1、企业企业数字化治理应用数字化治理应用发展报告发展报告(2021 年)年)中国信息通信研究院云计算与大数据研究所中国信息通信研究院云计算与大数据研究所20212021 年年 7 7 月月编制说明编制说明本报告的编写得到如下企业的支持,在此一并感谢(排名不分先后):阿里云计算有限公司、蚂蚁科技集团股份有限公司、北京奇虎科技有限公司、北京百度网讯科技有限公司、中国联通软件研究院、美团商企通、北京字节跳动科技有限公司、360 政企安全集团、度小满科技(北京)有限公司、小米科技有限责任公司、华为技术有限公司、中国移动江苏公司、中移(杭州)信息技术有限公司、中国移动通信集团内蒙古有限公司、贝壳找房(北京)
2、科技有限公司、北京谷安天下科技有限公司、大家保险集团有限责任公司、大家信科有限责任公司、西安恩耐博人工智能科技有限公司、中冶宝钢技术服务有限公司、上海宝信软件股份有限公司、上海速擎软件有限公司、上海精鲲计算机科技有限公司、东华软件股份公司。前言前言数字经济时代,科技革命和产业变革日新月异,深刻改变着社会生产生活方式和社会治理体系。企业作为社会治理体系中重要的一环,在数字经济时代加速数字化转型的过程中,同时面临着严峻的治理挑战。当前,企业数字化转型使得企业治理环境和治理对象数字化,治理活动也需要走向数字化,建立数字化治理机制,受到企业管理者的关注。越来越多的企业决策者认为运用技术手段对组织内部人
3、员、组织、业务、流程、基础设施、数字资产等各要素实施科学管控,才能保障企业数字化转型的成功。本报告第一章基于对企业数字化治理机制和实践的梳理,提出了包含治理目标、数字化治理战略、数字化治理机制、数字化治理应用、数字化治理对象等层面的企业数字化治理的体系。在此体系框架的基础上,根据各治理领域的成熟度和企业关注程度,有针对性的对企业数字化运营、新技术治理、智能安全与隐私合规、法律科技、数字化风控、数字化审计等企业数字化治理应用的关键领域展开研究。第二章分别从各关键领域产生背景、最新理念和最佳实践入手,以技管结合为主线总结归纳典型应用现状和典型特征。第三章详细分析了各关键领域发展过程中的关键问题、重
4、难点问题,并针对性提出实施建议。第四章从多元共治的角度提出企业数字化治理应用发展建议。附录中针对各领域数字化治理行业优秀实践进行了筛选和归纳,提炼案例核心特色和价值,以期望对企业开展数字化治理提供有效参考。目录目录一、数字化治理助力企业数字化转型.1(一)企业数字化治理和数字化转型的关系.1(二)数字化治理概念内涵.1(三)企业数字化治理体系.3二、企业数字化治理应用关键领域现状分析.5(一)数字化运营.51.BizDevOps 覆盖业务侧,实现端到端的价值闭环管理.62.大数据、AI 等新技术驱动企业运维智能化(AIOps).63.工作流自动化创造数字化转型增量价值.7(二)新技术治理.71
5、.云治理确保企业云采用质效合一.82.人工智能模型开发应用一体化盘活模型资产价值.11(三)智能安全与隐私合规.131.新一代安全运营中心(Security Operations Center)促进网络安全走向主动式和智能化.132.隐私合规一站式平台实现隐私保护融入研发运营(DevPrivacyOps)治理闭环.15(四)法律科技.161.前沿技术成为法律科技发展重要推手.172.多场景深度应用,降本增效成果明显.18(五)数字化风控.191.企业风险管理从“合规遵从型”走向“价值创新型”.192.数字化风控助力企业实现风险控制要求嵌入业务流程.20(六)数字化审计.221.数字化审计促进审
6、计职能转向咨询型审计.232.审计对象数字化驱动数字化审计体系化建设.24三、企业数字化治理应用关键领域痛点分析及应对.27(一)数字化运营.271.数字化运营典型痛点分析.272.数字化运营实施建议.28(二)新技术治理.291.云治理典型痛点分析.292.云治理实施建议.313.AI 模型治理典型痛点分析.324.AI 模型治理实施建议.33(三)智能安全与隐私合规.331.智能安全典型痛点分析.332.智能安全实施建议.343.隐私合规典型痛点分析.354.隐私合规实施建议.36(四)法律科技.361.法律科技典型痛点分析.362.法律科技实施建议.37(五)数字化风控.381.数字化风
