【51CTO.com原創(chuàng)稿件】當(dāng)前，人類社會(huì)正由信息化向數(shù)字化演進(jìn)，數(shù)字化已是很多企業(yè)的核心戰(zhàn)略，數(shù)字技術(shù)也已成為社會(huì)快速發(fā)展的核心基礎(chǔ)及創(chuàng)新原動(dòng)力。然而，云計(jì)算、物聯(lián)網(wǎng)、人工智能等新數(shù)字技術(shù)的出現(xiàn)也帶來了新的安全風(fēng)險(xiǎn)，提出了新的安全需求。

在此背景下，為了進(jìn)一步打破傳統(tǒng)安全防護(hù)的邊界，有效應(yīng)對(duì)數(shù)字風(fēng)險(xiǎn)，加強(qiáng)行業(yè)用戶、審計(jì)監(jiān)管部門以及技術(shù)廠商間的交流研討，中國內(nèi)部審計(jì)協(xié)會(huì)、北京國家會(huì)計(jì)學(xué)院、國際信息系統(tǒng)審計(jì)協(xié)會(huì)（ISACA）、北京谷安天下于10月26日聯(lián)合舉辦了2019首屆數(shù)字風(fēng)險(xiǎn)峰會(huì)(DRS)，會(huì)議邀請(qǐng)了信息化建設(shè)、企業(yè)風(fēng)險(xiǎn)管理以及內(nèi)部審計(jì)領(lǐng)域的國際專家、權(quán)威學(xué)者及企業(yè)數(shù)值化轉(zhuǎn)型的先行者，共同探討了在企業(yè)數(shù)字化轉(zhuǎn)型趨勢下，如何構(gòu)建有中國特色的數(shù)字風(fēng)險(xiǎn)管理應(yīng)對(duì)之道。

直擊數(shù)字時(shí)代安全，各路大咖出謀劃策

[[280546]]

在致辭中，中國電子信息產(chǎn)業(yè)集團(tuán)首席科學(xué)家方濱興表示：“數(shù)字化的過程，一定伴隨著新的安全過程，而‘安全過程’不單是數(shù)據(jù)安全，數(shù)據(jù)安全僅是安全的細(xì)分領(lǐng)域。數(shù)字化依賴于平臺(tái)，平臺(tái)的可靠性和穩(wěn)定性使企業(yè)數(shù)字面臨著各種各樣的脆弱和不確定性，從而產(chǎn)生了數(shù)字風(fēng)險(xiǎn)。如何有效控制風(fēng)險(xiǎn)是現(xiàn)在企業(yè)面臨的主要問題，需要安全、業(yè)務(wù)、管理、審計(jì)等多個(gè)部門，加強(qiáng)協(xié)作、共同探索。”

[[280547]]

談起如何應(yīng)對(duì)安全風(fēng)險(xiǎn)，國際信息系統(tǒng)審計(jì)協(xié)會(huì)ISACA全球CEO David Samuelson認(rèn)為，在數(shù)字化時(shí)代，企業(yè)需要采取各種方法消除風(fēng)險(xiǎn)，但這并不意味著企業(yè)要避免所有風(fēng)險(xiǎn)，因?yàn)轱L(fēng)險(xiǎn)也會(huì)帶來機(jī)會(huì)。因此，風(fēng)險(xiǎn)應(yīng)該管理，而不是消除。風(fēng)險(xiǎn)管理就是要幫助企業(yè)接受風(fēng)險(xiǎn)，擴(kuò)大企業(yè)目標(biāo)，為客戶和利益相關(guān)者帶來更大的價(jià)值。“我們相信，專注于目標(biāo)，通往有效風(fēng)險(xiǎn)管理的道路將更加清晰。”

[[280548]]

