数字组织网络安全治理的生态系统思维和制度框架

【摘要】数字组织是数字化时代的必然产物，是数字经济和数字社会的重要载体。数字组织的网络安全已经成为社会安全和国家安全的“命门”。数字组织网络安全治理的目标就是要保障数字组织系统内全部要素的安全。在治理思维层面，我们需要强化数字组织安全治理的系统观念和整体观念，不仅要关注关键数字要素的安全问题，更要关注“云边端生态系统”中存在的结构性安全问题。在顶层设计层面，需要从等级保护制度、网络安全审查制度和网络安全信息共享制度三个方面进一步完善网络安全治理制度框架。

【关键词】数字组织 网络安全 治理制度

【中图分类号】TP391.9/TP309 【文献标识码】A

【DOI】10.16619/j.cnki.rmltxsqy.2024.02.009

【作者简介】李卫东，华中科技大学新闻与信息传播学院教授、博导，国家传播战略研究院执行院长，教育部大数据与国家传播战略实验室（培育）执行主任。研究方向为云传播和万物互联网管理。主要著作有《云传播时代：人类传播与治理的云端化、平台化、泛在化、社交化和智慧化革命》《政府信息资源传播》《智能新媒体》等。

数字化是当前经济社会发展的主流。随着数字化的不断深入，人类的社会结构由纯粹的现实一体性结构衍生出现实世界和数字世界并存的二重结构。[1]数字组织是数字世界的基本构成单元，也是数字经济的基本功能单元。整个社会数字化建设的目标就是建立一个个能承担基本经济社会功能的“数字组织”。因此，数字组织可看成是一个与现实组织相对应的“镜像”。在数字化的高度发达阶段，整个社会的正常运行和持续发展都建立在无数的数字组织之上。一旦数字组织本身出现问题，或遭到攻击和破坏，就会小则一个组织遭受重大损失或停止运行，大则整个社会陷入混乱。例如，数字政府一旦受到攻击，将会直接动摇一个国家整体安全的基石；若一些关乎国计民生的数字企业遭到侵害，将可能导致整个国家蒙受严重的经济损失。而现实状况是，各类数字组织遭受的网络攻击和数据泄露事件频发，数字组织网络安全形势较为严峻。在国内，2018年，一个包含超2亿中国求职者简历信息的“MongoDB”数据库被发现可以公开访问；同年6月某快递公司泄露10亿条用户数据；8月某快递公司泄露3亿条用户数据，包括寄（收）件人姓名、电话、地址等数据项；11月某酒店的系统被入侵导致5亿条客户数据泄露，包括客户的姓名、住址、电话号码、电子邮件地址、护照号码、信用卡等数据项。在国外，2019年，委内瑞拉全国23个州中的18个州在当地时间3月7日下午5点发生了停电，原因是向全国提供80%电力的古里水电站遭到蓄意破坏，9日上午，全国70%的地方恢复了供电，但没过多久电子系统再次遭到“高科技手段”实施的电磁攻击，导致再次大范围停电。2021年，美国最大的成品油管道运营商Colonial Pipeline在当地时间5月7日因受到勒索软件攻击，被迫关闭其美国东部沿海各州供油的关键燃油网络，5月9日，美国政府宣布，美国17个州和华盛顿特区进入紧急状态。

在这种情况下，如何实现数字组织的网络安全治理是亟待解决的重大理论问题；如何建构数字组织的网络安全治理的制度框架是亟待回答的实践问题。本文试图探索上述问题，拟提出数字组织网络安全治理的生态思维和制度框架。

