数字化浪潮下国有企业网络安全管理战略转型

安永EY 

在一个安全健康的环境中提高企业数字化水平，为构筑国家竞争新优势贡献力量。

引言

国务院在3月7日提请审议《国务院机构改革方案》的议案，其中包括组建一个全新的机构——“国家数据局”，这是中国实施数据发展战略的重要举措，标志着我国数字经济发展迎来了一个新的里程碑。习总书记强调，要站在统筹中华民族伟大复兴战略全局和世界百年未有之大变局的高度，统筹国内国际两个大局、发展安全两件大事，充分发挥海量数据和丰富应用场景优势，赋能传统产业转型升级。在数字经济下，网络安全建设和数字化建设是一体之两翼、驱动之双轮，网络安全和数字化建设的进展相互牵动，任何一方的滞后都会对整体造成影响。两会期间，众多代表委员们建言献策，提出了涉及网络安全、数据安全、个人信息保护、信创等领域的多项提议。

在当前数字经济的背景下，国有企业应该根据市场需求和自身情况灵活调整战略，加强数字化技术的应用和创新，并注重网络安全优化建设，推进安全管理的战略转型。这样可以形成数字化发展和安全协同保障方案，在一个安全健康的环境中提高企业数字化水平，为构筑国家竞争新优势贡献力量。

国有企业网络安全建设面临的挑战

随着数字化浪潮的到来，网络安全已不再是单纯的技术问题，而成为了一个新的战略保障问题。由于数字化转型逐渐深入和信息技术快速发展，传统安全建设已无法满足企业数字化建设要求。因此，国有企业在网络安全方面面临着越来越多的挑战。

数字化时代对安全的需求已经超越了传统网络安全建设的边界，在传统安全体系下，数据安全管控精度低

传统的安全建设往往忽视了业务发展。在传统网络安全建设中，更注重系统和技术层面的安全加固，而忽略了网络安全与业务之间密切的联系。然而，在数字化转型背景下，数据价值在不同业务场景中得到挖掘利用，并且信息技术深入到业务运营中。因此，企业需要将安全工作覆盖、匹配复杂的业务应用场景，并针对不同的业务特点制定相应的安全策略以及及时响应各种复杂环境下出现的各种安全事件。

传统安全建设往往缺乏对数据和应用的精准防护。通用性的安全措施无法针对个性化业务场景、涉及到的数据和应用等进行有针对性保护，甚至可能无法识别复杂业务场景中的信息资产。数字化变革要求数据和应用相关技术能够随着业务迅速更新迭代，并且要求安全措施也能够快速响应业务转型并提前布局，有针对性地开展网络安全管理。

传统的安全工作主要是以事件驱动为主，导致安全建设过于碎片化

国有企业在安全建设方面通常只有在发生安全事件后才会开始推动工作，缺乏内部的自我驱动力。网络安全建设滞后导致响应时效不足，投入难以见成效，这不仅给企业带来经济损失，还对声誉造成无法挽回的影响。

国有企业缺少完善、体系化的网络安全规划，因此其安全建设工作显得碎片化。从短期角度看，在日常工作中各个团队（如业务团队、IT团队、安全团队、风险团队和合规团队）之间缺乏协调联动，统筹性不足。从长远角度看，在网络安全建设方面缺乏明确的发力点和侧重点，缺少充分的建设顶层考虑。在数字化变革背景下，零敲碎打式的安全建设已经无法应对复杂多变的业务场景需求；数字化发展要求企业更加关注网络安全并开展持续性、系统性地网络安全建设。

安全建设过于注重引入技术产品，而忽略了提升管理能力和培养人员技能，安全技术的利用率和转化率较低

在国有企业的网络安全实践中，通常会将主要精力投入到引入安全设备上，而忽略整体安全生态的建设。然而，在面对复杂的安全环境时，仅依靠叠加安全设备是不够的。因此企业需要更多地考虑如何优化安全设备策略配置，并实现各种安全设备之间的联动和协同作用。如果只是将这些设备部署到企业环境中，但没有将它们整合成一个完整的系统，则无法发挥其最佳功能，并抑制了智能化协调联动所带来的效果。