中國內(nèi)部審計(jì)協(xié)會(huì)副會(huì)長兼秘書長沈立強(qiáng)指出，數(shù)字風(fēng)險(xiǎn)已成為一項(xiàng)影響組織目標(biāo)實(shí)現(xiàn)的關(guān)鍵風(fēng)險(xiǎn)。與傳統(tǒng)風(fēng)險(xiǎn)相比，數(shù)字風(fēng)險(xiǎn)呈現(xiàn)出三大特點(diǎn)：第一，數(shù)字風(fēng)險(xiǎn)廣泛存在于組織的方方面面；第二，數(shù)字風(fēng)險(xiǎn)的復(fù)雜性決定了應(yīng)對(duì)風(fēng)險(xiǎn)的難度更高，對(duì)風(fēng)險(xiǎn)的管理也會(huì)涉及到多個(gè)領(lǐng)域的知識(shí)和技能；第三，數(shù)字風(fēng)險(xiǎn)可能會(huì)在極短時(shí)間內(nèi)給組織在戰(zhàn)略和聲譽(yù)上造成沉重的打擊。

“這對(duì)企業(yè)內(nèi)部審計(jì)人員提出了更高的要求，需要不斷提升在相關(guān)領(lǐng)域的業(yè)務(wù)能力。” 沈立強(qiáng)表示，首先，需要熟知組織的數(shù)字化發(fā)展規(guī)劃，深入理解其中包含的關(guān)鍵舉措和相關(guān)技術(shù)。其次，內(nèi)部審計(jì)還要與組織內(nèi)部的其他職能密切協(xié)作，整合資源，形成對(duì)風(fēng)險(xiǎn)的統(tǒng)一認(rèn)識(shí)以及二三道防線聯(lián)動(dòng)的工作機(jī)制。此外，還需要通過不斷提升在相關(guān)領(lǐng)域的業(yè)務(wù)能力，為數(shù)字化轉(zhuǎn)型和發(fā)展的決策者提供富有價(jià)值的信息和建議，成為幫助組織應(yīng)對(duì)數(shù)字風(fēng)險(xiǎn)的關(guān)鍵助力。

[[280549]]

北京國家會(huì)計(jì)學(xué)院院長秦榮生表示：“我們應(yīng)以全新視角去理解數(shù)字安全問題，因?yàn)閿?shù)字安全問題未必出現(xiàn)在組織原有的體系內(nèi)，而可能是發(fā)生在體系外?，F(xiàn)在，數(shù)字安全已經(jīng)成為國家、社會(huì)乃至全人類的問題。傳統(tǒng)安全觀以攻防為主體，面對(duì)新的數(shù)字生態(tài)，應(yīng)該跳出攻防概念，以協(xié)作為基礎(chǔ)，推動(dòng)政府、組織、個(gè)人聯(lián)動(dòng)，共同提高防護(hù)措施，構(gòu)建數(shù)字安全的整體體系。只有從根本上轉(zhuǎn)變安全觀念，提升安全認(rèn)知維度，才能真正地以安全為驅(qū)動(dòng)力，構(gòu)建真正意義上的數(shù)字安全新生態(tài)。”

[[280550]]

北京谷安天下公司董事長、谷安研究院院長陳偉認(rèn)為：“數(shù)字化在給我們帶來機(jī)會(huì)的同時(shí)，也必然帶來許多新的風(fēng)險(xiǎn)。在企業(yè)數(shù)字化應(yīng)用環(huán)境下，風(fēng)險(xiǎn)管理相關(guān)部門（風(fēng)險(xiǎn)、內(nèi)控及審計(jì)）將很難沿用傳統(tǒng)的‘先找監(jiān)管規(guī)范，再建內(nèi)控體系，后進(jìn)行審計(jì)’的傳統(tǒng)方法，技術(shù)的快速發(fā)展、市場的快速變化將使傳統(tǒng)風(fēng)險(xiǎn)管理逐步進(jìn)入無‘規(guī)’可依的境地，‘鼓勵(lì)創(chuàng)新’與‘風(fēng)險(xiǎn)控制’未來將是一對(duì)矛盾體，對(duì)風(fēng)險(xiǎn)管理相關(guān)部門將是一個(gè)需要長期面對(duì)的挑戰(zhàn)。”

行業(yè)專家共話實(shí)踐，談數(shù)字風(fēng)險(xiǎn)應(yīng)對(duì)之道

[[280551]]

中國建設(shè)銀行信息總監(jiān)金磐石坦言，數(shù)字化時(shí)代，“風(fēng)控體系建設(shè)”已經(jīng)成為數(shù)字銀行建設(shè)的重中之重，風(fēng)險(xiǎn)防護(hù)能力已經(jīng)成為衡量一家商業(yè)銀行金融科技創(chuàng)新能力的首要標(biāo)準(zhǔn)。