数字组织网络安全治理的理论综述

确保数字组织的网络安全是一个国家网络安全的基础。数字组织网络安全治理的本质是数字组织与政府职能部门、数字技术服务提供商等有关责任主体相互协作，共同发现数字组织所在网络环境中的漏洞，减少或消除网络攻击的威胁。其中漏洞是数字组织网络安全系统中的潜在弱点，威胁是通过利用数字组织系统漏洞进行网络攻击的可能性。[2]现有研究提出了包括政府监管、国际协议与合作、技术治理、自我规制、多利益攸关方、多边主义等多种网络安全治理模式，呈现出明显的多元复合和统分结合的特点。[3]如有学者提出的网络安全综合治理模式强调要给予网络企业、第三部门尤其是网民公众参与网络安全治理的权利和机会，[4]构建以政府、企业、网民为主体的网络协同治理机制。[5]“多利益攸关方”治理模式则侧重从公司和技术精英的技术治理层面对市场和社会两者进行融合。[6]当前对治理模式的争议主要集中在对美国等西方发达国家实践的多利益攸关方共同治理模式与以中国和俄罗斯为代表的主权国家政府主导的治理模式的比较上。[7]而由“赋权社群”主导、基于“多利益攸关方”的共治模式正逐渐成为共识。我国2020年施行的《网络信息内容生态治理规定》也从制度层面明确了中国共产党领导下多元参与协同共治的治理模式，由政府、企业、社会、网民等主体共同发挥作用。[8]但总体来看，目前我国的网络立法不够系统全面，行业自律缺乏主动性和创造性，配合网络安全治理的信息技术工具体系尚未建立。[9]因此，在国家层面完善立法，在行业层面加强自律，在市场主体层面建立信息技术工具体系，是提高我国网络治理能力的有效路径。[10]

数字组织网络安全治理的关键问题是如何建构一个科学的治理框架，以实现数字组织与政府职能部门、数字技术服务提供商等多个治理主体的相互协作治理。不过，国家整体层面的网络治理是以政府为主导的，数字组织网络安全的责任主体还在于数字组织本身。在这个前提下，如何划分各个主体的治理职能，如何分配各个主体的治理权力，如何形成体系完备的治理制度，是需要探讨的几个重要问题。

首先，在顶层设计层面，应注意提升国家参与网络空间治理的能力。例如，技术性权力、解释性权力和制度性权力等，进而努力实现公平、有序的治理。[11]有学者指出，为了满足我国经济社会发展、建设网络生态家园以及面对复杂严峻的网络安全形势的现实需要，法治化是目前网络安全治理的最优模式。[12]

其次，在政府层面，我国网络安全治理应加快推进由碎片化管理到协同化治理、静态化管理到动态化治理、控制式管理到法治化治理以及机械化管理到生态化治理取向的转型。[13]在此过程中，进一步明确政府的治理职能定位，积极推进公私合作，实现数字组织网络安全的合作治理。[14]

最后，在数字组织层面，需要综合运用系统思维和辩证思维，切实承担主体责任，综合考虑数字组织网络安全与成本、发展、开放和权利的关系，[15]不能因为顾虑安全问题而放弃数字组织的建设和发展。

据此，下文试图从治理思维和治理制度两个层面提出数字组织网络安全的治理框架。在明确安全治理的总体目标前提下，治理思维旨在阐明安全治理的总体思路，治理制度旨在阐明顶层设计视角的治理路径。在此基础上，构建以安全基础设施为基础、以数字组织自身的安全管理为中心、以法律制度为保障的三位一体的数字组织网络安全治理体系。[16]此治理框架旨在构建协同共治的网络秩序格局，保障各类数字组织自身的权益，实现公共利益最大化。[17]此治理框架的建立，需要国家权力机关制定和完善网络安全治理的法律法规，国家行政机关制定和完善有关的政策、规范和监管机制，并引导数字组织积极参与网络安全治理。[18]

数字组织网络安全治理的生态系统思维

数字组织本质上是一个由云边端的海量数字要素（设施、平台、应用和数据）相互连接而成的复杂生态系统，涵盖云端、边缘端和终端的各类基础设施、应用平台、数据和终端设备。无论云端、边缘端和终端的哪种数字要素受到攻击，整个生态系统的安全缺口都可能被打开，进而衍生出一系列安全问题，甚至导致严重的安全灾难。强化数字组织安全治理的系统观念和整体观念，不仅要关注关键数字要素的安全问题，更要关注“云边端生态系统”中存在的结构性安全问题。确保“云边端生态系统”的安全就相当于加固数字组织的“边界”，只要“边界”安全了，“边界”里面装载的内容自然也就安全了。加强“云边端生态系统”安全治理的具体思路包括三个方面。

