2023年普华永道全球数字信任洞察调研-中国报告

2023年全球数字信任洞察调研中国报告 常备不懈中国企业构筑未来网络安全防线 中国报告1 目录 02 前言 03 03第一部分 网络安全成熟度以及来自竞争对手的威胁 07第二部分 网络安全披露在企业方针中发挥关键作用 12第三部分 网络安全韧性亟待提升 18第四部分 掌握网络安全转型的主导权 26 结语 27 联系我们 2023年全球数字信任洞察调研— 前言 新冠疫情期间，人们由于封锁和隔离而不得不居家办公，商业世界也随之发生了重大变革。新冠疫情成为数字化转型的催化剂，加速了数字经济的发展。 随着全球数字化经济持续发展，中国正在加强网络安全实力，多年来稳坐世界第二大数字经济的地位。截至2022年6月，中国网民规模达到10.51亿，互联网普及率达74.4%。中国作为5G技术和标准的领导者，已建成全球规模最大的5G网络i。 从金融业到电信业，中国已经采取措施显著加强各主要行业的数据安全。2023年1月，中国工业和信息化部和国家互联网信息办公室等16个政府机构联合发布的重要指导意见提出发展目标，到2025年，数据安全产业规模超过1500亿元，年复合增长率超过30%ii。 企业和政府正在利用数字经济和新技术的发展，力图在后疫情“新常态”中保持竞争力并与时俱进。随着数字化的普及，企业需要进一步增强其安全能力来应对网络安全漏洞，同时防范或降低网络安全风险。同时，企业需要保持技术领先，避免在危机事件发生时由于不作为或违规行为而承担沉重的代价。 随着企业需要应对新技术和更加严格的法规，网络安全成为更加瞩目的焦点。公司不能承担成为数据泄露丑闻的中心并名誉扫地的后果。我们的2023年全球数字信任洞察调研的结果探讨了企业如何实现更全面的网络安全，以达到客户和监管机构的要求。 本报告反映了133名驻中国内地和香港特别行政区的高管的观点。就本报告而言，“中国”包含了中国内地和香港特别行政区的数据。如果香港与中国内地的调研结果存在统计学上的显著差异，会将结果分别列示。 2023年全球数字信任洞察调研—中国报告2 网络安全成熟度以及来自竞争对手的威胁 随着中国和全球各国进一步发展数字经济，数字和非数字业务都面临着网络安全威胁。技术以前所未有的速度快速传播，这意味着网络安全变得空前重要。随着科技公司数量增涨和行业的快速发展，监管也在迎头跟进iii。企业需要采取主动措施，了解其风险暴露情况，并根据行业最新动向发展其网络安全能力，比法规领先一步。 在调研的时间背景下，与中国高管(40%)相比，全球高管中只有较小比例(25%)表示其公司的收入在过去6至9个月内出现下降。反之亦然，在同一时间范围内，与中国高管（49%）相比，更高比例的全球高管（59%）表示其公司的收入呈现增长。展望未来，各地高管普遍预计其企业的收入将在未来12个月内增长（中国：77%；全球：72%）。这可能由于疫情之后经济逐步复苏，并且技术的发展和应用将推动收入增长。 图一:请说明贵企业收入的实际和预期变化 在未来12个月里 全球 中国 中国内地 中国香港 净减少 13% 14% 10% 27% 净增加 72% 77% 80% 67% 2023年全球数字信任洞察调研—中国报告3 技术的发展将改变所有行业，网络安全保护成为全球国家及地区的重点关注领域，在此趋势下，中国通过立法等手段加强网络安全。中国的《网络安全法》自2017年实施以来，一直得到严格执行。随着整体网络安全态势的不断变化，中国正考虑对前述法律进行修订，可以预见，该法律将更加严格，对违规行为的惩罚将更加严厉，而关键信息基础设施运营商承担的责任将更加重大iv。 为了加强在网络安全方面的国家实力，中国还制定了一项网络安全国家战略，实施了一系列相关的法律和法规。于2021年9月生效的中国《数据安全法》要求外国和国内实体在中国境内收集处理数据时应当依照法律规定，采取相应的技术措施保障数据安全。《个人信息保护法》紧随其后，于2021年11月起实施，这是中国首部专门针对个人信息保护的法律。收集处理国内个人信息的中国企业和外国实体均需要遵循这些新的法规要求。 随着技术风险增多以及监管环境更加严格，与全球高管相比，更高比例的中国高管计划在2023年增加其企业的网络安全预算（中国：73%；全球：65%）。仅11％的中国高管预计将减少其预算（全球：17%）。31%的中国公司的网络安全预算将增加6-10%，而只有23%的全球企业预计有相同水平的增长。9%的中国企业预计出现15%及以上的增长。 2023年全球数字信任洞察调研—中国报告4 图二:贵企业2023年的网络安全预算将有何变化？ 