文 / 本刊記者 益達
互聯網企業業務模式的快速創新與信息技術的深度應用,在給互聯網企業帶來巨大機遇的同時也面臨著各類風險的挑戰,IT風險治理的重要性日益凸顯。
爲深入洞察互聯網企業信息科技風險治理面臨的主要風險、治理現狀以及存在的痛點和挑戰,中國互聯網協會信息技術(IT)風險治理工作委員會(以下簡稱工作委員會)會發起了《互聯網企業信息科技風險治理現狀調查問卷》。參與本次調研的互聯網企業中約43.5%已開展出海業務,涉及全球多個國家和地區。其中,在歐盟成員國開城的企業占比最多,超過了66%。其次是美國(62.96%)和俄羅斯(55.56%)。除此之外,還有部分互聯網企業選擇在日本、印度、新加坡、馬來西亞、澳大利亞等國家開城。
科技法律體系逐步完善,數據信息保護增強
根據調研報告發現,參與調研的大部分互聯網企業設立了信息科技風險治理責任部門,其中,68%的受訪企業已明確信息科技風險治理的實體責任部門,主要由風險、安全、合規、內控、法務等部門承擔。18%的受訪企業以跨部門的工作委員會形式開展工作。此外,14%的受訪企業反饋尚未設立明確的責任部門,根據統計分析報告發現,尚未設立明確的責任部門的企業普遍規模較小,且非上市公司。
調研結果顯示,僅有29.03%的企業設置了首席風險官(CRO)。而在信息科技風險治理責任人方面,由首席信息官(CIO)、首席信息安全官(CISO)承擔企業信息科技風險治理責任的情況較多(18.18%),此外,部分企業由公司法人(13.64%)、首席執行官(CEO)(15.91%)、業務條線負責人(15.91%)承擔信息科技風險治理責任,首席風險官(CRO)、首席技術官(CTO)占比較少,另外少數企業尚未明確信息科技風險治理責任人。這體現出部分互聯網企業仍未形成職責明確、相互制衡的信息科技治理組織架構,風險管理責任人同時承擔經營管理和決策,對風險管理工作的獨立性有一定影響。
法律合規管理領域。近年來,我國網絡空間法治不斷推進,互聯網企業所面臨的信息科技法律體系日趨完善,以《網絡安全法》爲代表的網絡安全立法頂層設計已基本完成,隨著《數據安全法(草案)》《個人信息保護法(草案)》的陸續發布,即填補了我國數據安全管理方面的空白,也進一步構建了網絡安全管理框架。《網絡信息內容生態治理規定》的出台、《未成年保護法》新增“網絡保護”章節,標志著互聯網執法、司法體系不斷提高。另一方面,個人信息保護一直是全球的熱點話題,已有超過140個國家和地區正在開展個人信息保護立法工作,大幅度提升了互聯網企業出海的合規門檻。因此,法律合規工作是互聯網企業不可或缺的重要組成部分。
調研結果顯示,93.48%的受訪企業已設立獨立的部門承擔法律合規工作。而剩余6.52%尚未設立法律合規部門的企業均爲員工數量小于500的規模較小的企業。從調研結果來看,個人信息保護與數據安全方面的法律合規已經引起了互聯網企業的高度重視,其中93.48%的互聯網企業已將個人信息保護作爲企業法律合規重點,其次是業務安全管理與數據管理,占比均超過了70%。在開展法律合規工作中,對法律、行業規範和准則的追蹤不及時(32.61%)、解讀不准確(32.61%)並不是互聯網公司面臨的主要困難。50%的受訪者所在企業認爲難以根據法律法規准確評估企業運營現狀是否符合合規要求才是現階段最大的痛點。
除此之外,與信息科技風險治理整體情況相同,互聯網企業法律合規工作過程存在的困難仍以人員因素爲主,認爲“法律合規專業人員缺少信息科技相關專業知識”的受訪者占比爲50%。在合規工具方面,超過60%的互聯網企業部署的合規工具僅用于收集彙總法律合規文件,39.13%的企業形成了法律知識合規知識庫。僅有21.74%的企業運用了智能化合規風險監測工具。這表明互聯網企業法律合規工具普遍停留在基礎法律文件的收集和管理層面,距離自動化、智能化地監測、評估和處置企業合規風險還有一定發展空間。
業務安全管理領域。在需要開展業務安全風險治理的企業中,由安全部門開展業務安全管理的占比最高(60.98%),其次是法律合規部門(58.54%)與業務部門(51.22%),風險管理部門、內控部門和審計部門也都涉及業務安全管理。在業務安全管理工作開展過程中,大部分的受訪者認爲企業的主要挑戰爲難以有效地識別和防範業務策略漏洞,而在技術漏洞和管理漏洞的識別方面,受訪者普遍認爲企業表現較爲良好。此外,業務安全管理通常依賴于業務風控平台,根據調研結果顯示,73.17%的受訪企業自行研發了風控平台,17.07%的企業采用外購的服務平台,另外還有9.76%的企業尚未應用平台技術來管控業務安全。這說明互聯網企業擁有較強的研發能力,通過自動化、智能化技術手段開展業務安全風控是互聯網企業的主要趨勢。