7、控典型痛点分析.382.数字化风控实施建议.40(六)数字化审计.411.数字化审计典型痛点分析.412.数字化审计实施建议.42四、企业数字化治理应用发展建议.44附录:数字化治理典型案例.46(一)数字化运营.461.中国联通一站式研发管理平台提升企业研发质效.462.中国移动江苏公司基于运维研发化的运维数智化.493.超级自动化驱动的 JKSTACK Workflow 工作流治理.524.紫羚云一体化科技运营助力研运提质、增效、控风险.565.中冶宝钢智能化运维提升企业“智造”水平.59(二)智能安全与隐私合规.621.蚂蚁集团 AEYE 智能安全分析对抗系统保障业务安全.622.字节隐
8、私合规一站式平台助力企业隐私合规治理.643.中移杭州智慧家庭用户隐私保护实践.684.百度隐私合规检测系统助力 APP 个人信息保护.70(三)新技术治理.741.阿里云 Landing Zone 实现高效云治理.742.恩耐博慧见 AI 模型全生命周期管理发挥模型价值.75(四)法律科技.801.东华软件法务合规系统赋能企业法务数字化转型升级.802.智慧法务管理平台助力 360 集团一体化法务管理体系建设.84(五)数字化风控.871.度小满数字化治理下的反洗钱管理体系建设.872.小米集团数字化风控“灯塔体系”赋能业务促经营.913.美团商企通助力企业消费合规管理数字化.96(六)数字
9、化审计.981.中国宝武穿透式监督之大数据审计.982.中国移动内蒙古公司基于智慧审计系统提升内部审计数智化.1023.大家衞助力大家保险集团审计工作数字化转型.106参考文献.111图 目 录图 目 录图 1 企业数字化治理框架.4图 2 云治理路径.11图 3 企业人工智能治理参考框架.12图 4 数字化审计体系.26图 5 企业在云中面临的前 5 大挑战.30图 6 云成本管理不同视角.31图 7 云财务运营能力整体框架.32图 8 数字化审计模型优化循环.44图 9 一站式研发管理体系架构.47图 10 运维研发化转型框架.50图 11 基于工作流的企业统一服务台.55图 12 智能化
10、运维整体架构.60图 13 智能安全分析对抗系统架构.63图 14 隐私合规一站式平台应用架构.65图 15 模型全生命周期管理.77图 16 反洗钱数据仓库架构图.88图 17 反洗钱可疑交易监测.89图 18 数字化风控“灯塔体系”.93图 19 数字化风控业务流程挖掘和分析.94图 20 持续风险监控平台.95图 21 企业因公消费数字化管控.97图 22 系统级全闭环费用风险合规管控.98图 23 智慧审计系统架构图.103图 24 智慧审计工作体系.104图 25“远程+现场”、“闭环+协同”互动审计模式.106图 26 数字化审计平台功能架构.109表 目 录表 目 录表 1 典型
11、 Landing Zone 模块.9企业数字化治理应用发展报告(2021 年)1一、一、数字化治理助力企业数字化转型2021 年是“十四五”开局之年,也是数字化转型关键年。数字经济势不可挡,成为中国崛起、弯道超车的重大机遇,也是企业提升效率的必由之路。然而,企业在享受数字化带来红利的同时,挑战也随之而来,加强数字化治理迫在眉睫。(一)企业数字化治理和数字化转型的关系(一)企业数字化治理和数字化转型的关系“十四五”期间是我国企业数字化转型的关键时期,转型期企业在进行组织赋能模式创新和业务突破的同时,也必然会在数字化战略规划、管控模式、业务融合、安全隐私等方面遇到新的挑战。企业需要进行有效的数字化
12、治理来应对一系列数字化新风险。数字化转型的核心是新基础设施的建设和新业务模式以及与之匹配新生态体系的建设。数字化治理是对数字化转型过程中的安全、隐私保护等核心风险的管控,以及整体组织形态、运营管理模式的优化调整,是对数字化转型过程中生产关系的重塑,兼顾风险防范和效能提升。数字化转型和数字化治理协调一致,保障了企业数字化转型健康发展,驱动了企业数字化转型价值最大化。(二)数字化治理概念内涵(二)数字化治理概念内涵中国信息通信研究院 2021 年 4 月发布的中国数字经济发展白皮书提出数字经济的“四化”框架,包括数字产业化、产业数字化、数字化治理、数据价值化。其中数字化治理包括但不限于多元治理,以
13、“数字技术+治理”为典型特征的技管结合1,以及数字化公共服企业数字化治理应用发展报告(2021 年)2务等。该观点从宏观视角阐述了数字化治理的典型特征和范围。国务院国有资产监督管理委员会在其数字化转型知识方法系列专栏文章中对数字化治理进行了微观角度的阐释,文章认为数字化治理指建立与数字化转型下的新型能力建设、运行和优化相匹配的数字化治理机制,应用架构方法,推动人、财、物,以及数据、技术、流程、组织等资源、要素和活动的统筹协调、协同创新和持续改进,强化安全可控技术应用以及安全可控、信息安全等管理机制的建设与持续改进等内容2,主要包括:数字化治理机制,包括为实现四要素协同、创新管理和动态优化建立的