他指出，在風(fēng)險(xiǎn)防控能力建設(shè)上，中國建設(shè)銀行主要聚焦三大方面：第一，安全與體驗(yàn)平衡，在防控風(fēng)險(xiǎn)的同時(shí)兼顧客戶體驗(yàn)；第二，實(shí)施動(dòng)態(tài)調(diào)整策略，針對(duì)不同等級(jí)賬戶采取差異化的安全管控策略；第三，主動(dòng)防御措施，通過監(jiān)測外部泄漏數(shù)據(jù)、風(fēng)險(xiǎn)傳播渠道、暴力猜解行為以及主動(dòng)識(shí)別釣魚網(wǎng)站等手段，主動(dòng)出擊應(yīng)對(duì)交易風(fēng)險(xiǎn)。最終，通過利用大數(shù)據(jù)分析技術(shù)及人工智能手段，中國建設(shè)銀行已成功做到風(fēng)險(xiǎn)看得見、風(fēng)險(xiǎn)理的清、風(fēng)險(xiǎn)控得住。

[[280552]]

隨著政務(wù)大數(shù)據(jù)與安全“同步”進(jìn)入新的發(fā)展階段，大數(shù)據(jù)技術(shù)在電子政務(wù)中得到廣泛應(yīng)用。數(shù)據(jù)資產(chǎn)權(quán)益就是現(xiàn)實(shí)資產(chǎn)在網(wǎng)絡(luò)社會(huì)中的投影，數(shù)據(jù)資產(chǎn)權(quán)益保護(hù)也顯得愈發(fā)重要。ISACA中國專家委員會(huì)委員劉滌西指出，人類只要還有未被云化的生產(chǎn)、生活方式，互聯(lián)網(wǎng)應(yīng)用就有創(chuàng)新的動(dòng)力；社會(huì)只要還有未被完整描述和轉(zhuǎn)化的人與人、人與物的關(guān)系，信息安全就有發(fā)展的方向，總而言之，即“數(shù)據(jù)暨世界、應(yīng)用暨生活、安全暨社會(huì)”。

[[280553]]

中國醫(yī)藥健康產(chǎn)業(yè)信息化聯(lián)盟理事長雷萬云則認(rèn)為：“基于云計(jì)算的系統(tǒng)思維可以將數(shù)字化時(shí)代的安全體系分成管理體系、運(yùn)維體系和技術(shù)體系，從而進(jìn)一步持續(xù)改進(jìn)、更新。對(duì)于大型政企單位，可以逐漸建設(shè)成圍繞數(shù)據(jù)的安全保護(hù)系統(tǒng)，將內(nèi)外組件化，達(dá)到快速響應(yīng)，使安全賦能企業(yè)、保障業(yè)務(wù)安全且有效的進(jìn)行。”

[[280554]]

阿里巴巴集團(tuán)內(nèi)控總監(jiān)周佳敏指出，數(shù)據(jù)驅(qū)動(dòng)需要內(nèi)控、內(nèi)審團(tuán)隊(duì)共同推動(dòng)，協(xié)調(diào)長期資源，整合線上信息，將數(shù)智化之后的數(shù)據(jù)作為決策依據(jù)并給出最后的判斷。產(chǎn)品建設(shè)要抓具體業(yè)務(wù)場景，解決具體問題，賦予COSO方法論完成數(shù)據(jù)化平臺(tái)建設(shè)，最終形成全經(jīng)濟(jì)多業(yè)態(tài)數(shù)據(jù)風(fēng)控解決方案。最終，希望形成數(shù)據(jù)驅(qū)動(dòng)、產(chǎn)品助力、專家服務(wù)三位一體的模式，使風(fēng)控融合在業(yè)務(wù)全鏈路中：決策預(yù)判風(fēng)險(xiǎn)，事前布控事中監(jiān)控，事后檢查和復(fù)盤，讓風(fēng)險(xiǎn)無處可逃。

[[280555]]

