数字化技术管控是指为了确保企业统一的数字化技术路线和技术标准在数字化建设各环节得到严格执行，而开展的一系列数字化技术的管理控制与审查活动。

数字化技术管控具体包括架构管控、数据管控和网络安全管控。其中，架构管控包括对云计算、大数据、物联网、移动互联网、人工智能、区块链、边缘计算等新一代数字技术的应用进行全流程管控，以符合企业的战略发展目标，保障技术安全；数据管控包括对数据模型、数据标准、数据质量、数据架构等的管理，是实现数据共享，打破企业内部信息孤岛的重要手段；网络安全管控是指对企业IT系统、关键信息基础设施、互联网应用等在建设运行全过程中的安全管理，涉及安全测试、等级保护、安全防护、数据涉密、漏洞管理等诸多内容，是企业稳定运行的生命线。

技术创新是企业发展的强大动力，近年来，云计算、大数据、物联网、人工智能、区块链等新一代数字化技术在企业中的应用逐渐加深，极大提高了工作效率和创新水平，使各行各业呈现诸多新特征与发展趋势，孕育了新的经济增长引擎。同时，随着企业数字化转型的不断深入，“云大物移智链”等技术也呈现出高难度及综合性的特征，技术发展的投入及复杂程度在不断增加，对企业的影响越来越广泛，使得数字化技术创新及应用过程中的合规性与效率越来越重要，这要求企业在数字化转型过程中要对技术活动全过程进行科学、有效的管控，从而促进数字技术推广应用的规范化、标准化、流程化和一体化管理，实现信息资源在更大范围内的共享和利用，提高数字技术推广应用的管理效益。

（一）中信银行：敏态架构管控

当前，中信银行在推行敏捷开发模式、实施部落制或领域制组织改革、部署中台架构转型战略。为解决敏捷开发模式下企业架构管理的问题，中信银行以“统一规划、敏捷迭代、两级管控、重点赋能”为原则，以推定式、敏捷架构设计为特征，以架构规划、赋能、管控为主体的架构管理模型，重塑架构决策机制，确保信息技术项目规范有序建设，有效支持敏捷体系搭建和领域制组织转型。

一是采用敏捷方法设计企业架构，通过重大项目实施迭代演进企业架构。中信银行提出推定式、敏捷架构设计方法，即参考领先架构、对标最佳实践，快速形成高阶的企业架构蓝图，然后通过重大信息技术项目实施和系统架构设计，持续地优化修正、迭代演进企业架构。

二是企业架构与信息技术项目双轮驱动，共同助力实现数字化转型。通过系统架构设计，贯彻执行企业架构的高阶设计，实现系统架构的细节设计。信息技术项目的架构设计必须遵从企业架构规划，同时，信息技术项目的架构设计过程可以反哺企业架构的优化和修正。

三是实施两级架构管控和支持，推行基于规则和策略的自动化架构审核。全面实施两级架构评审，对于战略型的重大信息技术项目，上升到架构管理委员会层面实行一级架构评审，重视并加强架构例外管理。信息技术管理部可对重大信息技术项目实施情况进行监督检查和绩效考核。同时，启动目标态下基于规则和策略的自动化架构审核机制，解决传统人工架构审核流程长、效率低的问题。

四是基于 IT4IT 架构构建架构资产服务，以用代管，提升架构设计能力。中信银行采取IT4IT架构，采用业务建模和服务化方法建立架构资产服务中心，支撑各种与架构资产或架构管理相关的业务场景基于架构资产服务中心进行服务调用、服务组合及流程编排，快速响应 IT 架构管理价值流的各类业务场景的创新与变化。

（二）中能建集团：“五横三纵”数据管控

为消除企业信息化发展道路阻碍，实现数据的全局一致性和规范性，中国能建集团在数据管控上采取了“五横三纵”的模式，为企业架构提供了长效保障机制，支持管理信息系统的长期高效运行。

“五横三纵”数据管控模式中的“五横”是指企业级管理系统建设的五个阶段，包括需求分析阶段、概要设计阶段、详细设计阶段、开发测试阶段和系统实施阶段。“三纵”是指数据技术管控工作中的三项管控重点工作内容，包括合规性管控、溯源性管控和标准化检测。两者纵横交错形成了11个管控点，相关管控点工作如下表。

1.合规性管控要点

合规性审查强调对各阶段的需求规格说明书、设计材料和开发接口等进行文档检查和接口测试等工作。需求分析阶段重点审查对业务对象的描述是否合理规范；概设和详设阶段主要审查设计文档中的逻辑数据模型、物理数据模型和交换数据模型是否符合相关要求；开发测试阶段通过代码走查、单元测试等方法，检测开发接口和数据质量控制功能。

2.溯源性管控要点

溯源性管控主要通过文档检查、系统扫描和工具分析对业务所需要的信息进行层层追溯，确保业务信息需求在产生、传输、交换和存储过程中不被遗漏。对于文档的溯源性检查可以通过开发软件开发工具，抽取文档的业务对象和数据模型进行对比分析。

3.标准化检测要点

标准化检测是通过开发相关的数据质量管理工具或模块，对信息分类编码标准和主数据模型在各项目组的落实情况进行检测，包括检测相关系统中的存量数据是否按照信息分类编码标准和主数据模型的要求进行固化。对于检测出来的问题持续跟踪解决。