14、标准规范和治理机制等内容;数字化领导力,包括高层领导者对数字化转型敏锐战略洞察和前瞻布局,以及由一把手、决策层成员、其他各级领导、生态合作伙伴领导等共同形成的协同领导和协调机制等;数字化人才,包括全员数字化理念和技能培养,数字化人才绩效考核和成长激励制度,以及跨组织(企业)人才共享和流动机制等;数字化资金,包括围绕新型能力建设等数字化资金投入的统筹协调利用、全局优化调整、动态协同管理和量化精准核算等机制;安全可控,包括自主可控技术研发、应用与平台化部署,网络安全、系统安全、数据安全等信息安全技术手段应用,以及安全可控、信息安全等相关管理机制的建立等。企业数字化治理应用发展报告(2021 年)3
15、本报告以企业视角展开数字化治理应用发展研究,结合上述宏观和微观角度的数字化治理涵义,本报告认为企业数字化治理的本质是企业治理活动的数字化和对数字化对象的治理。治理活动的数字化方面,数字化转型对企业传统治理体系进行了数字化重塑,各领域治理流程和活动均经历显著数字化转变,如 IT运营、安全管理、风险管理、审计、法律合规等领域。治理对象数字化方面,随着数据的生产要素属性增强以及人工智能、区块链、云计算等技术对生产力和生产关系的加速调整,全球对于数据和新技术的治理愈发密集。对于企业来说,不仅仅要治理技术本身,还需要治理技术产生的外部性,数据及新兴技术等数字资产已成为企业稳定持续经营不可忽视的治理对象。
16、(三)企业数字化治理体系(三)企业数字化治理体系基于对企业数字化治理机制和实践的梳理研究以及与相关领域行业专家的大量讨论和交流,我们提出如下企业数字化治理框架供业界参考及共同完善。企业数字化治理应用发展报告(2021 年)4来源:中国信息通信研究院图 1 企业数字化治理框架我们认为,企业数字化治理体系是以价值赋能、安全可控、合规运行、企业社会责任为治理目标,以人员、组织、业务、流程、基础设施、数字资产为治理对象,自上向下通过数字化治理战略、数字化治理机制、数字化治理应用来构建。具体为:数字化治理战略,企业数字化治理战略需要企业管理者对数字化转型中企业应具备的数字化治理能力进行敏锐洞察和前瞻布局
17、,以及由一把手、决策层成员、其他各级领导、生态合作伙伴领导等共同形成协同领导和协调机制。数字化治理机制,是针对价值管理、IT 运营、合规管理、安全及风险管理、组织人员管理等核心领域建立的标准规范和管理措施。数字化治理应用是支撑数字化治理机制有效运行的数字化手段,关键应用企业数字化治理应用发展报告(2021 年)5领域包括:数字化运营、法律科技、数字化审计、智能安全与隐私合规、数字化风控等。习近平总书记指出“要运用大数据提升国家治理现代化水平”,“要建立健全大数据辅助科学决策和社会治理的机制,推进政府管理和社会治理模式创新”。这些重要论断为提高社会治理体系和治理能力现代化水平提供科学的技术赋能路
18、径。同理,企业治理体系和能力现代化的实现离不开数字化治理应用,数字化治理应用是实现企业数字化治理建设的重要保障。本报告重点对企业数字化治理应用的关键领域进行研究,从关键领域的应用现状、应用痛点及实施建议三方面进行梳理、分析、归纳总结,为企业数字化治理应用的有效落地提供参考。二、企业数字化治理应用关键领域现状分析根据行业调研情况及案例研究过程中企业的关注程度和各数字化治理领域的成熟度,现阶段企业数字化治理应用的关键领域包括企业数字化运营、新技术治理、智能安全与隐私合规、法律科技、数字化风控、数字化审计。本章将从各关键领域产生背景、最新理念和最佳实践入手,以技管结合为主线总结归纳典型应用现状,希望
19、对各行业企业开展数字化治理有所启发和帮助。(一)数字化运营(一)数字化运营企业在推进数字化转型的过程中,需要 IT 团队支撑业务系统、技术平台、基础设施的规划、设计、实施、运维和管理。企业数字化运营是数字经济时代企业研发运维管理的转型升级。它有两大核心特企业数字化治理应用发展报告(2021 年)6点,一是研发、运维与业务的高度融合,二是价值赋能。企业数字化运营的主要模式有业务研发运营一体化(BizDevOps)、智能化运维(AIOps)和工作流自动化等。1.BizDevOps 覆盖业务侧,实现端到端的价值闭环管理随着用户需求的日益增长、对产品交付的快速响应、快速实现、高质量的要求,以及来自团队
20、内部的压力和数字化转型的迫切需求,业务需求和技术创新并行驱动软件开发模式发生巨大变革,企业引入研发运营一体化(DevOps)打破了传统研发和运维之间的隔阂,缩短产品研发周期,加速产品交付效率,提升产品交付质量,以适应飞速发展的客户需求和市场变化。在此基础上,BizDevOps 覆盖了业务、开发、测试、运维的业务全生命周期,与 DevOps 相比,更关注整体商业价值的实现,从业务部门原始需求到 IT 开发实现和持续运维,通过运营数据反馈到业务部门进行改进优化,从而形成针对业务商业价值的生命周期闭环管理,实现业务与 IT 的对齐。BizDevOps 能够弥补 DevOps 被动式响应及价值呈现单薄
21、、业务关联度低等的不足,打通 IT 与业务端,并围绕业务商业价值驱动,构筑企业数字化治理的核心竞争力。2.大数据、AI 等新技术驱动企业运维智能化(AIOps)企业正在面临 IT 规模增长、系统复杂度提高、迭代速度加快等情况,传统运维难以支撑 IT 业务的快速发展。通过对海量数据的积累,结合云计算、人工智能、大数据等技术的成熟应用,AIOps 成为必然趋势。根据 2021 年 Gartner 预测,从 2020 年到 2025 年 AIOps企业数字化治理应用发展报告(2021 年)7市场规模的复合年增长率将达到 15%3。当前,互联网、金融、通信等行业已积极探索 AIOps 应用场景实践,以
22、解决在故障处理、变更管理、容量管理等过程中,由于按人员经验进行处理、决策而阻碍运维质量、效率的问题。通过对智能运维的探索应用,可以有效降低运维难度,使传统运维人员专注自身的业务逻辑,提高开发和迭代效率,并且充分发挥人工智能领域的技术成果,使得机器能够辅助/代替人作出决策,提高决策反应速度与质量。3.工作流自动化创造数字化转型增量价值数字化时代要求企业打破屏障,在信息化系统之间形成有机衔接。工作流自动化通过对各种 IT 能力的封装和串联,快速构建流程化业务的能力,并将业务进行自动化处理。工作流自动化能力主要从价值链网络化、协同能力整合和技术能力维度三方面构建。价值链网络化是指“价值链”开始向“价
23、值网络”转变,它可以使企业更加灵活、动态地、自组织式的生产和提供服务,通过与合作伙伴和客户的协作实现价值共创。协同能力整合是指企业在面对市场的不确定性时,通过数字化业务流程平台快速整合后台资源,快速交付价值,并持续改进。技术能力维度主要围绕在线化、编排化、自动化以及智能化等能力的建设。通过自动化、智能化技术的引入,可以使员工从事更高价值的工作,显著提升工作效率。(二)新技术治理(二)新技术治理随着人工智能、区块链、大数据、云计算等技术在企业不断应用,企业数字化治理应用发展报告(2021 年)8企业对于新技术的治理需求也越来越强烈。本报告选取当前发展较成熟的云治理以及企业广泛关注的人工智能模型管
24、理作为研究对象,分析其代表应用和核心特点。1.云治理确保企业云采用质效合一国务院发展研究中心国际技术经济研究所 中国云计算产业发展与应用白皮书 预测到2023年中国云计算产业规模将超过3000亿元,政府和企业上云率将超过 60%,云计算市场稳定增长4。企业上云过程中和上云后,为了确保整个云环境能够始终保持安全和稳定地运行,云治理同样不可或缺。在支持企业向云上迁移及企业业务转型创新的过程中,云开创了全新的模式,而这些新模式也会改变治理方式。企业上云过程中需要解决上云策略、上云准备、持续治理等阶段的工作,完成传统 IT 治理向云治理的转变。当前,诸如阿里云、AWS、Azure 等众多云服务提供商均
25、提出各自的云采用框架(CloudAdoption Framework),辅以丰富的技术工具,指导企业快捷、安全、稳定、低成本成功上云并确保上云后整个云环境能够始终保持安全和稳定运行。企业在上云前,需要有一整套顶层设计和一系列基础框架,否则可能导致后续上云面临成本、网络、安全、效率等多方面问题。业界通常称这些基础框架为 Landing Zone,企业实践中典型的 LandingZone 包括商业关系、访问控制、成本管理、网络规划、资源结构、持续治理、自动化等模块。企业数字化治理应用发展报告(2021 年)9表 1 典型 Landing Zone 模块Landing Zone模块模块描述描述商业关