 CMMI研究院中國卓越中心負(fù)責(zé)人胡偉健表示，今天，數(shù)據(jù)正在從傳統(tǒng)靜態(tài)的、被動(dòng)的變遷成動(dòng)態(tài)、流動(dòng)的，已成為一種重要資產(chǎn)。同時(shí)，數(shù)據(jù)也正在從單純的物理結(jié)構(gòu)，轉(zhuǎn)變成和場景有關(guān)的內(nèi)容。因此，在數(shù)字化時(shí)代，我們對(duì)數(shù)據(jù)有了三個(gè)（3A）基本要求：準(zhǔn)確、可用、可獲得，并且數(shù)據(jù)必須同企業(yè)的業(yè)務(wù)成果相互聯(lián)系。

“面對(duì)復(fù)雜的數(shù)字化環(huán)境下的風(fēng)險(xiǎn)管理，我們正在基于數(shù)據(jù)分析、快速識(shí)別、衡量以及監(jiān)控客戶和產(chǎn)品風(fēng)險(xiǎn)，構(gòu)建一個(gè)數(shù)據(jù)管理成熟度模型DMM，該模型不僅可以作為一個(gè)測量工具，更是一種能夠衡量企業(yè)數(shù)據(jù)管理能力的實(shí)踐框架。” 胡偉健分享說。

[[280556]]

會(huì)議當(dāng)日，除了以上嘉賓精彩演講，來自安全廠商，奇安信集團(tuán)副總裁鄔怡在演講中與大家分享了新安全體系如何助力企業(yè)數(shù)字化轉(zhuǎn)型。他表示：“企業(yè)面對(duì)有組織的攻擊，顯得十分脆弱，網(wǎng)絡(luò)安全需要‘內(nèi)生安全’，以往傳統(tǒng)的安全防護(hù)手段局限在外部的互聯(lián)網(wǎng)，現(xiàn)在必須把安全能力構(gòu)建在內(nèi)部的業(yè)務(wù)系統(tǒng)上，從而保證信息化系統(tǒng)能生長出安全能力。內(nèi)生安全實(shí)現(xiàn)的四要素：新機(jī)制、技術(shù)集合、數(shù)據(jù)聚合、人的聚合，強(qiáng)調(diào)了在信息化建設(shè)的方方面面，充分考慮引入并融合安全能力，以應(yīng)對(duì)數(shù)據(jù)集中之后帶來的內(nèi)部威脅日益增長。” 

[[280557]]

普華永道中國合伙人季瑞華認(rèn)為，企業(yè)要善用大數(shù)據(jù)以賦能業(yè)務(wù)發(fā)展。審計(jì)技術(shù)應(yīng)用的演變，從數(shù)據(jù)分析到人工智能的過程中存在很多機(jī)遇和挑戰(zhàn)。在普華永道，我們已經(jīng)實(shí)現(xiàn)了多維度數(shù)據(jù)分析，全面提升了企業(yè)對(duì)于特定領(lǐng)域的洞察能力。通過大數(shù)據(jù)技術(shù)賦能風(fēng)險(xiǎn)管理，對(duì)于如何合理使用數(shù)據(jù)應(yīng)當(dāng)重點(diǎn)關(guān)注以下四點(diǎn)：善用內(nèi)部數(shù)據(jù)；尋找可實(shí)現(xiàn)增值的數(shù)據(jù)源；搭建數(shù)據(jù)治理體系，強(qiáng)化數(shù)據(jù)安全保護(hù)和合規(guī)；不斷測試、學(xué)習(xí)、調(diào)整。

寫在后面

“風(fēng)險(xiǎn)”的重要內(nèi)涵就是要實(shí)現(xiàn)控制，因?yàn)轱L(fēng)險(xiǎn)是不可避免的，而資源是有限的，所以要將風(fēng)險(xiǎn)控制在可接受的范圍內(nèi)。隨著數(shù)字化經(jīng)濟(jì)、社會(huì)數(shù)字化程度的提高，數(shù)字風(fēng)險(xiǎn)必將成為全社會(huì)的關(guān)注重點(diǎn)。只有將數(shù)字風(fēng)險(xiǎn)合理的控制，才能更好的發(fā)展數(shù)字經(jīng)濟(jì)，迎接數(shù)字世界的到來，這也正是數(shù)字風(fēng)險(xiǎn)大會(huì)召開的意義所在。 

【51CTO原創(chuàng)稿件，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文作者和出處為51CTO.com】