数字化转型背景下的数字风险治理

日前，2021（第20届）中国互联网大会在北京国家会议中心成功召开。作为我国互联网领域顶尖技术和先进理念的聚集地和风向标，本次大会以“新阶段、新理念、新格局——互联网引领数字经济新发展”为主题，聚焦5G应用、工业互联网、数字政府、数据治理、知识产权保护等热点话题展开讨论。

在本次会议上，如何帮助现代企业应对数字化转型过程中面临的数字化风险挑战，引起了与会嘉宾的广泛关注。主办方还特地举办了“数字治理”主题论坛，邀请了蚂蚁集团副总裁魏涛、360集团大数据协同安全技术国家工程实验室副主任钟力、董事长陈伟先生固安天下科技有限公司的陈扬等来自中国信息通信研究院云计算与大数据研究所的行业专家，为数字产业的健康发展提供建言献策。

作为我国数字风险研究的资深专家，陈薇做了“数字“风险治理”主题分享,从数字化转型背景下的数字风险三个方面入手，数字风险管理的要求和原则以及数字风险治理的框架和方法，从表到内，结合公司的实际发展和市场调研数据，深入论证和分析行业数字化转型趋势，提出更具创新性和实用性的解决方案，引起在场企业和观众的广泛共鸣和讨论。以下是陈伟先生演讲的主要内容：

数字化转型背景下的数字化风险

“十四五”期间，各行各业的数字化深度转型正在推动中国全面进入数字化时代钍e 经济时代。新技术在推动新经济蓬勃发展的同时，也带来了许多新的风险。

RSA在其2020年发布的《数字风险报告》中总结了我们在数字时代必须面临的八类风险：网络攻击风险、动态员工风险、第三方风险、云转换风险、数据和隐私风险、流程自动化风险、合规风险和业务弹性风险。根据国内外对数字风险的研究和我国的实际情况，我们建议“十四五”期间，我国政府和企业组织应重点关注以下十类数字风险：

但以上所有风险都必须结合实际情况进行详细分析。总的来说，企业的转型发展大致可以分为信息化、数字化、智能化三个阶段。企业应根据自身所处的阶段和各种场景，分析其可能存在的数字安全风险。

数字风控的要求和原则

一个好的数字风控机制应该是以业务需求为出发点，以新技术驱动、大数据分析为手段，基于身份的“零信任”和业务的“高灵活性”，保障公司数字资产的机密性和完整性通过动态和自适应方法保护性能、可用??性、隐私和可靠性，并以成本优化的方式最大化业务价值。

建立这样一个良好的治理机制，企业应尽可能遵循以下原则：

风控协同：从企业风险到数字风险，从网络安全到数字安全从“三道防线”到“三道协同”，数字风险治理需要形成决策机构、业务部门、IT部门、风险管理部门、审计部门齐心协力、齐心协力的局面.

管理一体化：形成以组织为导向、集中统一的数字风险管理标准，结合各类监管法规对数字安全的要求，打造一体化的数字风险识别、预警、检测、监控、保护、应急响应综合数字风险管控平台。

防御倡议：全面提升数字风险防护能力，应用云原生安全、可信计算、国内密码、商业反欺诈等自主可控技术，发展数字网络安全、商业安全、数据安全。建设、整顿、强化，形成主动免疫、主动防御、全面防控的主动数字风险防御体系。

智能运营：利用云计算、大数据和威胁情报技术构建数字安全智能大脑，以安全分析为核心，结合云威胁情报，通过多种数字安全场景和可视化手段，利用安全运营服务和安全编排自动化响应技术，为企业提供高效的数字安全服务。

实际操作：从被动的威胁响应和标准合规模型，到在常态化攻防演习中不断改进的模型，面对网络攻击具有强大的对抗能力；在规划和设计数字服务时，数字控制要求和措施应嵌入到新系统的开发、运行和维护中。

弹性：在发生网络攻击、业务中断、安全事件甚至灾难时，具有快速恢复的能力（即数字安全的弹性）。在未来复杂的数字环境中，数字安全弹性是数字安全保障体系不可或缺的基本属性。

数字风险治理的框架和方法

根据我国政企机构数字化发展的特点和国家监管部门的要求，我们制定了以下数字化风险治理方案风险治理框架，协助政企机构逐步将网络安全管理升级为数字化风险管理。

数字风险管理框架由四个模块组成：数字高层控制、数字转换控制、数字安全控制和数字风险控制：

文章来源：《治理研究》 网址: http://www.zlyjzz.cn/zonghexinwen/2021/0720/2145.html