同时，管理能力和人员技能也成为制约国有企业网络安全提升能力的主要因素。管理能力不足使得企业难以形成统一、完善且自上而下有效执行的安全管理体系，例如：制定并执行相关政策、标准及流程存在难以推动等问题。人员技术水平跟不上技术发展步伐导致运维管理不到位、处理事件缺乏应对措施、利用率和转化率低等问题出现，甚至可能导致防护措施失效或者形同虚设。

国有企业网络安全战略转型关键任务

在数字经济时代，网络安全已从单纯的技术实现转变为数字化战略保障。除了技术和工具的使用外，业务和组织层面上的规划和管理也是至关重要的。安全目标不再仅仅是保护网络和系统安全，而是确保数字化转型和业务发展的安全，通过构建可靠、稳健的数字生态环境以增强企业核心竞争力与信誉度。

国有企业可以通过网络安全战略转型来打造稳固的安全基础、提高管理能力与人员技能并实现自驱完善。这样就可以实现对数据的精准安全保护，为创造数据价值及深入利用营造出一个可信赖且安全性高的环境。同时还可以将安全深入到各种数字化业务场景中满足其需求，使得企业在数字化转型与发展方面持续推进。

制定安全顶层规划，形成整合的安全部署能力

国有企业应充分结合企业的数字化战略形成相匹配的网络安全顶层规划，设定网络安全建设目标，明确网络安全建设路径，规范网络安全建设领域。一方面基于安全建设目标及内外部安全态势形成覆盖完整安全领域及管理对象的统筹设计，另一方面针对每个安全能力要求形成相应的建设路径。

在制定网络安全顶层规划时，国有企业应分析业务发展和数字化转型对网络安全的要求，并设立顶层目标。识别出所需具备的安全能力后，在四大方面（即：组织架构、制度体系、流程标准和技术工具）开展蓝图规划。

区别于以往的安全建设，在数字化变革中国有企业的安全组织架构规划中突出决策层的领导作用，提高领导层对网络安全建设的重视程度，充分发挥领导层战略指挥的职能，自顶向下推行安全与发展兼顾的建设理念。在执行层加强业务部门安全岗位规划，提出明确岗位职责要求及人员技能标准，同时借助业务安全岗位充分理解业务发展的安全需求，促进安全要求融入业务。在安全制度体系及流程标准规划中，应形成覆盖完整安全领域的管理标准，针对管理对象形成安全技术规范，同时搭建形成固化的流程体系促进安全工作标准化开展。在安全技术工具规划中，一方面进一步深化纵深防御的技术建设，形成完整的网络边界安全防护及精细的内部网络安全保护措施协调联动，实现由被动响应到主动防御的转变；另一方面，逐步提高安全韧性防御能力，通过智能化地安全事件管理、安全运营管理，形成自我修复和自我保护的安全防护能力，确保在受到攻击或发生故障后能够自动快速识别、隔离和恢复受影响的部分。

在制定完整的能力建设蓝图规划后，国有企业应该识别数字化转型中重点业务场景所需的网络安全能力组合模型；基于不同的能力组合模型，从安全组织架构、安全制度体系、安全流程标准和安全技术工具四个建设领域形成详细的网络安全解决方案；通过导出针对性强的网络安全解决方案，最大限度地调动已有的资源，快速采取有针对性措施以满足业务需求，在数字化建设过程中确保网络安全灵活适配业务需要；同时，保证业务的安全建设符合整体网络安全建设蓝图规划，形成整合的网络安全部署能力，避免各个板块在开展网络安全部署过程中零敲碎打甚至导致重复部署。

