报告!109 家数据安全需求侧企业行业调研有大发现(附下载)

有效的数据安全体系建设是需求侧企业利用数据赋能业务的重要前提,建设多方联动的组织架构与以数据为中心的数据安全纵深防御技术体系是多数企业当前的工作焦点。

2022年数据安全行业调研报告-头图
出处:数据安全推进计划

数据作为新型生产要素,已成为我国数字经济发展的核心资源,也是国家重要资产和基础战略资源。作为数字经济健康发展的重要基石,其安全的重要性愈发突出,数据安全行业发展备受关注。

为了更好地洞察数据安全需求侧数据安全建设现状与面临的挑战,了解供应侧数据安全业务布局与产品服务技术形态,推进数据安全行业市场发展,洞察数据安全行业发展趋势,数据安全推进计划发起数据安全行业调研,旨在梳理数据安全行业建设现状,形成数据安全行业整体视图。

本次调研报告通过问卷的方式分别对数据安全需求侧与供应侧的数据安全发展现状进行调研。根据本次调研结果,参与调研的需求侧企业均不同程度的开展了数据安全工作并制定了数据安全工作规划,供应侧厂商也认为数据安全市场前景非常广阔,并积极布局数据安全产品及服务。同时,本次调研也总结了数据安全现状和行业发展趋势。

从数据安全需求侧来说,建设多方联动的组织架构与以数据为中心的数据安全纵深防御技术体系是多数企业当前的工作焦点,长期来看如何培养复合型数据安全人才梯队、如何将安全工作贯穿于企业业务发展当中将是企业未来数据安全工作的重点。

从数据安全供应侧来说,数据安全产品百花齐放,厂商百舸争流,技术产品与服务的突破创新将成为厂商破局争先的关键。面向数据安全合规及数据安全人员能力培训方面的产品及服务蓄势待发。

综合来看,我国数据安全已迈入飞速发展的关键时期,需求侧数据安全投入占比持续走高,需求量上升,在给供应侧带来发展机遇的同时,也对数据安全服务质量与产品技术能力提出了更高的要求。

基于对数据安全供需双方的调研分析,本报告有以下发现:

有效的数据安全体系建设是需求侧企业利用数据赋能业务的重要前提。基于对 109 家数据安全需求侧企业的调研分析发现:

01 企业数据安全建设主观能动性提升

针对企业数据安全能力建设驱动力的调研发现(见图 1),89.9% 的受访企业认为“合规需求”是开展数据安全能力建设的主要原因之一。可以看出,国家、行业、地方相继出台并完善的监管要求,为企业数据安全工作的开展指明了方向。与此同时,“防范数据安全风险”(79.8%)、“企业自身发展需要”(69.7%) 也在受访企业中有较高占比。这表明随着数字经济的迅猛发展,数据安全在提高业务能力、提升发展水平方面的正向促进作用愈加明显 , 企业数据安全建设的主观能动性也逐渐提升。未来,数据安全建设的驱动力也将逐渐由单一的合规监管驱动转变为“监管”与“内生”的双重驱动。

图 1 数据安全需求侧数据安全建设驱动因素

另外,随着企业在数据安全建设方面的主观能动性提升,企业持续增加数据安全项目投入:根据本次调 研结果,2022 年受访企业数据安全资金投入占信息科技总投入比重的平均值为 11.8%,相较于 2021 年 8.2% 的平均值,上升趋势明显。

02 强化“以数据为中心”的主动防护能力

企业在开展数据安全建设工作过程中存在各种各样的痛点和挑战。通过调研企业在数据安全建设方面面临的主要痛难点问题(见图 2),可以发现 51.4% 的受访企业认为“内外部环境动态变化,安全状态持续保障难”是最大问题。这说明以网络和系统为中心的“堡垒式”传统安全防护手段已经难以抵御数据流转过程中面临的安全风险。

数据流转的任何一个环节出现漏洞都可能导致数据泄露,面对层出不穷的数据安全风险,超过半数的受访企业(见图 4)通过部署加密、脱敏等数据安全技术工具,直接对数据本体实施保护,主动出击风险隐患,有效开展持续、动态的数据安全防护。

图 2 数据安全需求侧数据安全建设面临的痛难点

同时,“数据与业务紧耦合,组织内部全流程协作拉通困难大”(48.6%)、“缺少专业的数据安全人才”(46.8%)、“数据安全体系建设并不完善,管理和技术措施易脱钩”(45.9%)也是企业面临的痛难点问题(见图 2)。

03 加快数据安全组织架构升华

从调研结果可以看出(见图 3),98.2% 的企业组建了专门的数据安全团队牵头管理数据安全工作,数据安全治理组织架构逐渐明晰。但由于数据与业务的密切相关性,企业内部开展数据安全管理工作仍存在挑战,48.6% 的受访企业表示“数据与业务紧耦合,组织内部全流程协作拉通困难大”(见图 2),制约了企业开展数据安全建设工作。在此背景下,企业应推动发挥业务部门的一线管理优势,强化内控、风险、法务等职能部门的支撑作用,优化多部门在数据安全管理方面的协作机制,有效提升企业数据安全管理的工作推进效率,推进数据安全工作联动落实。

