【普华永道】数字化转型中的信息安全风险与应对

后台-系统设置-扩展变量-手机广告位-内容正文顶部

 

数字化转型,就是利用新一代信息技术,构建数据的采集、传输、存储、处理和反馈的闭环,打通不同层级与不同行业间的数据壁垒,提高行业整体的运行效率,构建全新的数字经济体系。

 

——国务院发展研究中心《传统产业数字化转型的模式与路径》研究报告(2018年3月)

 

数字化转型下不断探索的企业

 
数字化转型的概念在不同国家存在着多种定义,其表现的方式也有一定的差异。早在2011年,美国就提出了“数字孪生”的概念,其通过对一个实际场景的数字化表达,反映实际对象从微观到宏观的所有特性,通过“数字孪生”的技术,大量企业从产品设计、生产、运维的全生命周期中发现了工业数字化管理的有效工具。2015年,我国也在数字化转型方面提出了“中国制造2025”的战略,其中明确表述了“新一代信息技术与制造技术融合发展”、“着力发展智能装备和智能产品”、“推进生产过程智能化水平”等重点内容。

 

在各国纷纷提出数字化转型战略的背景下,越来越多的企业开始应用各项数字化技术进行转型。在大量的实践中,企业产生了更加复杂、庞大的数据基础,以及更加开放、多元的数据应用场景,这些新变化使得企业在发展和创新中得到大量机会,同时也导致企业需要应对转型过程中的特有风险。


转型企业面临着哪些

凸显的信息安全风险

 
对于数字化转型的企业而言,其面临的信息安全风险中除了源于传统意义上的基础设施层面、网络环境层面、系统应用层面以外,更多的风险则产生在数据层面及创新应用层面。在普华永道2019年发布的《数字信任洞察之中国报告》中可看到,在企业高管及企业IT专业团队的视角上,数字化转型所面临的最严峻风险是数据治理或隐私的问题(占据调研反馈的28%);除此之外,在推出新产品、服务的过程中所产生的创新风险,成为了紧随其后的第二大风险(占据调研反馈的19%);在此之后则是传统意义上的网络安全风险(占据调研反馈的18%)。

 

 

我们发现在这些风险中,其产生的根因既有来自于法律监管的各项要求,也会源于企业内部自身发展的实际需要。在数据治理或隐私方面,随着国内各项法律及监管要求的不断完善,对个人数据的保护成为了国家立法及监管层面关注的重点;而在创新实践中,由于企业对云计算、大数据、物联网等新技术的扩大应用,其产生的风险场景也愈加增多,与其对应的管控措施也亟待加强。

 

缓释归零风险,

为企业的数字化转型保驾护航

 
数字化转型已经成为我国乃至全球主要市场的趋势,企业无法忽视转型为自身业务所带来的生命力,因此,如何更加安全的保障企业的数字化转型,缓释“归零风险”,则成为了诸多转型企业中的重点工作。

 

从外部的法律监管视角看,由于数字化转型过程中针对各项数据的收集处理等活动显著增加,线上化的场景拓展以及数据的积累使得大量的传统企业面临着新的法律法规的要求。同时,数据本身存在着共享、流动等特征,企业往往随着自身全球化的业务发展而产生了数据跨境的典型场景,这也使得企业受到了不同国家、地区,不同司法体系下的法律法规管辖。例如,2018年5月25日生效了面向个人数据保护的《通用数据保护条例》(“GDPR”);在美国,《加州消费者隐私法案》(“CCPA”)也即将在2020年1月1日生效;我国在2017年中出台了《中华人民共和国网络安全法》,并且越来越多的数据安全方面的监管要求也在近1到2年中密集颁布。

 

从企业内部的转型发展视角看,数字化转型过程中企业通常会加大对云计算、大数据、物联网等新兴技术的应用,伴随着这些应用,企业往往需要针对性地克服新兴技术下面临的创新风险,并逐渐向市场证明其安全可靠,最终赢得市场信任,从而持续推动企业数字化转型发展。

 

梳理数字化核心业务场景,判断适用的监管要求

通过对企业各项业务场景的分析,对涉及到个人数据或其他重要数据(如金融数据、测绘数据、工业制造核心指标等)的业务进行识别,并根据业务开展的地域范围,对全球范围内适用的监管要求进行梳理。在这个过程中,往往会产生对监管科技(RegTech)及相关工具的需要。企业通过监管科技的实施,保证快速、全面的识别来自不同国家、地区,适用于不同行业的监管条目,进而形成一套可以在后续分析、评估工作中应用的可靠依据。

 

厘清线上线下数据管理现状,识别数据流转和安全风险

在对核心业务场景及适用的监管要求进行识别后,企业往往根据监管中的具体条目,对相关数据进行盘点,厘清企业内部各团队之间以及企业与第三方之间数据的各项流转及分布。由于数据在企业中的管理是相对分散的,这也是众多企业开展工作的难点之一,因此,在识别的过程中,对数据标识机制落实以及相关标识工具的使用,也通常会成为企业跨部门、跨场景下盘点数据的有力支撑。

 

以数字化业务和数据价值为基础,对重点风险进行管控

在厘清企业的数据基础后,基于数据的收集、处理、存储、传输、使用、归档、销毁等全生命周期的不同阶段,企业可从管理机制、技术措施、合同协议等不同的维度对风险进行整体性识别,进而根据对应的监管要求,加强对相关风险的管控。

 

 

应对新技术风险的同时,利用新技术驱动安全管控

通过完整的创新研究及规划,企业可在新技术应用的最初阶段对风险进行识别,从而更好地应对风险,并利用相关技术开展安全管控。以智慧城市的建设为例(涉及物联网、虚拟现实、数字孪生等新兴技术),通过一套完整的研究规划,企业可从管理体系、技术体系、运营体系、评估体系的不同维度进行整体梳理,进而满足新技术在各项场景(如政务服务、城市管理、交通运输等)中进行应用的安全需求,不但抓住安全建设重点,并且驱动原有技术环境下难以克服的安全痛点。

 

 

在数字化经济中建立数字化信任

当企业对新技术的使用及运营相对稳定后,则可从合规建设、管理体系、技术响应、数据管控等不同维度逐步建立真正的数字化信任。在这个过程中,企业可通过来自于官方机构(如公安部等级保护2.0认证)、标准协会(如ISO系列认证)等第三方的资质认证,向其客户展示企业自身在数字化经济下高标准的安全管理水平,使得企业最终在市场竞争中赢得数字化信任。

 

 

结语

 
在数字化转型过程中,企业的安全风险管理体系的构建是一个动态、长期的过程,难以一蹴而就。因此,如何从战略层面、治理层面、执行层面上,全面、积极、有效地应对安全风险的同时,将风险转化为机遇,推进数字化转型的持续性发展,可谓任重而道远。

 

特别声明:
 

信息来源:普华永道中国(PWCCHINA) 

原文链接: https://mp.weixin.qq.com/s/HoKacp3tVW1jiQxJG5DqFg

RPA中国推荐阅读,如有侵权,请联系删除
 

未经允许不得转载:RPA中国 | RPA全球生态 | 数字化劳动力 | RPA新闻 | 推动中国RPA生态发展 | 流 > 【普华永道】数字化转型中的信息安全风险与应对

后台-系统设置-扩展变量-手机广告位-内容正文底部

评论

留言与评论(共有 0 条评论)
   
验证码: