携手应对数字时代安全挑战首届数字风险峰会成功举办创新的核心基础和驱动力。然而,云计算、物联网、人工智能等数字新技术的出现,也带来了新的安全风险,提出了新的安全要求。在此背景下,为进一步打破传统安全防护边界,有效应对数字化风险,加强行业用户、审计监管部门、技术厂商之间的交流与探讨,中国内部审计学会、北京国家会计学院10月26日,与国际信息系统审计协会(ISACA)、北京古安天下联合举办2019首届数字风险峰会(DRS)。会议邀请了信息技术建设领域的国际专家、权威学者和专家,企业风险管理与内部审计,以及企业数字化转型。与会先行者共同探讨在企业数字化转型趋势下,如何打造具有中国特色的数字化风险管理解决方案。中国电子信息产业集团首席科学家方斌兴在致辞中表示:“数字化进程必然伴随着新的安全流程,而‘安全流程’不仅仅是数据安全,它是数字化的细分领域。数字化离不开平台,平台的可靠性和稳定性使得企业数字化面临各种脆弱性和不确定性,从而产生数字化风险,如何有效控制风险是企业现在面临的主要问题,需要多个部门,如安全、业务、管理、审计,加强协作,共同探索。”谈及如何应对安全风险,国际信息系统审计协会ISACA全球CEO戴维·萨缪尔森认为,在数字化时代,企业需要采取各种措施,这种方法消除了风险,但这并不意味着企业就应该规避一切风险,因为风险也带来机遇。因此,应该管理风险,而不是消除风险。风险管理就是帮助企业接受风险,扩大业务目标,为客户和利益相关者创造更大的价值。“我们认为,通过专注于目标,有效风险管理的路径将更加清晰。”中国内部审计学会副会长兼秘书长沉立强指出,数字化风险已成为影响组织目标实现的关键风险。传统风险、数字风险呈现三个特征:一是数字风险广泛存在于组织的各个环节;数字化风险的灵活性增加了风险应对的难度,风险管理也涉及多个领域的知识和技能;第三,数字风险可能在很短的时间内对组织的战略和声誉造成沉重打击。“这对企业内审人员提出了更高的要求,需要不断提升相关领域的业务能力。”沉立强表示,首先,他们需要熟悉组织的数字化发展规划,深入了解其中包含的关键措施和相关技术。其次,内部审计还需要与组织内的其他职能部门紧密配合,整合资源,形成对风险的统一认识和联动第二道防线和第三道防线的工作机制。此外,还需要不断提升相关领域的业务能力,为决策者在数字化转型发展中提供有价值的信息和建议,成为帮助组织应对数字化风险的关键驱动力。北京国家会计学院院长秦荣生表示:“我们应该从一个新的角度来认识数字安全问题,因为数字安全问题不一定会出现在机构原有的体制内,而是可能发生在体制外。现在,数字安全安全已经成为国家、社会乃至全人类的问题,传统的安全观念重在攻防,面对新的数字生态,我们应该跳出攻防观念,以协同为中心。以此为基础,推动政府、组织和个人联动,共同完善防护措施,构建数字安全体系。驱动力,构建真正意义上的数字安全新生态。”北京固安天下公司董事长、固安研究院所长陈伟认为:“数字化在给我们带来机遇的同时,也不可避免地带来许多新的风险。在企业数字化应用环境下,风险管理相关部门(风控、内控、审计)将难以遵循传统的“先寻找监管规范,再构建内控体系,再进行管理”的传统方式。审计、技术的快速发展和市场的快速变化将使传统风险管理逐渐进入无“规”可循的境地,而“鼓励创新”和“风险控制”未来将是一对矛盾重重,将是风控部门长期面临的挑战。”行业专家谈到了实践以及如何应对数字风险。中国建设银行信息化总监金盘石坦言,在数字化时代,“风控体系建设”成为数字银行建设的重中之重,风险防范能力成为衡量一家商业银行的首要标准。