《2023年数据安全行业调研报告.docx》由会员分享,可在线阅读,更多相关《2023年数据安全行业调研报告.docx(17页珍藏版)》请在第壹文秘上搜索。
1、数据安呈推进计划DATASECURITYINITIATIVE对于需求侧企业来说,如何应对数据价值激增所带来的数据安全风险以及监管合规需求,是企业当前数据安全治理过程中的重要课题。基于对75家数据安全需求侧企业的调研分析发现:一、数据安全体系建设呈现上下贯通、技管结合的双向耦合趋势需求侧企业在开展数据安全建设工作过程中存在各种各样的痛点与挑战。据调研,在数据安全相关制度体系和技术体系建设方面,均有超过70%的受访企业已开展相关数据安全工作(见图1),这说明大部分企业已开展自上而下的数据安全管理体系建设工作。但由于企业存在数据安全管理部门与数据属主部门、数据使用部门的协同治理权责不清、数据安全防护
2、体系和网络安全防护体系融合有缝隙等问题,数据安全管理要求无法通过已部署的技术工具有效落实。46.7%(见图2)的受访企业认为数据安全体系建设不完善,管理和技术措施易脱节”是当前数据安全建设过程中的关键难题。企业有待通过完善自下而上”的业务场景数据安全建设方案以提升数据安全管理与技术的协同能力。黝被金财懒F (腌8吩析、球分类分级(如资源盘点、 形成分目录等)定期数据安全评 (如数据安全合规评估、 就据安全风险评I古)数据安全运营(如数儆全风险管理、雌审计)数据安全事件应急(如开展应急演练、 制定应急预案等)小安全相关制度文件编制(如编制数据全生命周期安全管理规范等)部署相关数据安全技术产品(如
3、部署分类分级、脱敏工具等)企业合作第三方数据安全管理数据出境安全管理76.0% 78.7%74.7%70.7%73.3%773% 33 3%1 14.7% 46.7%0.0% 10.0% 20.0% 30.0% 40.0% S0.0% 60.0% 70.0% 80.0% 90.0%开展数据安全人员能力培训设置数据安全管理责任部门,任命第一责任人其他图1数据安全需求侧辘安全工作开展情况数据安呈推进计划DATASECURITYINITIATIVE同时如图2所示,数据与业务紧耦合,组织内部流程协作拉通困难大(45.3%)、缺少专业的数据安全人才(44.0%)也是企业当前面临的数据安全建设痛难点问题。
4、图2数据安全需求侧数据安全建设面临的痛难点二、重要数据识别、数据安全风险评估等政策导向工作备受关注通过调研需求侧企业在落实数据安全监管要求方面的焦点问题(见图3),可以发现重要数据、核心数据等的识别与保护(60.0%)、数据安全风险评估实践操作(50.7%)、第三方合作企业的数据安全防护(50.7%)备受关注。其中,与去年相同,企业在重要数据识别、数据安全风险评估方面仍有待行业主管部门出台明确指引。另外,随着数据交互场景日趋复杂,产品与服务供应链引发的数据泄露风险持续涌现,数据合作方安全管理和监督难度大幅上升,这导致今年企业在合作方管理方面亟待监管提供明确指引,为企业进行合作方安全管理提供抓手
5、。除此之外,图3中个人信息主体权益(如删除权、可携权)的保护如何响应(45.3%)、数据分类分级的落地指引(44.0%)、数据出境合规的实践操作(34.7%)也是企业落实数据安全监管要求过程中面临的主要挑战。数据安呈推进计划DATASECURITYINITIATIVE三、以数据安全风险评估为抓手深化数据安全建设一方面,网络数据安全风险评估实施指引等数据安全风险相关政策的发布,为各行业企业开展数据安全评估提供了方法指引;另一方面,部分监管机构对企业报送数据安全风险评估报告提出了明确要求,进一步推动了该项工作的落地实施。通过调研我们发现,74.7%的受访企业(见图1)开展了定期的数据安全评估工作,