26、系管理管理和云平台的合同、优惠、付款关系、账单,以及认证公司在云平台的实体、发票抬头等财务相关的属性。网络规划规划云上 VPC 的拓扑结构、混合云网络的互联、网络的流量走向、相关的安全措施,以及如何构建高可用和可扩展的网络架构。资源规划规划云上账号及其组织结构。根据公司的运维模式,定义所需要的管控关系。身份权限规划谁能够访问云,并通过单点登录 SSO 和细粒度授权实现人员按需访问。安全防护通过在云上构建基础的安全环境,帮助业务系统在云上快速的安全落地。成本管理通过标签、账单让公司在云上的成本做到可见、透明,并通过预算、规则等方式控制和优化云上成本。持续治理框架设计治理的目标和流程,并通过相应的
27、工具来实现对于治理规则的监督。自动化定义自动化场景和目标,并通过相应的工具实现自动化。常见的场景如 Landing Zone 自身的搭建以及CI/CD 流水线的自动化。来源:阿里云Landing Zone 以风险为导向,覆盖了企业在云采用过程中不同阶段面临的不同风险,也对应不同的治理要求,主要风险有:安全风险:由于云环境安全漏洞被威胁利用导致的风险,如DDoS、不安全 API 接口、跨租户攻击、网络访问控制失效等。企业数字化治理应用发展报告(2021 年)10 业务风险:一切可能对业务收益造成损失的潜在问题,比如数据泄露、服务中断、成本溢出、合同履约风险等。合规风险:因无法获得第三方合规机构的
28、资质认证以及无法实现隐私保护、网络安全、数据跨境等方面的合规要求,导致企业无法与合作伙伴完成商务合同,或面临合规处罚的风险。流程风险:因企业内部管理流程的缺失,使管理决策和管理基线难以被强制执行和实时监督。通过对比国内外领先云服务商提供的云采用框架中对于治理的内容和调研企业实际云采用过程中的实践,我们归纳出:对于各个阶段的风险,企业通过执行风险识别&评估、治理策略、持续监督等一系列治理活动实现云采用质效合一。风险识别与评估:充分考察企业在每个阶段面临的潜在风险,并通过量化风险可能造成的损失来评定风险等级,针对不同的风险等级制定不同程度的治理决策。治理策略:将治理决策转化为治理策略,治理策略是可
29、被系统化实现的技术规则。持续监督:治理策略自动部署及实施后,需要使用技术手段持续对云上行为进行事前拦截、事中监测、事后审计的持续监督和改进。企业数字化治理应用发展报告(2021 年)11来源:阿里云&中国信息通信研究院图 2 云治理路径2.人工智能模型开发应用一体化盘活模型资产价值随着人工智能技术的广泛应用,企业逐步在效能、安全、风险管理、审计等方面开始重视并逐步开展人工智能治理。2020 年 4 月 30日,上海市科学研究所发布全球人工智能治理年度观察 2019英文 版(AI GOVERNANCE IN2019:A YEAR IN REVIEWOBSERVATIONS OF 50 GLOBA
30、L EXPERTS)人工智能治理报告,报告基于 2019 年全球人工智能治理总体形势,从不同层面和角度提出全球人工智能治理的趋势观点。其中涉及企业视角对于人工治理的观点为:人工智能治理手段逐渐市场化,企业成为越来越重要的治理主体。企业数字化治理应用发展报告(2021 年)12来源:公开资料整理图 3 企业人工智能治理参考框架企业在进行人工智能治理时可以从数据质量、数据素养、模型性能、隐私、安全、透明及可解释性、公平、人的控制等方面入手,实现效能、合规、应用原则等三个治理目标。人工智能的治理是需要逐步实施的工程。当前,在效能方面,部分企业已使用数字化、一体化解决方案实现 AI 模型的全生命周期管
31、理,达成对模型的高效构建和有效应用。模型的全生命周期管理通过平台集成一系列的工具、接口,实现对建模数据探索(多数据源和数据格式)、模型构建(包括自动化构建、交互式构建、图形化构建等)、模型部署(包括云部署、大数据环境中的部署、批量部署、一键部署等)、模型监控(包括模型性能、模型业务价值的实时监控)、模型更新(包括自动化更新、自动化重建等)的统一管理,其中模型监控是企业当前模型平台建设的重点。自动化的模型数据探索、模型构建、模型部署提高了模型质量、建模企业数字化治理应用发展报告(2021 年)13效率,有效降低了模型的开发成本。此外,通过一体化管理,模型构建的知识体系化地沉淀于平台,实现知识积累