金融科技创新能力。他指出,在风险防控能力建设方面,建设银行主要抓好三个方面:一是安全与体验的平衡,在防控风险的同时兼顾客户体验;采用差异化的安全管控策略;三是采取主动防御措施,通过监测外部泄露数据、风险沟通渠道、暴力猜测行为、主动识别钓鱼网站等方式主动应对交易风险。最终,建设银行运用大数据分析技术和人工智能手段,成功实现了风险可视、清晰、可控。随着政务大数据与安全“同步”进入新的发展阶段,大数据技术在电子政务中得到广泛应用。数据资产权益是现实资产在网络社会中的投影,数据资产权益的保护越来越重要。ISACA中国专家委员会委员刘迪希指出,只要人类的生产生活方式还没有云化,互联网应用就有创新的力量;只要社会还没有完全描述和改造人与人、人与物的关系,信息安全就有一个发展方向,一句话,就是“数据与世界、应用与生活、安全与社会””。中国医疗健康产业信息化联盟理事长雷万云认为:“基于云计算的系统思维,可以将数字时代的保障体系划分为管理体系、运维体系和技术体系,从而进一步完善并持续更新。对于大型政府企业和单位,可以逐步构建围绕数据的安全防护体系,整合内外部组件,实现快速响应,让安全赋能企业,确保业务安全有效运行。”阿里巴巴集团内控总监周家敏指出,数据驱动需要内控,内审团队共同推动,统筹长期资源,整合线上信息,以数智化后的数据作为决策依据并给出最终判断,产品建设要围绕具体的业务场景,解决具体的问题,赋予COSO方法论完成数据平台的建设,最终形成面向全经济、多业态的数据风控解决方案,我们希望形成数据驱动、产品辅助、专家服务三位一体的模式,让风控融入整个业务环节:决策预测风险、事前控制和事中监控。“事件、事后检查和审查,让风险无处可逃。”CMMI研究院中国卓越中心负责人胡伟建表示。今天,数据正从传统的静态、被动向动态、流动的转变,成为重要的资产。同时,数据也在从单纯的物理结构向与场景相关的内容转变。因此,在数字时代,我们对数据有三(3A)个基本要求:准确、可用、可访问,数据必须与企业的经营成果相互关联。“面对复杂数字环境下的风险管理,我们正在构建基于数据分析、快速识别、度量和监控客户和产品风险的数据管理成熟度模型DMM。该模型不仅可以作为度量工具,也是一个可以衡量企业数据管理能力的实用框架。”胡卫健分享。会议当天,除了以上嘉宾的精彩演讲外,来自安防厂商的奇安信集团副总裁吴毅在演讲中与大家分享了全新安防体系如何助力企业数字化转型.他说:“企业很容易受到有组织的攻击,网络安全需要‘内生安全’。过去传统的安全防护手段仅限于外部互联网,现在安全能力必须建立在内部业务系统上。为了确保内生安全实现的四要素:新机制、技术集合、数据聚合、人聚合,强调在信息化建设的各个环节,要充分考虑安全能力的引入和集成。应对数据集中化带来的日益增长的内部威胁。”普华永道中国合伙人季瑞华认为,企业应善用大数据赋能业务发展,审计技术应用从数据分析到人工智能的演进过程中存在很多机遇和挑战。在普华永道,我们实现了多-维度数据分析,全面提升了企业对特定领域的洞察力通过大数据技术赋能风险管理,如何合理使用数据应重点关注以下四点:用好内部数据;寻找数据来源可以实现增值;构建数据治理体系,加强数据安全保护和合规性;不断测试、学习、调整。风险要控制在可接受的范围内,随着经济数字化,数字化程度的提高对于社会而言,数字风险必将成为全社会关注的焦点。只有妥善管控数字风险,才能更好地发展数字经济,迎接数字世界的到来。这正是数字风险大会的意义所在。【原创稿件,合作网站转载请注明原作者和出处为.com】