一是尽可能地消除云边端生态系统安全保障体系中的薄弱环节。云边端生态系统安全保障体系中的薄弱环节相当于人的“命门”。尽管云边端生态系统中某些局部的安全性很强，但攻击者往往会扫描和嗅探云边端生态系统中存在安全漏洞，并以其数字要素作为突破口，攻入云边端生态系统的要害。例如，在云边端生态系统中，仅具有有限资源的边缘设施和物联网终端，难以部署较为高级的安全保障机制，如复杂的加密算法。[19]这些边缘设施和物联网终端极易被入侵者进行“重新编程”，以便通过它将数据发送到入侵者的数据库服务器。[20]如2018年，某犯罪团伙将安装在物流网点手持终端（俗称“巴枪”）中的“菜鸟驿站”应用软件破解后，植入控件程序，直接通过数据回传获得数据，非法窃取“菜鸟驿站”快递数据超过1000万条。[21]同时，敏感数据也可能经由组件分析被提取出来，云边端生态系统中的某个硬件或软件部件也可能被非法替换。[22]在未来，数字工厂中的智能制造设备，数字组织办公区域内安装和使用的智能电表、智能家居，以及数字组织员工使用的智能汽车都可能成为攻击的对象。如根据国家互联网应急中心发布的《2020年上半年我国互联网网络安全监测数据分析报告》可知，工业控制系统安全方面，我国有4630台工业设备被暴露在互联网上，工业控制系统的网络资产持续遭受来自境外的扫描嗅探。为此，数字组织需要建立统一的或协调一致的云边端生态系统访问控制和身份认证机制，以便为数字流程在分布式边缘节点和物联网终端设备间的切换提供可靠高效的安全保障。

二是确保数据在云端、边缘端和终端间的传输安全。尽管在云边端生态系统中，边缘节点无需将大量原始数据实时向云端传输，但大量边缘节点之间、边缘节点与终端设备之间、终端设备之间的数据传输是不可避免的。特别是，在拥有数字工厂的数字组织中，大量工业设备已接入网络，设备间、机器间的数据传输无处不在。具体而言，数字组织的数字流程在流转过程中，其数据传输和信息交互可能发生在云端与云端之间，也可能发生在云端与应用端、云端与边缘端、云端与终端之间。因此，数字组织必须确保敏感数据在频繁传输中不被监听和窃取。

三是确保国家网络边疆的总体安全，有效防范网络恐怖活动。数字组织的云边端生态系统在整个国家的网络空间生态系统中，也仅仅是一个子系统。单个数字组织内的数字要素安全有赖于云边端生态系统的整体安全；单一数字组织的云边端生态系统安全也有赖于国家网络边疆的总体安全。网络边疆是一国划定的属于本国主权管辖范围内的网络空间，国家对网络边疆内信息、数据的流通行为具有管辖权，若未经授权进行窃取，就是对国家主权的侵犯。[23]特别是，国家关键信息基础设施往往是各类数字组织正常运行的基础，包括公共通信、广播电视传输等服务的基础信息网络，能源、金融、交通、教育、科研、水利、工业制造、医疗卫生、社会保障、公用事业等领域数字组织中的重要信息系统，以及重要互联网应用系统。这些国家关键信息基础设施的安全是数字组织网络安全的“基石”，一旦出现问题，后果不堪设想。当前，我国网络安全的总体形势不容乐观。据中国互联网络信息中心发布的《第49次中国互联网络发展状况统计报告》显示，截至2021年12月，全国各级网络举报部门共受理举报16622.4万件，较2020年同期（16319.2万件）增长1.9%。2021年，工业和信息化部网络安全威胁和漏洞信息共享平台收集整理信息系统安全漏洞143319个，较2020年同期（20721个）增长591.7%；其中，收集整理信息系统高危漏洞40498个，较2020年同期（7422个）增长445.6%。特别是，一些非法团体、恐怖组织出于政治、社会或宗教目的，通过互联网针对某个国家的关键信息基础设施进行非法攻击，以恐吓或胁迫政府、国际组织或公民等。[24]这种对网络恐怖主义行为的防范已经超出了单一组织的能力范畴，属于网络边疆的范畴。因此，我们只有从总体上确保国家网络边疆的安全，才能为数字组织的网络安全提供坚实的基础保障。

数字组织网络安全治理的制度框架

数字组织网络安全的责任主体是组织自身。如前所述，数字组织网络安全不仅关系到数字组织自身的生存和发展，更重要的是关乎国家网络空间的总体安全。如何确保数字组织切实履行安全治理责任？国家必须建立健全网络安全的法律制度框架，为数字组织的网络安全治理提供基本遵循。

