普华永道近日发布主题为“数字化转型要求企业主动识别风险”的《2019年数字信任洞察之中国报告》。报告指出，从一系列衡量指标来看，中国企业管理者认为网络安全与业务发展相配的程度高于全球平均水平，但风险管理工作尚未成熟，仍处于“被动应对”阶段。

　　普华永道中国网络安全、隐私和计算机取证合伙人来穆萨表示，人工智能、区块链、云计算和5G等新兴技术发展趋势不可忽视，在此背景下，企业面临着在运营中使用这些科技创新技术以实现增长的压力，而隐私和数据保护方面的要求也会随之提高。

　　就此，报告访问了121位中国企业高管后发现，28%的受访者认为数据治理或隐私保护将成为企业数字化转型道路上最为严峻的风险。在企业数字化转型风险管理能力方面，与全球受访者（31%）相比，较少的中企高管和IT专业人员（24%）认为他们效率极高。多数中国受访者（55%）对此看法不太乐观，认为在管理这些风险方面只是略有成效，高于全球40%的水平。

　　普华永道中国网络安全和隐私保护服务合伙人李睿认为，科技企业正在引领中国数字化新趋势，部分传统企业对如何完成数字化转型茫然无措。一些企业将数字创新流程外包给第三方技术供应商，其他企业则等待由监管机构以及行业协会等推动的数字化转型，网络安全规划与业务发展目标并不匹配。

　　值得关注的是，报告指出，在构建数字信任时，中企的网络安全团队多数仍处于“被动应对风险”阶段。美国国家标准与技术研究院（NIST）发布的《网络安全框架》指出，网络安全管控应包括五个方面：识别、保护、检测、响应和恢复。中国网络安全团队在“响应”和“保护”两项功能中成熟度最高，在“识别”功能中成熟度最低。这一情况说明调研受访者只处于响应状态，在风险发生后采取缓解措施，而未能充分识别风险并防范于未然。

　　究其原因，报告分析，69%的中企网络安全团队在保障企业生态系统时常常就事论事处理问题，而非基于风险进行防范。普华永道中国网络安全和隐私保护服务合伙人冼嘉乐说：“采用基于风险的方法开展网络安全活动，使用标准框架进行自我管理，才能恰当预测和管理系统、人员、资产、数据以及性能方面的网络安全问题。侦测到事故后为企业提供支持，只能减少或遏制事件影响，充分识别风险并防范于未然应是每个网络安全团队努力的方向。”

　　报告进而向中国企业提出六点建议以提升网络安全工作水平，应对数字化转型带来的潜在风险：一是遵循基于风险的方法和标准框架，以增强“识别”功能；二是确保网络安全策略与业务发展并进；三是使用自动化及新兴科技提高网络安全能力；四是建立治理框架，以遵循外部监管要求；五是将网络安全管理作为企业层面的事项，而非将其归为IT事项；六是灵活响应并积极改进。