【51CTO.com原創(chuàng)稿件】當(dāng)前，人類社會正由信息化向數(shù)字化演進，數(shù)字化已是很多企業(yè)的核心戰(zhàn)略，數(shù)字技術(shù)也已成為社會快速發(fā)展的核心基礎(chǔ)及創(chuàng)新原動力。然而，云計算、物聯(lián)網(wǎng)、人工智能等新數(shù)字技術(shù)的出現(xiàn)也帶來了新的安全風(fēng)險，提出了新的安全需求。

在此背景下，為了進一步打破傳統(tǒng)安全防護的邊界，有效應(yīng)對數(shù)字風(fēng)險，加強行業(yè)用戶、審計監(jiān)管部門以及技術(shù)廠商間的交流研討，中國內(nèi)部審計協(xié)會、北京國家會計學(xué)院、國際信息系統(tǒng)審計協(xié)會（ISACA）、北京谷安天下于10月26日聯(lián)合舉辦了2019首屆數(shù)字風(fēng)險峰會(DRS)，會議邀請了信息化建設(shè)、企業(yè)風(fēng)險管理以及內(nèi)部審計領(lǐng)域的國際專家、權(quán)威學(xué)者及企業(yè)數(shù)值化轉(zhuǎn)型的先行者，共同探討了在企業(yè)數(shù)字化轉(zhuǎn)型趨勢下，如何構(gòu)建有中國特色的數(shù)字風(fēng)險管理應(yīng)對之道。

直擊數(shù)字時代安全，各路大咖出謀劃策

[[280546]]

在致辭中，中國電子信息產(chǎn)業(yè)集團首席科學(xué)家方濱興表示：“數(shù)字化的過程，一定伴隨著新的安全過程，而‘安全過程’不單是數(shù)據(jù)安全，數(shù)據(jù)安全僅是安全的細(xì)分領(lǐng)域。數(shù)字化依賴于平臺，平臺的可靠性和穩(wěn)定性使企業(yè)數(shù)字面臨著各種各樣的脆弱和不確定性，從而產(chǎn)生了數(shù)字風(fēng)險。如何有效控制風(fēng)險是現(xiàn)在企業(yè)面臨的主要問題，需要安全、業(yè)務(wù)、管理、審計等多個部門，加強協(xié)作、共同探索。”

[[280547]]

談起如何應(yīng)對安全風(fēng)險，國際信息系統(tǒng)審計協(xié)會ISACA全球CEO David Samuelson認(rèn)為，在數(shù)字化時代，企業(yè)需要采取各種方法消除風(fēng)險，但這并不意味著企業(yè)要避免所有風(fēng)險，因為風(fēng)險也會帶來機會。因此，風(fēng)險應(yīng)該管理，而不是消除。風(fēng)險管理就是要幫助企業(yè)接受風(fēng)險，擴大企業(yè)目標(biāo)，為客戶和利益相關(guān)者帶來更大的價值。“我們相信，專注于目標(biāo)，通往有效風(fēng)險管理的道路將更加清晰。”

[[280548]]

中國內(nèi)部審計協(xié)會副會長兼秘書長沈立強指出，數(shù)字風(fēng)險已成為一項影響組織目標(biāo)實現(xiàn)的關(guān)鍵風(fēng)險。與傳統(tǒng)風(fēng)險相比，數(shù)字風(fēng)險呈現(xiàn)出三大特點：第一，數(shù)字風(fēng)險廣泛存在于組織的方方面面；第二，數(shù)字風(fēng)險的復(fù)雜性決定了應(yīng)對風(fēng)險的難度更高，對風(fēng)險的管理也會涉及到多個領(lǐng)域的知識和技能；第三，數(shù)字風(fēng)險可能會在極短時間內(nèi)給組織在戰(zhàn)略和聲譽上造成沉重的打擊。

“這對企業(yè)內(nèi)部審計人員提出了更高的要求，需要不斷提升在相關(guān)領(lǐng)域的業(yè)務(wù)能力。” 沈立強表示，首先，需要熟知組織的數(shù)字化發(fā)展規(guī)劃，深入理解其中包含的關(guān)鍵舉措和相關(guān)技術(shù)。其次，內(nèi)部審計還要與組織內(nèi)部的其他職能密切協(xié)作，整合資源，形成對風(fēng)險的統(tǒng)一認(rèn)識以及二三道防線聯(lián)動的工作機制。此外，還需要通過不斷提升在相關(guān)領(lǐng)域的業(yè)務(wù)能力，為數(shù)字化轉(zhuǎn)型和發(fā)展的決策者提供富有價值的信息和建議，成為幫助組織應(yīng)對數(shù)字風(fēng)險的關(guān)鍵助力。

[[280549]]