现有制度建设的不足。从制度建设来看，我国在网络安全领域的制度建设已取得一定成效。如在战略层面，2016年，国家互联网信息办公室发布并实施了《国家网络空间安全战略》，阐明了我国在网络空间安全与发展问题上的战略立场和主张，细化了网络安全治理的目标与任务，是当前我国开展网络安全治理的纲领性文件。在法律层面，相继完成网络安全、数据安全、个人信息保护等领域的专门立法，确立了共同治理的基本理念和思路，设置了大量的倡导性规范，[25]标志着中国的网络安全治理已进入法治化轨道。在行政法规和部门规章中，对关键信息基础设施安全、工业互联网安全、云计算服务安全、网络安全审查等内容作出了具体规定。在标准和细则层面，截至2021年，全国信息安全标准化技术委员会下属的4个工作组（信息安全评估工作组、通信安全标准工作组、信息安全管理工作组和大数据安全标准特别工作组）共发布211项相关国家标准，[26]涉及网络安全等级保护、网络安全漏洞管理、网络产品和服务安全、代码安全、数据库安全、网络存储安全、大数据安全、个人信息安全、云计算服务安全等领域的具体规定和实施细则。总体来看，中国已经形成了包括战略规划、法律、行政法规、司法解释、部门规章、地方法规、地方规章、企业管理规定以及其他规范性文件在内的较为健全的网络管理制度框架。

然而，现有制度建设也存在一定的滞后性，导致关键制度和治理结构不足以应对大数据和云服务所面临的安全和隐私问题。当前，网络空间的技术架构不断向云边端融合的方向发展，这一布局正催生出一个以云计算、物联网和边缘计算为基础、以核心企业为主导、产业链上各主体相互配合并在政府监管支持下安全运作的云边端生态，系统中的各要素相互影响、相互制约，并不断演化以求达到动态平衡状态。技术环境的变化导致网络安全保障的基础理论和制度建设已经不能满足现实的需要。具体而言，云边端生态环境下，远程办公、医疗、教育等领域涉及节点众多，应用环境复杂，包括网络接入环境、终端设备、数据存储、云平台、可信认证、密码强度等，若存在薄弱环节，可能引发网络远程协同业态中的系统运行安全、网络边界安全、数据安全等方面的风险。如2014年国家质量监督检验检疫总局和国家标准化管理委员会发布的《信息安全技术 云计算服务安全指南》从控制能力、责任界定、司法管辖、数据安全等方面明确指出可能存在的云计算安全风险。但现行制度并未对数字组织应如何应对新技术生态环境下的安全风险问题作出规定，尤其是当面临重大的网络安全问题时，各职能部门存在条块分割、权责不清、横向协调困难等一系列问题，难以形成有效的网络安全协调治理体系。同时，在构建网络安全体系框架时，在政府职能部门、企业、事业单位和个人等网络安全服务者的责任与义务分配（如数字组织的安全审查义务）、安全等级划分、不同主体之间的联动与信息共享等方面的制度建设存在薄弱之处。例如，有学者指出，我国网络安全治理的法律仍有需要完善的地方，法律对策应当直指预防、控制安全风险的客观需求，以程序保障为重点，从评估、责任和应急三方面展开过程控制的制度设计。[27]国家也应当以网络社会各分层主体的法律地位为基础来构建网络安全治理的法律规范体系。[28]网络安全治理的法律规范体系应当涵盖国家关键信息基础设施和重要数据的安全保障、数字技术服务提供商的行为规制、网络信息传播主体的行为约束等方面。

健全网络安全治理制度框架。面对互联网生态系统的巨复杂性，互联网技术发展带来的新挑战与新风险，互联网管理中政府、市场、社会等多元主体权力边界模糊，管理缺位、越位、错位，以及网络安全突发事件等各种现实难题，数字组织作为网络安全的治理主体之一，应该承担哪些主体责任，如何与政府部门、数字技术服务提供商（网络运营者、关键信息基础设施运营者、云平台管理运营者）、社会组织（非政府组织和非盈利组织）、互联网社群和网络用户等其他主体进行有效的协作？为回答这些问题，本文拟从等级保护制度、网络安全审查制度和网络安全信息共享制度三个方面，来讨论如何进一步完善网络安全治理制度框架。