（三）华为公司：端到端网络安全管控

华为采用一套综合流程，将网络安全管控融入到企业内部的产品开发标准流程、基线、政策和规范中，同时面向企业外部建立了全面供应商安全管理体系。

1.从内部构筑安全

流程方面，华为建立了端到端的闭环网络安全管理流程，包括建立基线、执行基线、审计基线三大阶段。建立基线阶段，华为依据所收集的中期与长期需求来建立内部安全需求基线，需求来源包括法律、标准、客户的要求以及华为内部的要求，通过将这些需求转换成战略和业务规划，进而转换成政策、流程和基线，形成研发安全基线、服务安全基线、供应链和采购安全基线等。执行基线阶段，在产品集成开发IPD流程、线索到回款流程、服务交付流程、供应链和采购流程中依据确定好的安全基线执行战略、政策和流程，确保流程符合安全要求。审计基线阶段，华为成立了专门的网络安全审计委员会，组织实施流程中关键控制点的月度遵从测试，持续监督内控有效性并发布测试报告，验证基线执行情况是否满足流程开始所定义的需求，例如验证产品开发过程是否遵循研发安全基线，面向供应商的采购是否符合供应链和采购安全要求。同时，每半年进行一次半年控制评估，全面评估业务单元的执行情况及流程设计的有效性，评估结果向审计委员会和其他常设委员会汇报，一旦出现网络安全方面的冲突或资源问题，该委员会有权自行决策。

2.从外部强化安全

对外，为应对供应链风险，华为建立了全面供应链安全管理体系。一是制定供应链网络安全基线标准，确保供应链安全。基线包括物理安全、软件交付安全、组织流程和人员的安全意识。其中，物理安全基线是为了防止可能造成篡改或执行未授权代码的物理接触而设置；软件交付安全方面，华为采用密钥软件安全管理的方法，为每个交付给客户的软件版本设置唯一的物料编号，在软件交付流程中，系统会根据物料编号、合同信息自动生成相关的授权和许可证。同时，系统之间的所有数据交换都是自动进行的，没有人工干预，能够避免篡改的风险；安全意识方面，华为要求全体员工及合作伙伴都严格执行相关安全政策，接受安全培训，对积极参与网络安全保障的员工给予奖励，使安全理念融入整个组织之中。二是通过供应商网络安全审计检查表来评估供应商风险等级。检查表包含10项安全要求，每项要求包含1-10个问题，共49个问题，每个项目权重从5%-15%不等。通过网络安全审查表，对供应商进行等级评价，可获知供应商风险等级，为决策者提供数据支撑。

（一）探索敏态响应的架构管控模式

目前，许多大型企业数字化转型已进入深水区，数字技术应用越来越深入，企业业务管理模式和数字化发展水平发生显著变化。但目前许多企业在架构管控方面仍处于初级阶段，未能适应由“稳态”向“敏态”演进的IT建设模式，在“云大物移智链”等数字技术应用中面临诸多风险和威胁。为此，可借鉴中信银行的敏态架构管控模式，探索构建以API、微服务为特征的轻量级架构，替代传统“竖井式”的系统建设模式，在数字化中台上沉淀可复用、可共享、符合统一技术要求的微服务组件，供各个系统建设团队随时调用，减少重复的技术审查环节，提高架构管控效率。同时，可根据项目架构管控中发现的问题对制度标准进行反哺优化，实现企业架构与IT项目之间的协同演进。

（二）强化数据溯源管理

数字化转型背景下，数据质量已经成为驱动企业业务蜕变发展的基础。随着企业业务的发展，数据类型、数据来源越来越丰富，数据数量也随之快速增长，企业在数据管理工作和数据流程中面临着越来越多的数据质量问题，产生数据丢失、遗漏、冲突等诸多问题。为此，可借鉴中国能建集团的数据管控模式，从以下方面进行优化：一是拓宽数据管控范围，执行刚性强管控。将数据采集、数据输入、数据处理、数据存储、数据管理和使用等各个环节纳入数据管控范畴，明确各环节间的数据溯源关系，执行刚性数据管控，即某环节数据信息与上一环节数据信息不一致则不通过审查。通过溯源性管控保证业务数据在产生、传输、交换和存储过程中完整、准确，从根源上把控数据质量。二是加强数据管控过程的数字化支撑。可设计具备数据标准自动制定与标准遵从情况自动检查功能的系统或工具，对标准化的数据资产进行自动化检测和审查，减少人工审查环节，提高数据管控效率和准确性。

（三）将网络安全管控融入业务流程

随着数字化延伸到企业生存和发展的各个层面，数据、网络、信息与企业生产运行的关联愈加紧密，同时也带来了极大的网络安全风险。目前，大多数企业仍采用事中监测、事后处置的方法来开展数字化建设过程中的网络安全管控，难以有效避免网络安全事故带来的不可逆影响。为此，可借鉴华为端到端的网络安全管控方法，在业务流程闭环管控的前提下，融入网络安全管控要求，使各业务环节只需要按照确定好的标准流程执行就能达到网络安全防护的目的，无需将网络安全管控工作独立出来，从而节省大量资源。同时，需加强网络安全风险评估体系建设，及时更新安全管控标准，以适应动态变化的外部环境，保障企业IT系统安全稳定运行。

通过分析总结标杆企业在数字化技术管控领域的先进做法，为有技术管控需求的企业，尤其是大型传统行业企业构建适应数字化转型的技术管控机制提供借鉴，支撑企业数字化转型过程中的技术活动高效、规范地执行，保障企业战略目标实现。