打破安全管控边界，转型提供安全服务，安全触达全链业务

传统的安全管控边界往往是基于网络和设备的，而随着数字化转型的深入，国有企业数据和应用已经变得更加复杂、分布更广，传统的安全管控边界已经无法满足数字经济下国有企业的需求。打破安全管控边界是指不再只将安全控制在传统固定的范围内，而是将安全管理延伸至业务内部，形成全链条的安全保护，从而更好地保护国有企业的关键业务和数据。

在数字化转型过程中，国有企业需要为不同的业务和数据场景提供安全解决方案。这就要求提高网络安全管理效率、灵活性和精准性。通过向内部以服务形式提供安全能力，国有企业可以整合其安全能力和资源，并将其提供给其他部门和业务部门使用，以满足企业在数字化转型中的整体安全需求。这种服务形式可以使网络安全能力得到更广泛的应用，从而提高企业网络安全水平，并更灵活地适应数字化时代的安全要求。例如，企业可以提供多种网络安全服务（如：安全设计、网络评估、漏洞扫描、培训等），并为各个业务部门定制相应的解决方案。同时，在推动顶层规划建立起网络安全部门后，企业还需确保流程与质量控制标准符合相关规范；此外，在技术层面上，可通过开放服务接口来实现对于其他系统调用企业所拥有的特定技术或功能进行共享复用，从而进一步加强信息系统及数据资产防护工作，提升信息系统稳健性。

创造安全文化环境，培养人才梯队，实现自上而下的安全自我驱动

营造安全文化环境，实现网络安全自我保护，是国有企业网络安全建设中至关重要的一步。在数字化时代，网络安全已成为国有企业发展的重要保障之一。因此，国有企业需要建立稳固的安全文化基础，并让员工形成对于信息安全的意识和认知，在企业内部将信息安全融入到日常运营中去。

首先，国有企业建立网络安全文化环境的重要前提是领导层网络安全管理理念的转变。在数字化背景下，领导层需要将网络安全作为企业核心战略之一，协调和平衡网络安全投入与业务需求。在日常管理中，应自上而下加强对网络安全的认知和理解，深入推进安全文化建设，并重视员工的安全意识和素养，让每位员工都成为网络安全参与者和推动者，在企业内形成自我保护和共同保护的良好氛围。

其次，在数字化变革面前，国有企业需要完善网络安全人才模型并优化能力培养方案。不同于以往单个技术或能力需求，数字化背景下国有企业更需要具备整体视野、了解各个领域特殊挑战及基于场景进行风险评估威胁分析等多方面技能的专家来满足数字化战略及各项需求。

最后，整体意识文化培养是提高国有企业网络保障能力所必须依赖的基础。通过加强员工对于信息资产保护重要性及必要性的认识，让员工更积极地参与网络安全工作并主动遵守相关规定和标准，国有企业可以有效提高其网络安全保障能力。为此，国有企业应建立常态化的网络安全意识宣传、定期开展考核或场景模拟演练，并通过明确奖惩机制等方式将网络安全意识融入企业核心价值观中，使员工在工作中始终把网络安全视为一项重要责任和义务。

结语

国有企业在转型背景下，数字化应用越来越广泛，面临着前所未有的网络安全威胁和风险，同时也面临着来自业务数字化高速发展的挑战。国有企业的网络安全需要打破以往的建设边界及碎片化的建设模式，形成匹配发展策略的安全顶层规划，通过建立网络安全制度体系和流程标准，创新组织及人员能力管理模式，整合安全技术工具，明确形成网络安全建设蓝图，并通过服务化的安全能力，形成针对不同业务场景定制化的安全解决方案。同时，国有企业在复杂的安全建设背景下需要培养网络安全人员的综合技能和素质，如安全管理、业务理解、沟通协作等，自顶向下将网络安全意识融入企业价值观，以满足复杂的业务环境。总之，国有企业的网络安全建设需要全面、系统、持续进行，不断提升安全能力和水平，以保障企业的网络安全和数字化转型的可持续发展。