第一，等级保护制度。信息系统等级保护系列国家标准被广泛应用于网络安全职能部门、各行业和领域的网络安全管理部门及等级测评机构开展系统定级、安全建设整改、等级测评、安全自查和安全监督检查等相关工作。[29]2019年12月1日，配合《中华人民共和国网络安全法》，《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019），即“等级保护2.0”正式实施，确立了网络安全等级保护制度的法律地位，明确了网络安全等级。等级保护2.0实现了新技术、新应用对安全保护对象和安全保护领域的全覆盖，更加突出技术思维和立体防范；对安全测评服务机构、等级保护对象的运营使用单位及主管部门的等级保护工作提出了更加细致的规定；[30]依据“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则，明确了等级保护的主体职责。数字组织须依据等级保护2.0开展定级评审，明确自身的网络安全等级要求，建立数字组织内部的安全等级保护制度。数字组织可以根据各类数据的敏感程度将组织的数据资源进行分级，区分敏感数据并对其进行加密存储。[31]具体内容包括划分和认定全部数字资源的密级；设定每位用户的数字流程身份，设定每种数字流程身份的数据访问权限和数字平台操作权限；建立组织成员与数字流程身份的匹配与对应关系。有学者提出，可以使用数据防护成熟度[32]测量模型来评估和提升一个组织的数据管理水平。[33]该模型将数据防护成熟度划分为五个等级，包括初始级、已管理级、已定义级、定量管理级和优化级。[34]“初始级”的数据缺乏管理的有效性；“已管理级”的数据管理通常以项目为基础展开；“已定义级”的数据管理在组织层面展开且具有主动性；“定量管理级”的数据管理可测评且可控；“优化级”的数据管理注重数据的改进与提高。[35]数字组织可以自行开展数据防护成熟度水平的等级评估，找出漏洞和不足，不断提高数据管理水平，以便更好地满足国家对等级保护的要求。

第二，网络安全审查制度。目前，大量国外数字技术产品和服务已经深度渗透至中国的关键信息基础设施建设和各类组织的数字化建设中，中国的网络安全审查面临着严峻挑战。[36]实施网络安全审查制度已经成为世界各国的通行做法。如美国建立的网络安全审查机制具有内容广泛、审查严苛、标准模糊等特点。[37]2022年2月，由国家互联网信息办公室等13部门联合修订发布的《网络安全审查办法》开始施行，该办法要求，关键信息基础设施运营者采购网络产品和服务的，应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的，应当向网络安全审查办公室申报网络安全审查。

如果一个数字组织建设的数字平台和数字设施属于关键信息基础设施，无疑需要严格遵守该办法。但一般的数字组织在数字化建设中同样需要采购和部署大量数字技术产品和专门的安全产品。因此，数字组织需要建立其内部的网络安全审查制度。一方面，需要审查组织数字化建设方案中所采用的国外数字技术及产品是否会给数字组织带来安全威胁。例如，某些西方国家的情报组织自冷战时期至21世纪初期，一直秘密地控制第三方公司向外国政府和企业出售加密机器，一边赚取数百万美元的高额利润，一边收集重要情报。[38]另一方面，需要审查组织的数字化建设方案中涉及的关键核心技术是否自主可控，是否存在“断供”风险。

第三，网络安全信息共享制度。如前所述，数字组织本身是一个典型的“云边端生态系统”，数字组织之间的开放合作也能形成一个复杂网络系统。某一数字组织一旦发生网络安全事件，可能直接导致与其有关联的其他数字组织发生连锁的安全事故，并最终演化为大范围的重大网络安全事故，直接威胁国家网络安全和国家总体安全。有学者提出，国家需要通过立法从安全信息披露主体、信息披露对象、信息披露的主要内容和时间、信息披露要求和责任，以及信息披露的例外等五个方面建立网络安全事件信息披露机制。[39]也有学者提出，建立强有力的奖惩制度和订立信息共享道德契约，能够有效构建网络安全威胁情报共享与交换机制。[40]安全信息共享的范围主要包括数字组织与政府间的安全信息共享，数字组织之间的安全信息共享，数字组织与社会公众间的安全信息共享。

