王爱军

（国家能源集团国源电力有限公司，北京 101000）

1 企业信息安全治理的重要意义

1.1 满足合规的要求

1.2 确保应用场景安全

通过引入先进的数字技术，企业可以实现从传统到现代的跨越式发展，这就需要将技术、数据、人才等多种要素有机结合起来，构建一套完善的数字化解决方案，从而实现企业的数字化转型。随着数字化转型的深入发展，企业所面临的信息安全风险已经超越了传统的基础设施、网络环境和系统应用，越来越多的是由于数据的变化和创新性所带来的威胁[2]。为此，建立完善的信息安全管控机制，并且根据不同的数据应用场景，制定合理的规章制度，显得尤为重要。

2 企业信息安全治理存在的问题

2.1 是注重效率还是注重安全

企业数字化转型是一种极具挑战性的组织变革，其目的在于将信息技术应用于企业研发、生产、管理、服务等各个领域，使其具备更加先进的技术，从而极大地改善企业的运营效率，提升其市场竞争力，并使其长期稳定地发展。随着数字化技术的不断发展，它已经深入到企业的各个运营环节，同时也带来了一些新的挑战，比如数字安全和信息安全的威胁。为了解决这些问题，企业必须在追求转型绩效和保障数字安全之间寻求一种平衡，以便更好地实现“追求绩效”和“追求安全”的目标。

2.2 各方在信息安全方面的行动存在分歧

随着企业数字化转型的推进，信息安全已经成为企业发展的重要组成部分，它涉及企业的各个层面，包括业务、流程和人员，因此，必须加强对信息安全的管理，确保各部门和人员的沟通协调，共同保证信息安全。随着技术的发展，企业内部各个部门的信息安全经验和认识水平的差距越来越明显，从而加剧了信息安全行动的协调难度[3]。

2.3 风险管理责任无法有效落实

企业数字化转型是一项极具挑战性的工程，它不仅需要不断深入地探索、整合、利用数据，还必须把握好节奏，从而使企业能够创造出更有竞争力的数据驱动的产品、服务，并在各种领域得到广泛的应用。随着数字技术的飞速发展，传统的安全管理方式已无法满足当今复杂的业务需求，一旦出现数据泄漏，就会给企业带来巨大的经济损失。

2.4 网络黑客攻击危害

网络黑客的入侵已经成为当今社会最严峻的信息安全问题，极大地威胁着网络环境。黑客无视安全性和隐私保护，利用各种手段对用户计算机系统实施攻击，以破坏其安全性和可靠性，并对其造成严重的损害[4]。这种攻击可以分为两种：一种是主动攻击，即破坏网络设施和服务；另一种则是利用蠕虫病毒等恶意软件，破坏网络环境，导致用户无法正常访问和操作。随着黑客等非法入侵者的渗透，大数据挖掘技术的使用者可能会遭受到非法攻击，从而导致用户信息安全受到极大的威胁，这将使得信息安全风险急剧上升。

2.5 网络病毒危害

木马和蠕虫病毒是人为编写的计算机语言程序，它们具有高度的自我复制能力、传播能力、破坏力和隐蔽性。如果用户的计算机或其他设备感染了网络病毒，它们将会对系统的运行状态、数据和账号信息造成严重的影响。随着科技的进步，计算机网络病毒的种类越来越多，而且传播的速度也越来越快，可以通过硬盘、电子邮件、聊天工具、浏览器、文件下载等多种途径传播，特洛伊木马尤其明显，它们会被“合法身份”等程序或指令所掩盖，一旦发作，它们就会对计算机系统造成严重的破坏，导致无法执行正常的程序指令，还会盗用用户信息，甚至造成系统瘫痪，严重影响用户系统的安全性和社交环境，威胁用户的信息安全。

2.6 第三方泄密网络资料

随着网络技术的发展，网购和聊天交流已经成为许多网民的日常生活场景，这也带来了一些安全隐患，例如，第三方平台可能会被恶意攻击，第三方人员可能无视职业道德，此前曝出的携程网的“安全门事件”、支付宝前员工可能会非法倒卖淘宝用户的个人信息，这些都对用户的信息安全构成严重的威胁。2011—2014年间个人信息泄露的情况日益恶化，第三方主动或被动泄露用户的网络信息成为一个令人担忧的现实[5]。为此，政府应该采取有效措施，建立完善的个人信息保护机制，以防止个人信息被泄露，保护个人的隐私和财产。

3 企业信息安全治理的优化措施

3.1 设计完善的信息安全管控架构

企业信息安全治理是一项复杂的系统工程，它需要考虑企业高层管理团队中CEO、CIO、CFO、各部门主管以及员工的利益、诉求和责任，并且在实施过程中充分尊重和保护他们的权利，以确保他们能够有效地实施信息安全治理，并且能够有效地实现数字化转型，从而实现企业信息安全的可持续发展[6]。通过良性互动和匹配，实现信息安全和数字化转型的有效结合。