6、同比去年的49.5%(数据来源:2022年数据安全行业调研报告)增幅明显。企业通过数据安全风险评估,分析并处置自身面临的安全风险,并针对性地制定可执行的安全目标与安全策略,以实现数据资产的安全流通与数据价值的高效释放。四、数据安全从业门槛越来越高,高素质人才需求旺盛据本次调研,61.3%的受访企业(见图4)将开展数据安全人员能力培训列为未来一年的首要工作,值得关注的是,开展数据安全人员能力培训I已连续三年成为受访企业的重点工作规划。随着我国数字经济的飞速发展,数据安全作为保障数字经济发展的关键能力底座,与之相关的监管要求密集发布,技术实践不断发展演变。在此基础上,由于数据与企业生产活动的高耦合
7、性,随着需求侧企业业务场景的日益复杂化,对数据安全从业人员提出了更高的要求,从业人员及时、深入的了解监管要求、技术发展方向和企业业务目标,以制定符合企业实际情况的安全策略。数据安呈推进计划DATASECURITYINITIATIVE同时,我们在调研中发现,无论数据安全需求侧或是供应侧,都对具备数据安全、数据治理、法律合规等领域综合知识的专业化、高素质、复合型数据安全人才呈现出了旺盛需求。44.0%(见图2)的需求侧受访企业认为缺少专业的数据安全人才是当前开展数据安全体系建设面临的痛难点,59.5%(见图12)的供应侧受访厂商认为人才缺失是当前制约数据安全产业发展的主要挑战。五、数据安全技术体系
8、建设仍以防为主本次调研根据数据安全推进计划发布的数据安全产品与服务图谱(2.0)对需求侧企业部署的数据安全产品工具进行了分类调研(见数据安呈推进计划DATASECURITYINITIATIVE图5),其中部署数据安全防护类产品的受访企业占比96.0%。这体现了目前需求侧以防为主的数据安全防护理念,依托加密、脱敏、身份认证、访问控制、监控审计等技术,通过贯穿数据、终端、应用、系统、网络、物理等层面的安全技术及工具部署,实现多方式、多层次的产品技术互补。与此同时,需求侧企业在数据资产识别类产品(82.7%)、数据安全监测类产品(72.0%)的产品工具需求量较高。100.0%90.0%80.0%70
9、.0%60.0%50.0%40.0%30.0%20.0%10.0%96.0%0.0%图5数据安全需求侧数据安全工具部署类型六、数据共享流通需求是新兴技术发展应用的助推器52.0%的需求侧受访企业(见图5)已将促进数据流通共享的新兴技术纳入了企业的数据安全技术体系,该类产品主要包括隐私计算、零信任安全访问、区块链、数据沙箱等。同时,56.0%的受访企业(见图4)将引入新兴技术,促进数据的安全流通列为未来一年的重点任务。这说明在数据共享流通、数据安全保护、数据价值释放与隐私保护等多重需求下,新兴技术为企业平衡数据利用与数据保护提供了新的解决方案。数据安呈推进计划DATASECURITVINITIA
10、TIVE七、自动化分类分级是数据价值安全释放的必由之路,但落地实践仍有挑战对企业而言,一方面落实数据分类分级工作满足了国家和行业监管的合规要求,另一方面数据分类分级实践是数据价值安全释放的重要前提和关键步骤。78.7%的受访企业(见图1)已开展数据分类分级(如资源盘点、形成分类分级目录等)相关工作。另外,随着企业数字化改革的推进,数据量愈发庞大,为保障数据分类分级工作的效率和科学性,多数企业需依托自动化的产品工具开展数据分类分级工作。据对数据安全需求侧数据安全技术工具部署情况的统计(见图6),分别有73.3%的企业通过数据资产识别工具完成数据资产识别工作,69.3%的企业通过“数据分类分级工具
