王愛軍

（國家能源集團國源電力有限公司，北京 101000）

1 企業(yè)信息安全治理的重要意義

1.1 滿足合規(guī)的要求

1.2 確保應用場景安全

通過引入先進的數(shù)字技術，企業(yè)可以實現(xiàn)從傳統(tǒng)到現(xiàn)代的跨越式發(fā)展，這就需要將技術、數(shù)據(jù)、人才等多種要素有機結合起來，構建一套完善的數(shù)字化解決方案，從而實現(xiàn)企業(yè)的數(shù)字化轉(zhuǎn)型。隨著數(shù)字化轉(zhuǎn)型的深入發(fā)展，企業(yè)所面臨的信息安全風險已經(jīng)超越了傳統(tǒng)的基礎設施、網(wǎng)絡環(huán)境和系統(tǒng)應用，越來越多的是由于數(shù)據(jù)的變化和創(chuàng)新性所帶來的威脅[2]。為此，建立完善的信息安全管控機制，并且根據(jù)不同的數(shù)據(jù)應用場景，制定合理的規(guī)章制度，顯得尤為重要。

2 企業(yè)信息安全治理存在的問題

2.1 是注重效率還是注重安全

企業(yè)數(shù)字化轉(zhuǎn)型是一種極具挑戰(zhàn)性的組織變革，其目的在于將信息技術應用于企業(yè)研發(fā)、生產(chǎn)、管理、服務等各個領域，使其具備更加先進的技術，從而極大地改善企業(yè)的運營效率，提升其市場競爭力，并使其長期穩(wěn)定地發(fā)展。隨著數(shù)字化技術的不斷發(fā)展，它已經(jīng)深入到企業(yè)的各個運營環(huán)節(jié)，同時也帶來了一些新的挑戰(zhàn)，比如數(shù)字安全和信息安全的威脅。為了解決這些問題，企業(yè)必須在追求轉(zhuǎn)型績效和保障數(shù)字安全之間尋求一種平衡，以便更好地實現(xiàn)“追求績效”和“追求安全”的目標。

2.2 各方在信息安全方面的行動存在分歧

隨著企業(yè)數(shù)字化轉(zhuǎn)型的推進，信息安全已經(jīng)成為企業(yè)發(fā)展的重要組成部分，它涉及企業(yè)的各個層面，包括業(yè)務、流程和人員，因此，必須加強對信息安全的管理，確保各部門和人員的溝通協(xié)調(diào)，共同保證信息安全。隨著技術的發(fā)展，企業(yè)內(nèi)部各個部門的信息安全經(jīng)驗和認識水平的差距越來越明顯，從而加劇了信息安全行動的協(xié)調(diào)難度[3]。

2.3 風險管理責任無法有效落實

企業(yè)數(shù)字化轉(zhuǎn)型是一項極具挑戰(zhàn)性的工程，它不僅需要不斷深入地探索、整合、利用數(shù)據(jù)，還必須把握好節(jié)奏，從而使企業(yè)能夠創(chuàng)造出更有競爭力的數(shù)據(jù)驅(qū)動的產(chǎn)品、服務，并在各種領域得到廣泛的應用。隨著數(shù)字技術的飛速發(fā)展，傳統(tǒng)的安全管理方式已無法滿足當今復雜的業(yè)務需求，一旦出現(xiàn)數(shù)據(jù)泄漏，就會給企業(yè)帶來巨大的經(jīng)濟損失。

2.4 網(wǎng)絡黑客攻擊危害

網(wǎng)絡黑客的入侵已經(jīng)成為當今社會最嚴峻的信息安全問題，極大地威脅著網(wǎng)絡環(huán)境。黑客無視安全性和隱私保護，利用各種手段對用戶計算機系統(tǒng)實施攻擊，以破壞其安全性和可靠性，并對其造成嚴重的損害[4]。這種攻擊可以分為兩種：一種是主動攻擊，即破壞網(wǎng)絡設施和服務；另一種則是利用蠕蟲病毒等惡意軟件，破壞網(wǎng)絡環(huán)境，導致用戶無法正常訪問和操作。隨著黑客等非法入侵者的滲透，大數(shù)據(jù)挖掘技術的使用者可能會遭受到非法攻擊，從而導致用戶信息安全受到極大的威脅，這將使得信息安全風險急劇上升。