個人信息保護領域。在關注個人信息保護領域的企業中,90.48%的受訪者認爲其所在公司已經明確了個人信息保護責任人。其中,26.19%的企業明確個人信息保護責任部門爲法律合規部門,28.57%的企業爲信息安全部門,14.29%爲數據管理部門,跨條線的工作委員會占比16.67%。從企業開展個人信息保護活動來看,超過90%的企業已對個人信息處理活動進行了記錄,然而其中約23%的受訪者認爲企業在定期維護和更新記錄方面存在困難。此外,超過80%的企業已建立個人信息保護政策和個人信息泄露應急處置預案,76.19%的受訪者表示企業已開展個人信息安全影響評估。整體來看,大多數互聯網企業已積極采取活動開展個人信息保護。在組織架構、管理政策和流程方面已建立較爲完善的解決方案,而在搭建自動化的工具平台和審計活動方面相對滯後。
數據管理領域。根據調研結果顯示,在數據質量管理方面已有超過50%的企業制定了企業級數據標准,實現了采集階段的數據校驗,並認爲對于發現的數據質量問題能夠及時整改。然而,僅有約35%的受訪者認爲其所涉及企業的數據質量足夠支持數據價值實現。這表明雖然大部分企業已認識到數據管理的重要性,采取了積極的應對措施,然而目前企業數據質量對于支撐數據價值的充分實現仍有進一步提升空間。在數據安全管理方面,超過80%的企業已開展數據生命周期安全管理。約90%的企業已制定數據分類分級方法,然而24.44%的企業尚未根據分類分級方法對數據進行標識。在數據安全技術工具方面,數據防泄漏工具、全站加密傳輸、敏感信息加密存儲、運維堡壘機以及密鑰管理系統等數據安全解決方案在互聯網企業應用較多。
內容治理領域。在開展網絡內容服務的企業中,74.19%已設立網絡內容生態治理負責人。在網絡信息內容審查人員規模方面,大部分企業審查人員團隊維持在千人以下,但也有6.45%的企業配置了超過萬人的審查團隊,這體現出網絡信息內容服務平台在內容管理方面非常重視,資源投入高。
調研結果顯示,在內容治理措施方面,建立用戶賬號管理體系(占比90.32%)、實時巡查平台內容(占比87.1%)等方式較爲普及,多級人員審核和技術審核也是目前企業普遍采取的內容審核機制(占比77.4%)。同時,超過90%的受訪者反饋企業已在網絡信息內容服務平台設立了投訴舉報渠道。但是,針對未成年人的保護措施目前仍比較欠缺(僅48.39%)。應用管理領域目前敏捷開發已成爲互聯網企業應用開發的主要模式。在涉及應用管理領域的企業中,30.30%的企業已由公司統一制定敏捷開發政策和細則。此外,45.45%的企業已在公司層面制定政策,由各事業部基于政策制定可落地的管理細則。然而約有25%的受訪者認爲企業敏捷開發管理制度方面存在不足。根據調研結果顯示,分別有超過90.91%和超過75.76%的受訪者認爲其所在企業已在軟件開發需求階段考慮到隱私和安全方面的要求。這表明互聯網企業已逐步落實Privacy by Design 和Security by Design的管理思路。
平台管理領域。隨著互聯網企業管理架構不斷地發展和調整,實現內部資源共享或集中化管理的平台服務也逐漸成爲互聯網企業建設的重點。根據調研結果顯示,大部分受訪者所在企業均涉及對于數據平台、風控平台、運維平台、雲平台、開發平台的管理活動。
互聯網企業應及時回頭看,提高風險管理水平
從調研情況來看,互聯網企業普遍已經在法律合規、業務安全管理、個人信息保護、數據管理、內容治理、應用管理、平台管理、基礎設施運行、新技術應用等領域開展了信息科技風險治理活動。同時,調研也總結出互聯網企業在開展信息科技風險治理活動的過程中存在若幹具有行業共性的發展特征和關鍵挑戰。
部分互聯網企業尚未形成職責明確、相互制衡的信息科技治理架構。在互聯網企業發展前期,業務發展迅速,風險治理往往相對滯後。根據調研結果顯示,部分互聯網企業尚未建立起權、責、利對等的治理組織架構,科技風險管理缺少獨立性和管理層支持,使得工作推進存在重重困難。數據成爲互聯網企業信息科技風險治理的重點。隨著線上業務飛速發展,網絡用戶數量和網絡活動産生的數據量呈井噴式增長,數據資産已經成爲互聯網企業的基石與核心競爭力。
個人信息保護與數據管理既是監管合規重點關注的方向,也是行業風險集中的領域。調研結果顯示,互聯網企業普遍在數據相關領域投入資源最多,開展信息科技風險活動也最爲迫切。
互聯網企業是“以科技治科技”的領軍者,人員和生態因素成爲科技風險治理的主要挑戰。互聯網企業具有領先的技術優勢和自研發水平,通常依賴技術管控措施的方式進行風險管理,因此對于能夠利用技術方式管控的風險往往表現良好。然而根據調研結果顯示,對于互聯網企業來說,最常發生及難以防範的風險事件卻並非來自于信息技術本身,而是來自于合作夥伴、供應商以及員工。缺少針對新技術的風險管理指引和標准。
互聯網企業是創新的試驗田,在業務和運營模式不斷推陳出新的同時,也在積極探索大數據、人工智能、區塊鏈等新興技術的深度應用。新的技術不可避免地會帶來新的風險,而對于企業如何調整機制有效地應對新風險,目前國內外均缺乏相關指引、標准和可落地的解決方案。綜合來看,中國互聯網行業已經度過業務高速發展的初始階段,邁入了穩定發展狀態,企業應當回頭審視自身的內部控制和風險管理水平,建立更加有效的治理架構,積極參與打造良好的生態環境。