一是数字组织与政府间的安全信息共享。数字组织较难依靠自身的力量响应和处置突发网络安全事件，因此必须及时向国家有关部门报告。如在“阿里云阿帕奇”事件中，阿里云工程师发现了一个重大安全漏洞，按照行业规定上报到开发方阿帕奇社区，但并没有按照《网络产品安全漏洞管理规定》在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息，导致我国网络安全在长达15天的时间里面临重大威胁。对于涉及跨境网络攻击和跨境网络犯罪问题的网络安全事件，只有及时上报，相关政府机构才有权限开展跨境协作，国家相关部门才能及早介入调查事故原因，科学判断此次安全事件是否威胁国家安全，及时防止网络安全问题的进一步升级和恶化。

二是数字组织之间的安全信息共享。数字组织的网络安全问题本质上是云边端生态系统的安全问题，该生态系统中任何一个硬件系统或软件系统出现安全事故，都可能涌现出一系列新的安全问题。如果云边端生态系统中涉及的各类产品和服务提供商之间无法充分共享安全信息，就难以采取协调一致的安全防范和应急处置行动，最终可能导致系统性风险。

三是数字组织与社会公众间的安全信息共享。数字组织需要主动向用户共享涉及个人隐私的安全信息，包括将收集哪些个人数据，如何使用收集到的个人数据，是否会向第三方机构开放这些个人数据。同时，数字组织网络安全事件一般都涉及用户的切实利益，一旦事故发生应向用户及时通报有关情况，以便用户配合做好相关的事后处置事宜，以防用户在不知情的情况下受到人身安全和财产安全的二次损害。例如，一些数字组织网络安全事件中，用户的个人数据遭到大量泄露，直接威胁用户的隐私安全。若不及时向用户通报，不法分子可能利用泄露的个人数据对用户实施诈骗等犯罪行为。如据央视“3·15”晚会曝光，多家在线招聘网站存在简历泄露情况，记者仅花费7元，便在网上购买到一份求职者简历。而这些在线招聘网站从未主动向用户通报过相关情况。

结语

数字组织是数字化时代的必然产物，是数字经济和数字社会的构成要素和重要载体，数字组织网络安全关乎国家总体安全。数字组织网络安全治理要保障数字组织系统内全部要素的安全，更要关注“云边端生态系统”中存在的结构性安全问题，确保“云边端生态系统”的安全。为了确保数字组织切实履行安全治理责任，国家必须建立健全网络安全的法律制度框架，为数字组织的网络安全治理提供基本遵循。

（本文系国家社会科学基金重大项目“健全互联网领导和管理体制研究”的阶段性成果，项目编号：22ZDA078；华中科技大学新闻与信息传播学院博士研究生覃亚林对本文亦有贡献）

注释

[1]蒋廉雄：《数字化时代建立领导品牌：理论与模式创新》，北京：社会科学文献出版社，2020年，第220页。

[2]See K. Graves, Certified Ethical Hacker Study Guide, Wiley Publishing, Inc., 2010.

[3]张伟、金蕊：《中外互联网治理模式的演化路径》，《南京邮电大学学报（社会科学版）》，2016年第4期。

[4]何明升：《中国网络治理的定位及现实路径》，《中国社会科学》，2016年第7期。

[5]罗方禄：《网络非技术风险及其安全治理》，《中南大学学报（社会科学版）》，2020年第6期。

[6]蔡翠红：《国家-市场-社会互动中网络空间的全球治理》，《世界经济与政治》，2013年第9期。

[7]崔保国：《网络空间治理模式的争议与博弈》，《新闻与写作》，2016年第10期。

[8]黄楚新、曹曦予：《论中国共产党的网络治理领导能力》，《科技与出版》，2021年第7期。

[9][10]范灵俊等：《我国网络空间治理的挑战及对策》，《电子政务》，2017年第3期。

[11]任琳、吕欣：《大数据时代的网络安全治理：议题领域与权力博弈》，《国际观察》，2017年第1期。

[12]魏光禧：《法治化是网络治理创新的最优模式》，《人民论坛》，2017年第6期。

[13]唐庆鹏、康丽丽：《当前我国网络突发公共事件的发展新态势及其治理转型》，《求实》，2018年第4期。

[14]陈越峰：《关键信息基础设施保护的合作治理》，《法学研究》，2018年第6期。

[15]陶文昭：《网络安全的国家战略》，《人民论坛》，2016年第4期。

[16]田丽、李洪磊：《网络环境下企业信息安全综合治理体系研究》，《情报杂志》，2007年第2期。

[17]冯建华：《中国网络秩序观念的生成逻辑与意涵演变》，《南京社会科学》，2020年第11期。

[18]张蕴昭：《中国特色治网之道：理念与成就——十八大以来我国网络空间治理的回顾与思考》，《中国行政管理》，2019年第1期。

[19]M. Ikram et al., “An Analysis of the Privacy and Security Risks of Android VPN Permission-Enabled Apps,“ Proceedings of ACM Internet Measurement Conference, 2016, 11.