2.5 網(wǎng)絡病毒危害

木馬和蠕蟲病毒是人為編寫的計算機語言程序，它們具有高度的自我復制能力、傳播能力、破壞力和隱蔽性。如果用戶的計算機或其他設備感染了網(wǎng)絡病毒，它們將會對系統(tǒng)的運行狀態(tài)、數(shù)據(jù)和賬號信息造成嚴重的影響。隨著科技的進步，計算機網(wǎng)絡病毒的種類越來越多，而且傳播的速度也越來越快，可以通過硬盤、電子郵件、聊天工具、瀏覽器、文件下載等多種途徑傳播，特洛伊木馬尤其明顯，它們會被“合法身份”等程序或指令所掩蓋，一旦發(fā)作，它們就會對計算機系統(tǒng)造成嚴重的破壞，導致無法執(zhí)行正常的程序指令，還會盜用用戶信息，甚至造成系統(tǒng)癱瘓，嚴重影響用戶系統(tǒng)的安全性和社交環(huán)境，威脅用戶的信息安全。

2.6 第三方泄密網(wǎng)絡資料

隨著網(wǎng)絡技術的發(fā)展，網(wǎng)購和聊天交流已經(jīng)成為許多網(wǎng)民的日常生活場景，這也帶來了一些安全隱患，例如，第三方平臺可能會被惡意攻擊，第三方人員可能無視職業(yè)道德，此前曝出的攜程網(wǎng)的“安全門事件”、支付寶前員工可能會非法倒賣淘寶用戶的個人信息，這些都對用戶的信息安全構成嚴重的威脅。2011—2014年間個人信息泄露的情況日益惡化，第三方主動或被動泄露用戶的網(wǎng)絡信息成為一個令人擔憂的現(xiàn)實[5]。為此，政府應該采取有效措施，建立完善的個人信息保護機制，以防止個人信息被泄露，保護個人的隱私和財產(chǎn)。

3 企業(yè)信息安全治理的優(yōu)化措施

3.1 設計完善的信息安全管控架構

企業(yè)信息安全治理是一項復雜的系統(tǒng)工程，它需要考慮企業(yè)高層管理團隊中CEO、CIO、CFO、各部門主管以及員工的利益、訴求和責任，并且在實施過程中充分尊重和保護他們的權利，以確保他們能夠有效地實施信息安全治理，并且能夠有效地實現(xiàn)數(shù)字化轉(zhuǎn)型，從而實現(xiàn)企業(yè)信息安全的可持續(xù)發(fā)展[6]。通過良性互動和匹配，實現(xiàn)信息安全和數(shù)字化轉(zhuǎn)型的有效結合。

3.2 完善信息安全管理機制

建立健全的企業(yè)內(nèi)部管理制度是保障信息安全的基礎，這些制度包括多項規(guī)定，可以有效地協(xié)調(diào)各方利益，并且能夠根據(jù)實際情況，采取恰當?shù)拇胧?，以促進信息安全管理的有效實施。隨著企業(yè)數(shù)字化轉(zhuǎn)型的推進，信息安全治理不僅應當堅持契約治理的原則，同時也應當結合管控治理的關鍵因素，并將流程治理的有效控制措施融入其中，達到有效地防范和控制信息安全風險的目的。

1.定位上，強調(diào)審前程序的獨立性。目前我國的民事審前程序僅僅是庭審的前奏或投影，沒有實質(zhì)的內(nèi)容，只有單一的程序性價值，依附性較強。因此，審前程序的二元性價值改造需要解決的第一個問題就是確定審前程序的獨立性。將審前準備和庭審程序?qū)崿F(xiàn)真正的分離，既可以防止法官的先入為主，也能有效遏制證據(jù)突襲，確保訴訟公正與民主價值的實現(xiàn)。

3.3 完善和有效地管理信息安全

采取有效的管控措施對于確保企業(yè)信息安全至關重要，這種管控措施可以從企業(yè)內(nèi)部的角度出發(fā)，以確保每一項業(yè)務的正確執(zhí)行，并且能夠規(guī)范每一個職能崗位的信息安全操作。為了有效保護企業(yè)數(shù)字化轉(zhuǎn)型過程中的關鍵信息資源，我們制定了嚴格的規(guī)章制度，并且明確了每一項工作的安全職責，從而使得每一項工作都能夠有效地執(zhí)行，并且能夠有效的防范和控制風險，從而確保企業(yè)的重要信息資產(chǎn)的安全、完整和可用。

3.4 運用網(wǎng)絡信息安全防護技術

①采用密匙管理加密算法，對于重要的數(shù)據(jù)進行節(jié)點、鏈路和端到端的加密，從而提高數(shù)據(jù)的安全性和完整性；②防火墻技術可以說是一種極具威懾力的網(wǎng)絡信息安全管理工具，它可以將安全區(qū)域和可疑區(qū)域隔絕開來，阻止未經(jīng)授權和非法的通信，以此來確保用戶的網(wǎng)絡信息安全；③入侵檢測技術則可以更好地幫助企業(yè)發(fā)現(xiàn)和阻止可疑的攻擊，它可以及早發(fā)現(xiàn)和阻止病毒和黑客的活動，為企業(yè)提供更加可靠和可控的網(wǎng)絡環(huán)境，以確保企業(yè)和個人的數(shù)據(jù)安全。通過采取有效措施，確保用戶的網(wǎng)絡信息安全；④通過采取系統(tǒng)容災技術，可以大大提升網(wǎng)絡信息安全性，這種技術可以通過將系統(tǒng)信息的存儲、保護和容災相結合，從而實現(xiàn)更強大的自我恢復能力，目前，最為普遍的兩種容災技術分別為基于計算機系統(tǒng)的容錯和基于數(shù)據(jù)備份的容錯。