32、和传递。更重要的是,模型投入应用后,通过对模型性能和业务使用价值的监控,实现模型的价值可视化,有效赋能业务发展。(三)智能安全与隐私合规(三)智能安全与隐私合规1.新一代安全运营中心(Security Operations Center)促进网络安全走向主动式和智能化传统的网络安全架构仅限于被动式防御,根据安全管理人员配置的安全规则进行被动式防御,但是安全事件是动态的,攻击技术及手段总是在不断的更新和变化,新的攻击手段、漏洞信息等层出不尽,企业安全体系必须切换到主动式、智能化模式。当前,越来越多的企业正在解构其被动式的传统网络安全防御体系,通过调整资源、技术、管理、运营等手段向主动式的网络安全
33、治理体系转变。从传统根据紧急安全事件、监管要求、业务需求等进行被动防御的模式转向主动式 SOC 建设。企业新一代 SOC 呈现安全与业务目标融合、安全一体化运营、智能化海量数据分析、实战检验等特征,实现了技术、流程和人的有机结合。随着安全态势感知平台的兴起,安全运营中心以态势感知平台作为智能安全运营的载体,融入终端监测响应、机器学习、东西向流量采集技术、大数据技术等,在风险监测、分析研判、通知协作、响应处置、溯源取证等各方面进行增强。新一代 SOC 智能化方面,物联网的普及和联网设备的数量不断企业数字化治理应用发展报告(2021 年)14增加、网络威胁实例不断增的网络安全现状下,新的攻击面和攻
34、击矢量往往超出传统安全防御体系的感知范围、处理能力和响应速度。运用 AI 技术,特别是深度学习技术智能化解决安全问题成为业界热门的研究方向,在学术界也沉淀了不少研究成果。新一代 SOC 建设可从安全架构设计、安全运营、安全专家团队、安全大数据平台、安全基础设施等方面入手逐步完善,大致包括如下几个部分:自适应安全架构:新一代 SOC 应以持续监控和分析为核心,覆盖防御、检测、响应、预测四个维度,可自适应于不同基础架构和业务变化,并能形成统一安全策略应对未来更加隐蔽、专业的高级攻击。安全运营:安全运营除注重安全系统工程的规划与落地,以及微观基础设施的攻防理念策略、管理制度流程、安全技能使用、事件响
35、应预案外,还应通过实战机制来检验域内安全能力体系是否依然健壮可靠。在已有系统常规运转过程中,新系统上线、重大安保事件之前,利用实网攻防、众包众测手段、安全监理等手段进行常态化安全检验机制。通过实战检验机制动态发现已建成安全体系的脆弱性,持续提升自身的安全能力成熟度。构建立体安全治理团队:安全治理团队由安全攻防人员、算法开发、大数据开发人员组成,组成集安全业务理解、数据角度洞悉问题、算法角度摸索探查的人员矩阵。完善的切面数据体系:能够在系统、应用的各个位置、节点、企业数字化治理应用发展报告(2021 年)15通道以及动作行为环节获取充分的业务、运行甚至供应链链路关键信息,且可以和已知的资产、情报
36、、风险信息形成有效关联。支持大数据规模的计算平台:应对安全相关的大规模数据量,需要有相应的计算平台进行稳定支撑。机器智能和专家智能的有效结合:企业网络安全治理涉及到的因素繁多,包括安全与业务的关系、成本与效率的考量等等,因此在整个体系中既需要有机器智能提升效率,又需要专家智能深度分析、综合决策。2.隐私合规一站式平台实现隐私保护融入研发运营(DevPrivacyOps)治理闭环为了保障公民的个人信息与隐私安全,全球掀起了个人信息和隐私法规的立法热潮。联合国贸易和发展会议官网(UNCTD)调查显示,截至 2020 年 12 月,全球受调查的 194 个国家中已有 128 个国家立法保护数据安全和
37、个人隐私5。实践中,数据安全和个人隐私保护存在本质区别,数据安全合规侧重数据种类的管理,而个人隐私保护由于数据主体(用户)一系列特殊的权利,如可携带权、被遗忘权等,工作重心在于对每一位个人用户的个人数据进行管理。企业要在海量个人数据中为每一位用户提供“定制化”的隐私相关的服务,则必须依赖自动化的解决方案才能有效完成隐私保护工作。Gartner 发布的2020 年九大安全和风险趋势提出隐私正在成为一门独立的学科6,其不再仅是 IT、法务或者审计的一部分,需要各部门紧密合作才能将隐私保护整合到企业治理体系中。企业数字化治理应用发展报告(2021 年)16企业隐私合规一站式管理平台成为企业在数字时代
38、探索隐私合规的有效路径之一,其将技术部门与法律团队集合在一起,可以显著提高企业隐私合规的能力。一站式管理平台使用 AI 技术、机器人和可视化工具,在一个平台上提供了隐私合规相关各个环节的实时展示,包括个人信息风险、用户权利请求履行状态、法规合规性、供应商风险、用户同意等,实现了自动化和复杂任务的调度,如用户权利请求履行、个人信息映射、同意全生命周期管理等,助力企业有效保护用户个人信息。平台通过标准化隐私合规要求和风险控制点,使法律遵从类的治理活动与产品研发类的技术项目产生关联,结合研发运营的DevOps 机制,帮助组织低成本的实现将隐私保护设计至产品(Privacyby Design)目 标,
