和社交環境，威脅用戶的信息安全。

2.6 第三方泄密網絡資料

隨著網絡技術的發展，網購和聊天交流已經成為許多網民的日常生活場景，這也帶來了一些安全隱患，例如，第三方平臺可能會被惡意攻擊，第三方人員可能無視職業道德，此前曝出的攜程網的“安全門事件”、支付寶前員工可能會非法倒賣淘寶用戶的個人信息，這些都對用戶的信息安全構成嚴重的威脅。2011—2014年間個人信息泄露的情況日益惡化，第三方主動或被動泄露用戶的網絡信息成為一個令人擔憂的現實[5]。為此，政府應該采取有效措施，建立完善的個人信息保護機制，以防止個人信息被泄露，保護個人的隱私和財產。

3 企業信息安全治理的優化措施

3.1 設計完善的信息安全管控架構

企業信息安全治理是一項復雜的系統工程，它需要考慮企業高層管理團隊中CEO、CIO、CFO、各部門主管以及員工的利益、訴求和責任，并且在實施過程中充分尊重和保護他們的權利，以確保他們能夠有效地實施信息安全治理，并且能夠有效地實現數字化轉型，從而實現企業信息安全的可持續發展[6]。通過良性互動和匹配，實現信息安全和數字化轉型的有效結合。

3.2 完善信息安全管理機制

建立健全的企業內部管理制度是保障信息安全的基礎，這些制度包括多項規定，可以有效地協調各方利益，并且能夠根據實際情況，采取恰當的措施，以促進信息安全管理的有效實施。隨著企業數字化轉型的推進，信息安全治理不僅應當堅持契約治理的原則，同時也應當結合管控治理的關鍵因素，并將流程治理的有效控制措施融入其中，達到有效地防范和控制信息安全風險的目的。

1.定位上，強調審前程序的獨立性。目前我國的民事審前程序僅僅是庭審的前奏或投影，沒有實質的內容，只有單一的程序性價值，依附性較強。因此，審前程序的二元性價值改造需要解決的第一個問題就是確定審前程序的獨立性。將審前準備和庭審程序實現真正的分離，既可以防止法官的先入為主，也能有效遏制證據突襲，確保訴訟公正與民主價值的實現。

3.3 完善和有效地管理信息安全

采取有效的管控措施對于確保企業信息安全至關重要，這種管控措施可以從企業內部的角度出發，以確保每一項業務的正確執行，并且能夠規范每一個職能崗位的信息安全操作。為了有效保護企業數字化轉型過程中的關鍵信息資源，我們制定了嚴格的規章制度，并且明確了每一項工作的安全職責，從而使得每一項工作都能夠有效地執行，并且能夠有效的防范和控制風險，從而確保企業的重要信息資產的安全、完整和可用。

3.4 運用網絡信息安全防護技術

①采用密匙管理加密算法，對于重要的數據進行節點、鏈路和端到端的加密，從而提高數據的安全性和完整性；②防火墻技術可以說是一種極具威懾力的網絡信息安全管理工具，它可以將安全區域和可疑區域隔絕開來，阻止未經授權和非法的通信，以此來確保用戶的網絡信息安全；③入侵檢測技術則可以更好地幫助企業發現和阻止可疑的攻擊，它可以及早發現和阻止病毒和黑客的活動，為企業提供更加可靠和可控的網絡環境，以確保企業和個人的數據安全。通過采取有效措施，確保用戶的網絡信息安全；④通過采取系統容災技術，可以大大提升網絡信息安全性，這種技術可以通過將系統信息的存儲、保護和容災相結合，從而實現更強大的自我恢復能力，目前，最為普遍的兩種容災技術分別為基于計算機系統的容錯和基于數據備份的容錯。

3.5 加強網絡信息安全保護意識

為了有效應對網絡信息安全所面臨的挑戰，應該根據不同的攻擊類型，采取有針對性的、高效的預防措施，從而確保網絡信息安全。此外，為了有效抵御網絡嗅探攻擊，可以采取網絡分段和一次性口令技術，以達到最佳的防護效果[7]。在日常生活中，用戶應該加強對網絡信息安全的認知，不登錄有可能涉及欺詐的網站，以免發生不良后果，并最大限度地減少風險。

3.6 完善網絡信息安全管理機制

首先，建立一個嚴格的網絡信息安全保密框架，將保護用戶的個人隱私作為核心，制定出一套有效的網絡信息保護標準，并采取有效的技術手段來實現，同時，加強對網絡違法行為的懲戒，確保網絡信息的安全性。其次，建立一個長期有效的網絡信息安全保障機制，將網絡信息的安全性作為一個長期的目標，確保其得到有效的保護。最后為了確保網絡系統的安全性，必須建立一個完善的信息安全保障體系，包括邊界防御、安全響應、安全策略和破壞報警機制，以確保網絡的安全性[8]。這樣，才能有效地保護我們的網絡。

3.7 建設創新型的安全“數字人”

3.7.1 企業安全痛點分析

（1）業務范圍廣泛：涉及多個業務領域，不同業務需制定相應安全策略。

（2）多地分布：業務分布在不同的地理位置，需要通過網絡進行協同管理。要求網絡安全必須具備可管理性、可控性和可追溯性等特點。

（3）安全人才不足：一線安全團隊面臨的最大痛點是行業普遍存在的安全人才缺口大、成本高、先進技術迭代快速，技術人員認知跟不上等現實問題。另外，安全治理工作繁重，涉及員工數量眾多，存在泄密和誤操作的風險。

（4）IT系統架構復雜：應用系統架構比較復雜，不同系統之間存在復雜的數據交互和集成關系，業務應用依賴關系復雜，網絡安全風險識別，調查、防護和追溯難度大。

（5）安全工具多：現有網絡安全工具版本眾多，網絡安全管理和安全運維復雜。

3.7.2 具體舉措

結合企業長期數字化轉型的業務驅動，按照國家“三化六防”網絡安全工作的核心指導思想，以打造全方位、立體化的安全數字空間為目標，緊密聯系實際為一線安全團隊建立創新型、體系化、團隊化且可靈活部署的安全數字人系統，通過安全數字人來補充和完善網絡安全的人才、技術以及流程的不足，充分利用數字孿生和AI人工智能等先進技術，建設安全數字人員工隊伍，并使之常態化運行，從而降低網絡安全管理人員和運維人員的工作量，提升工作效率，全面實現“降本增效”的安全治理的工作閉環。

4 結束語

企業數字化轉型需要依靠網絡、數據和信息安全來支撐。在這個過程中，我們面臨諸多挑戰，為解決這些實際問題，需要不斷改進企業信息安全治理的結構、機制和模式，并采取一系列優化措施來提高信息安全水平，為現代企業數字化轉型構建完善的信息管理體系，從而為企業關鍵信息和數據資源提供強有力的安全保障。■