3.5 加強網(wǎng)絡信息安全保護意識

為了有效應對網(wǎng)絡信息安全所面臨的挑戰(zhàn)，應該根據(jù)不同的攻擊類型，采取有針對性的、高效的預防措施，從而確保網(wǎng)絡信息安全。此外，為了有效抵御網(wǎng)絡嗅探攻擊，可以采取網(wǎng)絡分段和一次性口令技術，以達到最佳的防護效果[7]。在日常生活中，用戶應該加強對網(wǎng)絡信息安全的認知，不登錄有可能涉及欺詐的網(wǎng)站，以免發(fā)生不良后果，并最大限度地減少風險。

3.6 完善網(wǎng)絡信息安全管理機制

首先，建立一個嚴格的網(wǎng)絡信息安全保密框架，將保護用戶的個人隱私作為核心，制定出一套有效的網(wǎng)絡信息保護標準，并采取有效的技術手段來實現(xiàn)，同時，加強對網(wǎng)絡違法行為的懲戒，確保網(wǎng)絡信息的安全性。其次，建立一個長期有效的網(wǎng)絡信息安全保障機制，將網(wǎng)絡信息的安全性作為一個長期的目標，確保其得到有效的保護。最后為了確保網(wǎng)絡系統(tǒng)的安全性，必須建立一個完善的信息安全保障體系，包括邊界防御、安全響應、安全策略和破壞報警機制，以確保網(wǎng)絡的安全性[8]。這樣，才能有效地保護我們的網(wǎng)絡。

3.7 建設創(chuàng)新型的安全“數(shù)字人”

3.7.1 企業(yè)安全痛點分析

（1）業(yè)務范圍廣泛：涉及多個業(yè)務領域，不同業(yè)務需制定相應安全策略。

（2）多地分布：業(yè)務分布在不同的地理位置，需要通過網(wǎng)絡進行協(xié)同管理。要求網(wǎng)絡安全必須具備可管理性、可控性和可追溯性等特點。

（3）安全人才不足：一線安全團隊面臨的最大痛點是行業(yè)普遍存在的安全人才缺口大、成本高、先進技術迭代快速，技術人員認知跟不上等現(xiàn)實問題。另外，安全治理工作繁重，涉及員工數(shù)量眾多，存在泄密和誤操作的風險。

（4）IT系統(tǒng)架構復雜：應用系統(tǒng)架構比較復雜，不同系統(tǒng)之間存在復雜的數(shù)據(jù)交互和集成關系，業(yè)務應用依賴關系復雜，網(wǎng)絡安全風險識別，調(diào)查、防護和追溯難度大。

（5）安全工具多：現(xiàn)有網(wǎng)絡安全工具版本眾多，網(wǎng)絡安全管理和安全運維復雜。

3.7.2 具體舉措

結合企業(yè)長期數(shù)字化轉(zhuǎn)型的業(yè)務驅(qū)動，按照國家“三化六防”網(wǎng)絡安全工作的核心指導思想，以打造全方位、立體化的安全數(shù)字空間為目標，緊密聯(lián)系實際為一線安全團隊建立創(chuàng)新型、體系化、團隊化且可靈活部署的安全數(shù)字人系統(tǒng)，通過安全數(shù)字人來補充和完善網(wǎng)絡安全的人才、技術以及流程的不足，充分利用數(shù)字孿生和AI人工智能等先進技術，建設安全數(shù)字人員工隊伍，并使之常態(tài)化運行，從而降低網(wǎng)絡安全管理人員和運維人員的工作量，提升工作效率，全面實現(xiàn)“降本增效”的安全治理的工作閉環(huán)。

4 結束語

企業(yè)數(shù)字化轉(zhuǎn)型需要依靠網(wǎng)絡、數(shù)據(jù)和信息安全來支撐。在這個過程中，我們面臨諸多挑戰(zhàn)，為解決這些實際問題，需要不斷改進企業(yè)信息安全治理的結構、機制和模式，并采取一系列優(yōu)化措施來提高信息安全水平，為現(xiàn)代企業(yè)數(shù)字化轉(zhuǎn)型構建完善的信息管理體系，從而為企業(yè)關鍵信息和數(shù)據(jù)資源提供強有力的安全保障。■