39、甚 至 进 一 步 实 现 隐 私 保 护 融 入 研 发 运 营(DevPrivacyOps)的治理闭环目标。实现隐私合规一站式管理带给企业众多价值,如实时查看所有数据隐私风险、高效地实现并保持业务隐私合规性、确保整个组织内隐私合规性可靠性、增加团队专业知识和隐私理解、实现各个团队之间的有效协作。(四)法律科技(四)法律科技法律科技(Legal Tech)主要指利用云计算、大数据、人工智能、区块链等前沿技术和各类科技手段创新改进传统法律行业提供的产品和服务,为法治社会治理提供支撑。目前,法律科技在国家司法普法、商业交易活动、企业法务管理、及个人法律服务等方面都有着不同程度的应用实践。其中在司
40、法领域企业数字化治理应用发展报告(2021 年)17的应用相对更为成熟广泛,特别是推进司法公开、建设智慧司法与法治中国建设方面,我国法院在智慧审判、智慧执行、智慧服务、智慧管理、智能研判等方面,都借助于法律科技手段取得了巨大成绩。企业应用法律科技方面,近年来多数央企、国企、及各行业领先企业都加快部署建设企业法务合规管理信息化、智能化应用平台,将法务与业务相结合,通过系统化方式进行规范与融合,在规范法务工作业务流程、提高内部工作协同效率的同时,提升企业法律风险管理水平,进一步保障企业稳健经营发展。法律科技在企业法务管理中的应用特点和趋势如下:1.前沿技术成为法律科技发展重要推手人工智能、大数据、
41、区块链等前沿技术与法律科技的深度结合,促进法律科技不断发展。企业经过信息化及数字化历程,积累大量的合同数据、纠纷案件数据、知识产权、公司治理等相关法律数据。大数据技术在法律领域的应用日趋成熟,已经出现了针对案例、法规、律师、企业等信息进行检索、分析和评估的技术与服务,以及利用大数据技术进行法律数据的提取、存储、检索、共享、分析和处理的技术。当前,企业法务大数据已成为企业法务管理的核心且呈现管理价值。以企业合同数据、纠纷案件数据、知识产权数据等为例,合同数据作为企业最重要、最全面的交易数据,在协助领导者掌握企业的交易量、交易分布并对未来交易进行预测中,起到最为关键的作用。纠纷案件数据在帮助企业决
42、策者了解案件信息、发案原因、涉案主体等,并通过数据分析找出企业数字化治理应用发展报告(2021 年)18避免此类案件再次发生的流程、制度或监管的缺陷,降低企业法律风险的过程中,发挥着不可替代的作用;知识产权、公司治理等相关数据,同样为企业的战略规划、目标制定等,提供非常重要的价值。人工智能技术的进步和法律大数据的丰富极大促进了法律科技的发展。人工智能与法律结合方面,深度学习在法律文本分类、法律文本自动生成、自然语言案例检索上都有较大突破。目前已经在法律检索、文件审阅、案件预测、咨询服务等四大领域有了较大的应用。区块链在法律科技的应用主要表现为区块链存证和智能合约。其中,企业初步应用区块链存证赋
43、能法务管理。最高人民法院关于互联网法院审理案件若干问题的规定 正式承认了区块链证据在法律纠纷中的效力。当前,部分法律科技提供商及企业法律部门已将区块链技术应用于电子文件的数据存证场景,链上保存流转电子文件的签署时间、签署主体、文件哈希值等数字指纹信息,信息一经存储,任何一方无法篡改,满足电子证据的司法存证需求。企业法务管理加速与新一代信息技术紧密结合、与业务协同,帮助企业解决法务管理中的难点,防范风险,提升效率。2.多场景深度应用,降本增效成果明显在企业交易活动和法律服务领域,法律科技在合同智能审查、电子合同签署、电子存证保护、纠纷案件管理、知识产权管理、普法宣传教育、企业合规治理、法律大数据
44、应用、法律服务机器人、企业尽调及法律风险评估等方面都已经有大量应用。这些成果与实践,助力企业提高服务效率、加强风险控制、提升服务体验,为广大企业营造企业数字化治理应用发展报告(2021 年)19更加可靠、可信、可持续的法律环境和营商环境赋予了更加丰富的技术手段支持。随着数字化法务管理平台、合同智能审查工具、电子合同签、电子存证、机器人法律服务等法律科技应用在企业的深度落地,法律科技为企业带来降本增效、风险防控等核心价值。(五)数字化风控(五)数字化风控企业风险管理是指企业在实现未来战略目标的过程中,试图将各类不确定因素产生的结果控制在预期可接受范围内方法和过程,以确保和促进实现组织整体利益。企