北京國家會計學(xué)院院長秦榮生表示：“我們應(yīng)以全新視角去理解數(shù)字安全問題，因為數(shù)字安全問題未必出現(xiàn)在組織原有的體系內(nèi)，而可能是發(fā)生在體系外?，F(xiàn)在，數(shù)字安全已經(jīng)成為國家、社會乃至全人類的問題。傳統(tǒng)安全觀以攻防為主體，面對新的數(shù)字生態(tài)，應(yīng)該跳出攻防概念，以協(xié)作為基礎(chǔ)，推動政府、組織、個人聯(lián)動，共同提高防護措施，構(gòu)建數(shù)字安全的整體體系。只有從根本上轉(zhuǎn)變安全觀念，提升安全認(rèn)知維度，才能真正地以安全為驅(qū)動力，構(gòu)建真正意義上的數(shù)字安全新生態(tài)。”

[[280550]]

北京谷安天下公司董事長、谷安研究院院長陳偉認(rèn)為：“數(shù)字化在給我們帶來機會的同時，也必然帶來許多新的風(fēng)險。在企業(yè)數(shù)字化應(yīng)用環(huán)境下，風(fēng)險管理相關(guān)部門（風(fēng)險、內(nèi)控及審計）將很難沿用傳統(tǒng)的‘先找監(jiān)管規(guī)范，再建內(nèi)控體系，后進行審計’的傳統(tǒng)方法，技術(shù)的快速發(fā)展、市場的快速變化將使傳統(tǒng)風(fēng)險管理逐步進入無‘規(guī)’可依的境地，‘鼓勵創(chuàng)新’與‘風(fēng)險控制’未來將是一對矛盾體，對風(fēng)險管理相關(guān)部門將是一個需要長期面對的挑戰(zhàn)。”

行業(yè)專家共話實踐，談數(shù)字風(fēng)險應(yīng)對之道

[[280551]]

中國建設(shè)銀行信息總監(jiān)金磐石坦言，數(shù)字化時代，“風(fēng)控體系建設(shè)”已經(jīng)成為數(shù)字銀行建設(shè)的重中之重，風(fēng)險防護能力已經(jīng)成為衡量一家商業(yè)銀行金融科技創(chuàng)新能力的首要標(biāo)準(zhǔn)。

他指出，在風(fēng)險防控能力建設(shè)上，中國建設(shè)銀行主要聚焦三大方面：第一，安全與體驗平衡，在防控風(fēng)險的同時兼顧客戶體驗；第二，實施動態(tài)調(diào)整策略，針對不同等級賬戶采取差異化的安全管控策略；第三，主動防御措施，通過監(jiān)測外部泄漏數(shù)據(jù)、風(fēng)險傳播渠道、暴力猜解行為以及主動識別釣魚網(wǎng)站等手段，主動出擊應(yīng)對交易風(fēng)險。最終，通過利用大數(shù)據(jù)分析技術(shù)及人工智能手段，中國建設(shè)銀行已成功做到風(fēng)險看得見、風(fēng)險理的清、風(fēng)險控得住。

[[280552]]

隨著政務(wù)大數(shù)據(jù)與安全“同步”進入新的發(fā)展階段，大數(shù)據(jù)技術(shù)在電子政務(wù)中得到廣泛應(yīng)用。數(shù)據(jù)資產(chǎn)權(quán)益就是現(xiàn)實資產(chǎn)在網(wǎng)絡(luò)社會中的投影，數(shù)據(jù)資產(chǎn)權(quán)益保護也顯得愈發(fā)重要。ISACA中國專家委員會委員劉滌西指出，人類只要還有未被云化的生產(chǎn)、生活方式，互聯(lián)網(wǎng)應(yīng)用就有創(chuàng)新的動力；社會只要還有未被完整描述和轉(zhuǎn)化的人與人、人與物的關(guān)系，信息安全就有發(fā)展的方向，總而言之，即“數(shù)據(jù)暨世界、應(yīng)用暨生活、安全暨社會”。

[[280553]]

中國醫(yī)藥健康產(chǎn)業(yè)信息化聯(lián)盟理事長雷萬云則認(rèn)為：“基于云計算的系統(tǒng)思維可以將數(shù)字化時代的安全體系分成管理體系、運維體系和技術(shù)體系，從而進一步持續(xù)改進、更新。對于大型政企單位，可以逐漸建設(shè)成圍繞數(shù)據(jù)的安全保護系統(tǒng)，將內(nèi)外組件化，達到快速響應(yīng)，使安全賦能企業(yè)、保障業(yè)務(wù)安全且有效的進行。”

[[280554]]