[20]J. Sathish Kumar and D. R. Patel, “A Survey on Internet of Things: Security and Privacy Issues,“ International Journal of Computer Applications, 2014, 90(11).

[21]《菜鸟驿站1000万条数据被非法窃取：均为学生快递信息》，2018年9月21日，https://tech.sina.com.cn/i/2018-09-21/doc-ihkhfqnt4484262.shtml。

[22]I. Stojmenovic, “Large Scale Cyber-Physical Systems: Distributed Actuation, in-Network Processing and Machine-to-Machine Communications,“ 2013 2nd Mediterranean Conference on Embedded Computing (MECO), 2013, 6.

[23]吉鹏、许开轶：《政治安全视阈下网络边疆协同治理的困境及其突破路径》，《当代世界与社会主义》，2019年第4期。

[24]赵红艳：《国际合作背景下的网络恐怖主义治理对策》，《中国人民公安大学学报（社会科学版）》，2016年第3期。

[25]庹继光：《〈网络安全法〉的治理思路辨析》，《新闻爱好者》，2017年第8期。

[26]数据来源于全国信息安全标准化技术委员会发布的信息安全国家标准列表，https://www.tc260.org.cn/advice/list.html。

[27]马民虎：《网络安全：法律的困惑与对策》，《中国人民公安大学学报（社会科学版）》，2007年第1期。

[28]黎慈：《社会分层视野下网络安全立法体系的构建》，《湖北社会科学》，2019年第5期。

[29]曲洁等：《新时代下网络安全服务能力体系建设思路》，《信息网络安全》，2019年第1期。

[30]马力等：《网络安全等级保护基本要求（GB/T 22239-2019）标准解读》，《信息网络安全》，2019年第2期。

[31]周胜利等：《大数据环境下电信运营商数据安全保护方案》，《电信科学》，2017年第5期。

[32]其内涵为研究对象与其完美状态的相对值，包含确定对象的理想状态、目前状态以及衡量目前状态与理想状态之间差距三个步骤。

[33]党洪莉、谭海兵：《基于DMM的数据管理成熟度模型及在服务评估中的应用》，《现代情报》，2017年第9期。

[34]叶兰：《研究数据管理能力成熟度模型评析》，《图书情报知识》，2015年第2期。

[35]K. Crowston and J. Qin, “A Capability Maturity Model for Scientific Data Management: Evidence from the Literature,“ Proceedings of the American Society for Information Science and Technology, 2011, 48(1).

[36]李青：《美国网络安全审查制度研究及对中国的启示》，《国际安全研究》，2017年第2期。

[37]张孟媛、袁钟怡：《美国网络安全审查制度发展、特点及启示》，《网络与信息安全学报》，2019年第6期。

[38]《美德间谍秘密曝光：多国通讯加密装置疑一直被设“后门”》，2020年2月12日，https://www.163.com/dy/article/F570C8180534B8CV.html。

[39]赵丽莉、钟晗：《论网络安全事件信息披露机制的建构》，《重庆大学学报（社会科学版）》，2017年第1期。

[40]林玥等：《网络安全威胁情报共享与交换研究综述》，《计算机研究与发展》，2020年第10期。

Ecosystem Thinking and Institutional Frameworks for Cybersecurity Governance in

Digital Organizations

Li Weidong

Abstract: Digital organization is an inevitable product of the digital era and an important carrier of the digital economy and digital society. The network security of digital organizations has become the "life gate" of social security and national security. The goal of digital organization network security governance is to ensure the security of all elements in the digital organization system. At the level of governance thinking, we need to strengthen the systematic and overall concept of digital organization security governance. We should not only pay attention to the security of key digital elements, but also pay attention to the structural security problems existing in the "cloud edge ecosystem". At the top-level design level, it is necessary to further improve the network security governance system framework from three aspects: the level protection system, the network security review system, and the network security information sharing system.

Keywords: digital organization, network security, governance system

责 编∕李思琪