3.2 完善信息安全管理机制

建立健全的企业内部管理制度是保障信息安全的基础，这些制度包括多项规定，可以有效地协调各方利益，并且能够根据实际情况，采取恰当的措施，以促进信息安全管理的有效实施。随着企业数字化转型的推进，信息安全治理不仅应当坚持契约治理的原则，同时也应当结合管控治理的关键因素，并将流程治理的有效控制措施融入其中，达到有效地防范和控制信息安全风险的目的。

1.定位上，强调审前程序的独立性。目前我国的民事审前程序仅仅是庭审的前奏或投影，没有实质的内容，只有单一的程序性价值，依附性较强。因此，审前程序的二元性价值改造需要解决的第一个问题就是确定审前程序的独立性。将审前准备和庭审程序实现真正的分离，既可以防止法官的先入为主，也能有效遏制证据突袭，确保诉讼公正与民主价值的实现。

3.3 完善和有效地管理信息安全

采取有效的管控措施对于确保企业信息安全至关重要，这种管控措施可以从企业内部的角度出发，以确保每一项业务的正确执行，并且能够规范每一个职能岗位的信息安全操作。为了有效保护企业数字化转型过程中的关键信息资源，我们制定了严格的规章制度，并且明确了每一项工作的安全职责，从而使得每一项工作都能够有效地执行，并且能够有效的防范和控制风险，从而确保企业的重要信息资产的安全、完整和可用。

3.4 运用网络信息安全防护技术

①采用密匙管理加密算法，对于重要的数据进行节点、链路和端到端的加密，从而提高数据的安全性和完整性；②防火墙技术可以说是一种极具威慑力的网络信息安全管理工具，它可以将安全区域和可疑区域隔绝开来，阻止未经授权和非法的通信，以此来确保用户的网络信息安全；③入侵检测技术则可以更好地帮助企业发现和阻止可疑的攻击，它可以及早发现和阻止病毒和黑客的活动，为企业提供更加可靠和可控的网络环境，以确保企业和个人的数据安全。通过采取有效措施，确保用户的网络信息安全；④通过采取系统容灾技术，可以大大提升网络信息安全性，这种技术可以通过将系统信息的存储、保护和容灾相结合，从而实现更强大的自我恢复能力，目前，最为普遍的两种容灾技术分别为基于计算机系统的容错和基于数据备份的容错。

3.5 加强网络信息安全保护意识

为了有效应对网络信息安全所面临的挑战，应该根据不同的攻击类型，采取有针对性的、高效的预防措施，从而确保网络信息安全。此外，为了有效抵御网络嗅探攻击，可以采取网络分段和一次性口令技术，以达到最佳的防护效果[7]。在日常生活中，用户应该加强对网络信息安全的认知，不登录有可能涉及欺诈的网站，以免发生不良后果，并最大限度地减少风险。

3.6 完善网络信息安全管理机制

首先，建立一个严格的网络信息安全保密框架，将保护用户的个人隐私作为核心，制定出一套有效的网络信息保护标准，并采取有效的技术手段来实现，同时，加强对网络违法行为的惩戒，确保网络信息的安全性。其次，建立一个长期有效的网络信息安全保障机制，将网络信息的安全性作为一个长期的目标，确保其得到有效的保护。最后为了确保网络系统的安全性，必须建立一个完善的信息安全保障体系，包括边界防御、安全响应、安全策略和破坏报警机制，以确保网络的安全性[8]。这样，才能有效地保护我们的网络。

3.7 建设创新型的安全“数字人”

3.7.1 企业安全痛点分析

（1）业务范围广泛：涉及多个业务领域，不同业务需制定相应安全策略。

（2）多地分布：业务分布在不同的地理位置，需要通过网络进行协同管理。要求网络安全必须具备可管理性、可控性和可追溯性等特点。

（3）安全人才不足：一线安全团队面临的最大痛点是行业普遍存在的安全人才缺口大、成本高、先进技术迭代快速，技术人员认知跟不上等现实问题。另外，安全治理工作繁重，涉及员工数量众多，存在泄密和误操作的风险。

（4）IT系统架构复杂：应用系统架构比较复杂，不同系统之间存在复杂的数据交互和集成关系，业务应用依赖关系复杂，网络安全风险识别，调查、防护和追溯难度大。

（5）安全工具多：现有网络安全工具版本众多，网络安全管理和安全运维复杂。

3.7.2 具体举措

结合企业长期数字化转型的业务驱动，按照国家“三化六防”网络安全工作的核心指导思想，以打造全方位、立体化的安全数字空间为目标，紧密联系实际为一线安全团队建立创新型、体系化、团队化且可灵活部署的安全数字人系统，通过安全数字人来补充和完善网络安全的人才、技术以及流程的不足，充分利用数字孪生和AI人工智能等先进技术，建设安全数字人员工队伍，并使之常态化运行，从而降低网络安全管理人员和运维人员的工作量，提升工作效率，全面实现“降本增效”的安全治理的工作闭环。

4 结束语

企业数字化转型需要依靠网络、数据和信息安全来支撑。在这个过程中，我们面临诸多挑战，为解决这些实际问题，需要不断改进企业信息安全治理的结构、机制和模式，并采取一系列优化措施来提高信息安全水平，为现代企业数字化转型构建完善的信息管理体系，从而为企业关键信息和数据资源提供强有力的安全保障。■