阿里巴巴集團內(nèi)控總監(jiān)周佳敏指出，數(shù)據(jù)驅(qū)動需要內(nèi)控、內(nèi)審團隊共同推動，協(xié)調(diào)長期資源，整合線上信息，將數(shù)智化之后的數(shù)據(jù)作為決策依據(jù)并給出最后的判斷。產(chǎn)品建設(shè)要抓具體業(yè)務(wù)場景，解決具體問題，賦予COSO方法論完成數(shù)據(jù)化平臺建設(shè)，最終形成全經(jīng)濟多業(yè)態(tài)數(shù)據(jù)風(fēng)控解決方案。最終，希望形成數(shù)據(jù)驅(qū)動、產(chǎn)品助力、專家服務(wù)三位一體的模式，使風(fēng)控融合在業(yè)務(wù)全鏈路中：決策預(yù)判風(fēng)險，事前布控事中監(jiān)控，事后檢查和復(fù)盤，讓風(fēng)險無處可逃。

[[280555]]

 CMMI研究院中國卓越中心負(fù)責(zé)人胡偉健表示，今天，數(shù)據(jù)正在從傳統(tǒng)靜態(tài)的、被動的變遷成動態(tài)、流動的，已成為一種重要資產(chǎn)。同時，數(shù)據(jù)也正在從單純的物理結(jié)構(gòu)，轉(zhuǎn)變成和場景有關(guān)的內(nèi)容。因此，在數(shù)字化時代，我們對數(shù)據(jù)有了三個（3A）基本要求：準(zhǔn)確、可用、可獲得，并且數(shù)據(jù)必須同企業(yè)的業(yè)務(wù)成果相互聯(lián)系。

“面對復(fù)雜的數(shù)字化環(huán)境下的風(fēng)險管理，我們正在基于數(shù)據(jù)分析、快速識別、衡量以及監(jiān)控客戶和產(chǎn)品風(fēng)險，構(gòu)建一個數(shù)據(jù)管理成熟度模型DMM，該模型不僅可以作為一個測量工具，更是一種能夠衡量企業(yè)數(shù)據(jù)管理能力的實踐框架。” 胡偉健分享說。

[[280556]]

會議當(dāng)日，除了以上嘉賓精彩演講，來自安全廠商，奇安信集團副總裁鄔怡在演講中與大家分享了新安全體系如何助力企業(yè)數(shù)字化轉(zhuǎn)型。他表示：“企業(yè)面對有組織的攻擊，顯得十分脆弱，網(wǎng)絡(luò)安全需要‘內(nèi)生安全’，以往傳統(tǒng)的安全防護手段局限在外部的互聯(lián)網(wǎng)，現(xiàn)在必須把安全能力構(gòu)建在內(nèi)部的業(yè)務(wù)系統(tǒng)上，從而保證信息化系統(tǒng)能生長出安全能力。內(nèi)生安全實現(xiàn)的四要素：新機制、技術(shù)集合、數(shù)據(jù)聚合、人的聚合，強調(diào)了在信息化建設(shè)的方方面面，充分考慮引入并融合安全能力，以應(yīng)對數(shù)據(jù)集中之后帶來的內(nèi)部威脅日益增長。” 

[[280557]]

普華永道中國合伙人季瑞華認(rèn)為，企業(yè)要善用大數(shù)據(jù)以賦能業(yè)務(wù)發(fā)展。審計技術(shù)應(yīng)用的演變，從數(shù)據(jù)分析到人工智能的過程中存在很多機遇和挑戰(zhàn)。在普華永道，我們已經(jīng)實現(xiàn)了多維度數(shù)據(jù)分析，全面提升了企業(yè)對于特定領(lǐng)域的洞察能力。通過大數(shù)據(jù)技術(shù)賦能風(fēng)險管理，對于如何合理使用數(shù)據(jù)應(yīng)當(dāng)重點關(guān)注以下四點：善用內(nèi)部數(shù)據(jù)；尋找可實現(xiàn)增值的數(shù)據(jù)源；搭建數(shù)據(jù)治理體系，強化數(shù)據(jù)安全保護和合規(guī)；不斷測試、學(xué)習(xí)、調(diào)整。

寫在后面

“風(fēng)險”的重要內(nèi)涵就是要實現(xiàn)控制，因為風(fēng)險是不可避免的，而資源是有限的，所以要將風(fēng)險控制在可接受的范圍內(nèi)。隨著數(shù)字化經(jīng)濟、社會數(shù)字化程度的提高，數(shù)字風(fēng)險必將成為全社會的關(guān)注重點。只有將數(shù)字風(fēng)險合理的控制，才能更好的發(fā)展數(shù)字經(jīng)濟，迎接數(shù)字世界的到來，這也正是數(shù)字風(fēng)險大會召開的意義所在。 

【51CTO原創(chuàng)稿件，合作站點轉(zhuǎn)載請注明原文作者和出處為51CTO.com】