企業創建數字安全免疫力體系的重要性

當今時代，數據已成為各國、各方搶奪的戰略資源，重要性已經不言而喻，因此，數據的安全性也就被大家所關注。數據在社會生產生活中發揮的作用越來越大，同時，數據安全問題和數據安全威脅也成為全球關注的焦點。因此，企業創建數字安全免疫力體系，形成具有主動防御能力的數字安全免疫力勢在必行。

數字安全免疫力體系在企業健康、高效發展方面發揮重要的作用。企業在構建數字安全免疫體系時要考慮包括企業文化與意識、邊界安全、端點安全、應用開發安全、安全運營與治理、數據安全治理、業務風險治理等多方面因素，形成具有影響力的體系化功能模型。

數字安全免疫力體系要解決外圍的安全風險。在數字經濟不斷縱深發展的今天，企業面臨復雜的外圍安全威脅。傳統的針對系統的風險直接上升到業務、戰略層面，給企業的生存帶來挑戰。同時，安全風險更加多樣化和復雜化，且數據泄露事件和 APT 攻擊事件高發。加強企業及個人的信息網絡安全和個人隱私保護意識，與數字安全免疫力息息相關。對企業來說，解決“治未病”問題是大勢所趨，以此保證企業的業務、戰略、社會影響力免受打擊，讓企業能夠在健康高效的環境下發展。

合規性是推動數字安全免疫力體系快速落地的關鍵要素。數據是數字經濟時代重要的生產要素，是構建新發展格局的重要支撐。黨中央、國務院高度重視培育數據要素市場。黨的十九屆四中全會首次提出將數據作為新的生產要素，黨的十九屆五中全會再次確立了數據要素的市場地位。近些年，我國數據安全相關的法律法規體系不斷完善，從中央到地方再到行業，陸續發布了數據安全方面的相關政策、法規、標準，構成既有法律法規、系列政策，又有監管要求，還有系列標準作為支撐的監管、合規性體系，為促進全民信息網絡安全意識、數據安全意識的提高，為數據安全舉措的落地，提供了保障。因此，合規性是助推數字安全免疫力體系落地實施的強有力因素。

數字免疫安全免疫力體系的建立任重道遠。數字經濟和實體經濟的融合日益緊密，數據幫助制造業企業實現從“規模生產”到“規模定制”，有效支撐了個性化定制、體驗式制造、網絡制造等柔性化新型制造業態。在醫療、教育、交通等眾多關乎民生的領域，數據要素的充分運用推動相關應用向數字化、智能化方向發展，促進提升人民生活的幸福感。數據要素的價值，越來越多地體現在促進降低生產成本、提高生產效率、改善生活水平等方面，要通過緊密圍繞市場需求、應用需求，做到最大限度激發數據要素潛力。

合規性要求是企業實現數字安全免疫力體系的先決條件與基礎，更是推進其實現的助推劑。企業增強數字安全免疫力的意義重大，更需要多因素共同的努力和多方面的保障措施。因此，為數字安全免疫力體系能夠切實有力的落地實施，可以考慮以下五方面。

一是加大提升政策支持力度。數字安全免疫力體系是建立在合規性基礎上的。企業需要了解和熟悉相關法律法規和政策文件的情況，加快數字安全免疫力體系的發展和落地。同時，提升企業數字安全免疫力水平，需要引導和加大數字安全免疫力體系建設的投入力度，鼓勵企業建立適用于自身的數字安全免疫力體系，真正實現能夠因地制宜、量體裁衣式的落地應用，讓企業的安全建設實現提前思考、提前布局，防患于未然。

二是加大系統化推進力度。數字安全免疫力體系是一個系統化體系工程，在風險、事件與合規性的驅動下，從以組織數據、業務為核心的資產出發，包含數據安全治理、業務風險管控、邊界安全、端點安全、應用開發安全等模塊，包含技術與管理等多位因素，需要進行系統化地推進執行，統籌各方面因素，達到縱深防御的效果。

三是穩步推進制度建設與意識提升。企業應該圍繞構建數字安全免疫力基礎制度建設，實現企業整體數字安全意識的提升。“七分管理三分技術”在某種程度上是安全產業的共識。數字安全免疫力體系構建的是一個企業綜合化和平臺化的能力，匯聚的是一個企業面向數據和業務為核心的資產全面安全的能力，包含技術和管理等手段。若想達到數字安全免疫力體系本來想發揮的效果，需要所有因素協同發力。其中，安全運營和管理是數字安全免疫力體系的中樞系統，是建立抵抗力的重要場所，是感知威脅、監測漏洞、指揮作戰的大本營，這是平臺化的思路，同時，與此相關的所有決策，也需要從依據合規性角度出發。這里所說的合規性，既包括從法律法規、政策與國家標準層面出發的內容，又包括企業層面切實可落地實施的完備管理制度。既然管理在此過程中發揮至關重要的作用，那么整個企業層面從領導層到每一個成員的數字安全意識，就是數字安全免疫力體系得以實現的基礎。只有這樣，平臺化的技術支撐與綜合全方位高質量管理體系的落地實施，才能發揮好安全運營與管理的平臺化作戰體系的作用。

四是守住數字安全免疫力的基礎屏障和防線。數字安全免疫力體系是一個內有核心，中有作戰體系，外有基礎屏障和防線的綜合防御體系，邊界安全、端點安全和應用開發安全作為數字安全免疫力體系的外圍基礎屏障和防線，通過對外部威脅、入侵等風險的檢測、識別、分析等，構建對外部的綜合防御策略，實現動態化防御、數字安全免疫力“左移”，最終達到保障業務安全的目標。對這個體系的理解以及實施，是守住數字安全免疫力的基礎屏障和防線的基礎，也是發揮數字安全免疫力體系屏障和防線作用的關鍵。

五是保障業務安全是終極目標。安全體系和策略的目標絕不僅僅是停留在資產層面，其終極目標是要保障業務連續性和業務安全，這是風險理論的核心。所有要解決的安全問題的對立面是解決風險問題，無論最終是降低風險、規避風險，還是轉移風險等，目的都是要以保障業務為前提。所以，在構建數字安全免疫力體系時，要把保障業務連續性和業務安全放在首位，而提到業務層面的安全，避免不了要把合規性提到首位。就是說，企業在構建數字安全免疫力體系時，要把業務層面的合規性放在第一位，因為這是業務能夠開展的前提，一切業務開展不能違反法律法規和政策的要求，所以，構建數字安全免疫力體系的終極目標是業務安全，而合規性是整個體系構建的驅動力和前提。

數字安全免疫力體系是一個以業務安全為終極目標，以資產為核心，以安全運營和管理為中樞系統，以邊界安全、端點安全和應用開發安全為防線，以數據安全治理和業務安全風險控制為防御模塊的系統化保障模型。這個體系模型擁有縱深防御、主動防御、平臺化思路并兼具技術和管理的綜合保障模型。構建數字安全免疫力體系模型需要的資源、技術和管理手段也較多，若想該體系能夠真正發揮實效，需要多方努力，共同推進。合規性作為該體系模型能夠實現所需眾多因素的驅動力、前提和基線，是應用數字安全免疫力體系時首先應該考慮的，是保障業務安全不可或缺的。應用該體系模型的企業，需要以合規為基線筑牢安全建設的基礎工程，才能全面提升抗風險的能力和競爭力，保障業務運營安全和實現數字化轉型，為網絡安全產業發展貢獻力量。