45、业风险管理领域最权威和被广泛接受的概念和理论框架(Enterprise Risk Management)是由美国科索委员会(COSO,反虚假财务报告委员会发起组织)于 2004 年 9 月在其企业内部控制框架上提出的,并于 2017 年 9 月发布新版。2006 年国务院国资委发布中央企业全面风险管理指引,中国企业率先从中央企业层面启动了全面风险管理体系建设工作。随后,各行业监管机构陆续发布针对不同类型企业的全面风险管理体系建设指引,如 2008年财政部会同证监会、审计署、银监会、保监会制定了主要针对上市公司企业风险管理的企业内部控制基本规范;银监会于 2016 年发布针对银行业金融机构全面风
46、险管理的 银行业金融机构全面风险管理指引等。当前,企业风险管理实践已从体系建设走向数字化、智能化发展。1.企业风险管理从“合规遵从型”走向“价值创新型”中国企业风险管理实践逐渐从“合规遵从型”走向基于智能化风企业数字化治理应用发展报告(2021 年)20险洞察的“价值创新型”。从企业实践来看,中国企业在针对监管指引进行企业风险管理的过程中经历了三个阶段,分别为:第一阶段1.0 合规导向风险管理,第二阶段 2.0 以风险导向的企业全面风险管理体系建设,第三阶段以赋能企业价值为导向的智能化风控体系建设。数字经济时代的来临,加速了企业的技术创新。在数字化转型的过程中,企业需要统筹规划、确保业务与数字
47、化方案的深度融合,以及不同数字化平台间的互联互通等问题。与此同时,企业也应关注数字化转型中可能存在的风险以及如何管治,例如风险防范意识不强、合规管理不到位、存在网络安全隐患等,并应用大数据分析以及人工智能、区块链等技术,对可能存在的潜在风险做好监测预警、识别评估和研判处置,打造“数据+模型+场景+流程”的数字化风控体系。2.数字化风控助力企业实现风险控制要求嵌入业务流程2019 年,国务院国资委出台了关于加强中央企业内部控制体系建设与监督工作的实施意见,在其第三章“加强信息化管控,强化内控体系刚性约束”中提出了风控数字化建设要求,可归纳为三个层次,一是要实现与业务系统的信息互联互通,二是风控标
48、准要嵌入业务信息系统的流程,三是要探索导入智能工具。企业实践方面,不同行业、不同规模的企业所面临的风险类型均有较大差异。因此,不同企业在进行企业风险管理时,均根据行业和规模有所侧重,如金融机构风险管理主要侧重风险领域有信用风险、市场风险、流动性风险、操作风险、国别风险、银行账户利率风险、声誉风险、战略风险、信息科技风险等;互联网企业进行风险管理时企业数字化治理应用发展报告(2021 年)21主要侧重业务安全风险、合规风险、舞弊风险、反垄断风险等。不管对于什么行业什么规模的企业,实现数字化风控均有助于将风险控制要求嵌入企业业务流程,实现风险的动态、主动治理。如在金融机构的反洗钱风险管理过程中,企
49、业根据不断丰富的业务数据基础、欺诈样本数据和案件特征库的积累,通过应用自适应学习算法的能力自动调整模型以适应外部欺诈环境变化而引发的风险规则的调整,解决普通模型和专家规则需要过多人工训练和调优的问题。此外,风控规则还作为业务规则的一部分嵌入业务系统中,实现诸如自动拦截交易异常、禁止注册异常账号等风控功能。又如在传统企业内部消费合规风险控制过程中,数字化风控解决方案解决了财务、业务系统整合程度低、数据不统一导致的费用管控成本高昂、效率低的问题,通过业务系统、财务系统、企业内部管理系统以及外部合作平台间风险管控规则的联动,企业费用控制逐步实现“事后算账”向“事前预算、事中管控、事后分析”的全流程风
50、险管理发展。数字化风控使得企业风险管理流程标准化、自动化,减少了人工运营和风险报告等领域所需资源。风险控制要求端对端嵌入业务流程和业务系统中,集中的风控系统后台通过自动化和实时处理实现高度无纸化和去人工化。风险管理人员的重点转向风险管理的全局设计,即充分考虑组织风险管理目标、风险偏好、设计关键风险指标、设计风险数据目录、设置风控节点、建立风险事件管理程序等,风险管理人员的专业价值得到最大化体现。企业数字化治理应用发展报告(2021 年)22(六)数字化审计(六)数字化审计作为一种重要的国家和社会治理手段,审计对于保障国家经济安全、政策执行和企业合规稳健经营具有显著的支持保障作用。近年来,党和国
浙ICP备2021020529号-1 | 浙B2-20240490 