11、进行数据识别与数据分类分级工作,体现了数据分类分级工作对相应产品工具的高度依赖。80.0%70.0%60.0%50.0%40.0%30.0%20.0%10.0%0.0%73.3% 73.3%69.3%68.0%图6数据安全需求侧数据安全工具技术应用情况在应用侧企业不断推进数据分类分级工作的过程中也面临着挑战。一是分类分级工作与业务强耦合,相关工作落地需要业务人员深度参与,导致49.3%(见图7)的受访企业认为无法由牵头部门独立完成,协调业务部门参与难度大,二是由于企业数据形态多样,数据质量不一,且当前分类分级工具智能化成效参差不齐,导致46.7%(见图7)的受访企业认为非结构化数据难以处理”,
12、智能化的数据分类分级工具使用场景有限。I#07数据安呈推进计划DATASECURITYINITIATIVE国家尚未发布本行业数据分类分级相关标准、指南等文件对,无法由摩头部门独立完成,协调业务部门参与难度大493%企业数据量庞大42.7%非结构化藏难以处理46.7%数据分类分级结果难以应用于数据安全管理267%缺少数据分类分级方法论,无从下手17.3%缺少数据分类分级相关人才三三24.0%相关技术工具缺失16.0%缺少资金支持-MH147%未开展5.3%其他.4.魄0.0%10.0%20.0%30.0%40.0%50.0%60.0%图7数据安全需求侧数据分类分级工作开展面临的痛难点八、合作方管
13、理走向精细化,监督和评估指引有待明确随着数据合作形式多元化、数据合作方角色多样化,合作方已经不能再用传统的一刀切模式进行管理,这也对需求侧企业合作方管理提出了更为严格的要求。据统计(见图8),在已开展合作方管理的96.0%的受访企业中,89.3%的企业通过合同、协议的方式,明确数据合作的目的、期限、处理方式、数据范围、保护措施、双方的数据安全责任等”的方式开展合作方管理工作,但通过合同协议进行合作方管理的67家企业中,37家企业面临着“公司各业务情况不同,难以推行统一合同、协议模板的管理困境。另一方面,虽然部分国家、行业标准要求企业应对合作方的数据安全保护能力进行定期检查,但53.3%的受访企
14、业(见图9)认为在执行相关要求时存在困难,无法有效落实,45.3%的受访企业(见图9)表示监管部门尚未发布所在行业的第三方数据安全管理相关标准、指南等文件,企业缺乏对外部数据合作方进行评估和监督的依据。数据安呈推进计划DATASECURITYINITIATIVE制定了合作方的管理要求,如 合作方数据安全管理办法通过合同、协议的方式,明确数据合作的目的、期限、处理 方式、数据范围、保护措施、双方的数据安全责任等通过合作方台账、合作方管理系统等工具对合作方进行统一管理合作开始前对合作方进行尽职调直定期对合作方进行实地检查,包括数据 安全保护能力、是否按照约定删除数据等未开展其他0.% 10%20%
15、30%40%50%60%70%80%90%l(m图8数据安全需求侧合作方管理工作开展情况图9数据安全需求侧合作方管理工作面临的痛难点数据安呈推进计划DATASECURITYINITIATIVE对于产品服务的供应侧厂商而言,数据安全领域仍是厂商战略布局重点,产品服务垂直细化趋势明显。本报告针对37家供应侧厂商的多款产品与服务展开调研,有如下发现:九、数据安全产业成为传统安全厂商角逐焦点54.1%据统计,本次参与调研供应侧厂商类型分布如图10所示。其中综合型厂商占比54.1%,专业型厂商占比24.3%,新兴型厂商占比21.6%。综合型厂商数量相较去年同期有较大幅度提升。这说明在国家推动数字经济高质量发展的环境背景和目标前提下,数据安全的重要性愈发凸显,传统网络安全头部厂商业务布局延伸至数据安全领域,数据安全作为新一代信息安全领域核心,已获得市场认同。 综合型厂商:54.1%依托业务沉淀大量安全技术及应用经验的ICT、大型互联网公司或头部