图 3 数据安全需求侧数据安全工作开展牵头部门

04 全面布局数据安全纵深防御体系

根据对企业数据安全技术的应用情况进行统计发现(见图 4), “数据防泄露工具”(67.9%)、“统一身份认证及权限管理工具”(67.0%)、“数据分类分级工具”(56.9%)在企业的应用较为广泛。从技术角度来说,数据分类分级能够帮助企业识别数据,统一身份认证及权限管理工具能帮助企业识别人员角色,数据防泄露工具则帮助企业进行识别之后的安全防护。可以看出,“识别”是数据保护的前提与基石,越来越多的企业开始以“识别”为中心,构建主动识别、提前预防、准确发现、及时响应的数据安全技术能力,推动数据安全防护工作的左移。

图 4 数据安全需求侧数据安全工具技术应用情况

同时在调研中发现(见图 5),85.3% 的受访企业通过应用两种及以上技术工具落实管理要求。其中 22.0% 的受访企业“应用技术产品 2-4 项”,44.0% 的受访企业“应用技术产品 5-8 项”,19.3% 的“应用技术产品 8 项以上”。这表明多维度的数据安全技术能力,是企业数据安全战略及数据安全治理体系有效落实的助推剂。企业数据安全能力建设重心也从过去的单点技术部署逐渐走向环环相扣、协同联动的数据安全纵深防御体系布局。

图 5 数据安全需求侧数据安全技术产品应用数量

05 数据分类分级在数据安全治理中率先落地

通过调研发现(见图 6),99.1% 的受访企业已经开展了数据安全治理的相关工作。其中,数据分类分级作为数据安全工作的基础内容,在 76.2% 的受访企业中率先落地。同时,在已开展数据分类分级工作的 83 家企业中,74.7% 的企业选择部署数据分类分级工具协助推动此项工作的开展。受需求侧市场引导,供应侧分类分级工具市场景气度也将持续高涨。

图 6 数据安全需求侧数据安全工作开展情况

06 数据安全治理工作进入高速发展阶段

本次调研对企业在不同维度的数据安全工作开展情况进行了统计(见图 6)。其中,55.1% 的受访企业部署了数据安全技术产品,53.2% 的受访企业开展了合规管理,52.3% 的受访企业编制了数据安全相关制度。同时通过统计发现(见图 7),91.8% 的受访企业开展了 2 项及以上的数据安全工作,并有 65.2% 的受访企业开展了 4 项以上数据安全工作。由此看出,围绕组织建设、制度流程、技术工具、人员能力开展的多维度、多元化数据安全治理能力建设正在高速发展、有力推进。

图 7 数据安全需求侧数据安全工作开展数量

07 人才培养与合规管理仍然是重点内容

为了提升数据安全工作质量,解决 46.8% 的受访企业面临的“缺少专业的数据安全人才”问题(见图 2), 62.4% 的受访企业认为“开展数据安全人员能力培训”是未来一年的首要工作(见图 8)。数据安全工作的顺利开展需要执行人员具备数据安全、数据治理、法律合规等领域的综合知识。然而,当前数据安全从业人员多由信息安全或网络安全人员转化而来,如何强化数据安全人才培养机制,打造专业化、复合型的数据安全人才梯队是多数企业未来常态化的工作重点。

另一方面,60.6% 的受访企业认为在已有的数据安全合规基础上,未来一年应继续“推进数据安全合规管理工作”。数据安全合规作为企业经营管理的底线,是企业数据安全建设的长期任务,理应贯穿于业务发展与经营管理的各项工作中。

除此之外,企业也将“编制数据安全相关制度文件”(57.8%)、“开发/采购并部署数据安全技术工具”(52.3%)、“盘点数据资源,开展数据分类分级工作”(45.0%)列为 2023 年的数据安全重点工作任务。

图 8 数据安全需求侧未来一年数据安全重点工作任务

08 数据识别、数据安全风险评估等备受关注

通过调研企业在落实数据安全监管要求方面的焦点问题(见图 9),可以发现“重要数据、核心数据等的识别与保护”(63.3%)、 “数据安全风险评估实践操作”(48.6%)备受关注。

除此之外,“数据分类分级的落地指引”(43.1%)、“个人信息主体权益(如删除权、可携权)的保护如何响应”(40.4%)、“数据跨境合规的实践操作”(28.4%)也是企业落实数据安全监管要求过程中面临的主要挑战。

图 9 数据安全需求侧落实数据安全监管要求的焦点问题

本文摘编自数据安全推进计划发布的《2022年数据安全行业调研报告》,全文下载:

更多标准、白皮书、报告等高质量纯净资料下载,在文末扫码关注官方微信公众号“idtzed”,进入公众号菜单“治库”,或按自动回复发送引号内关键词。