2023年贵企业网络安全预算的变化 全球 中国 中国内地 中国香港 净减少 17% 11% 10% 17% 净增加 65% 73% 76% 63% 减少15%或以上 2% 1% 0% 3% 减少11-14% 3% 1% 1% 0% 减少6-10% 5% 5% 5% 7% 减少5%或以下 6% 5% 4% 7% 不变 13% 10% 9% 13% 增加5%或以下 23% 21% 17% 33% 增加6-10% 23% 31% 35% 17% 增加11%-14% 11% 12% 15% 3% 增加15%或以上 8% 9% 9% 10% 就其网络安全活动预算分配的特征而言，绝大多数中国首席执行官表示他们的网络安全预算基于对网络风险的量化评估，反映他们的网络安全优先事项，并且有助于为其公司创造价值。与全球同行相比，持此观点的中国高管比例更高。 2023年全球数字信任洞察调研—中国报告5 图三:下列陈述在多大程度上准确反映了贵企业未来12个月的网络安全预算？ 回答“在很大程度上/一定程度上”的受访者 全球 中国 中国内地 中国香港 与企业战略保持一致 91% 93% 95% 87% 反映出我们的网络安全优先事项 92% 96% 96% 97% 提供充足的资金来支持网络安全工作，以便为企业创造价值 91% 96% 96% 97% 在我们当前和长期的需求之间寻求了平衡 91% 95% 96% 90% 基于网络安全风险量化评估 91% 97% 97% 97% 将企业的网络安全风险偏好纳入考量 91% 92% 92% 93% 针对企业所面临的网络安全风险进行合理的分配 92% 95% 94% 100% 自2020年以来，由于数字化进程的加速，无论是从云迁移、电子商务和数字服务交付方式、IT和运营技术的融合，还是其他全球企业数字货币的使用等方面，中国和国际企业面临的网络攻击风险都有增无减。在中国内地，披露网络安全事件和措施的外部要求不断增长，尤其是当前法律要求国内企业在网络事件响应和违规管理中做到披露和公开透明。与此同时，更多香港和全球高管在其公司的网络安全风险内部报告的质量方面遇到了挑战。 图四:自2020年以来，贵企业经历了以下哪些情况？ 自2020年以来企业所经历的影响（排名指数） 全球中国中国内地中国香港 由于数字化程度的提高（例如：云迁移、采用电子商务和数字服务交付方式、使用数字货币、IT与运营技术的融合等），企业遭受网络攻击的风险增加 第一位 第一位 第一位 第一位 在企业网络风险敞口内部报告的质量方面遇到挑战 第二位 第三位 第三位 第二位 外部对网络安全事件和措施的披露要求增多 第三位 第二位 第二位 第三位 第五位 第五位 第五位 第五位 监管调查、执法行动或法律诉讼增加 第六位 第六位 第六位 第六位 我们的系统出现更多网络安全漏洞第四位第四位第四位第四位 地缘政治环境的变化导致我们企业成为目标 2023年全球数字信任洞察调研—中国报告6 网络安全披露在企业方针中发挥关键作用 随着数字经济的进一步发展，世界各国政府正在不断努力跟上新的发展趋势，并实施法规以保护公众。例如，美国的2022年《关键基础设施网络事件报告法案》要求公司报告重大网络安全事件，并为上报行为提供激励措施。中国的《网络安全法》包含发生网络安全事件向主管机构披露漏洞的强制性要求和对违规的处罚v。 在新冠疫情爆发后，人们花费更多的时间使用移动设备，更多的公司采用混合工作模式，加快了全球转向数字经济的步伐。在这种背景下，自2020年以来，中国企业经历了许多挑战，包括网络风险内部报告的质量，以及外部对网络事件和措施披露需求的增加。一方面，一些企业可能采取了“预防胜于治疗”的思路，试图建立一套全面的政策，以确保详尽的内部报告既能比法规领先一步，又能预防那些可能需要披露的网络事件，从而避免公司声誉受损。另一方面，一些企业可能正尝试跟上最新的法规，并确保其流程符合规定。 自2020年以来，企业正在加强其网络安全工作并保持谨慎的态度。在中国和全球企业所面临的影响中，“监管调查、执法行动或法律诉讼”排名最末。 在中国公司对利益相关者的优先级排序方面，首席执行官和董事会占据前两位，而负责网络安全对策的政府机构和消费者权益保护监管机构排在第三和第四位。这印证了自《网络安全法》、《数据安全法》和《个人信息保护法》等法规实施以来，中国企业所面临的披露要求日趋严格。 2023年全球数字信任洞察调研—中国报告7 2023年全球数字信任洞察调研—中国报告8 图五:请思考向以下各类利益相关者进行报告的情况，然后按照贵企业在未来12个月内的报告优先级对这些利益相关者进行排序 企业对待利益相关者的优先级（排名指数） 董事会 第一位 第二位 第二位 第一位 首席执行官 第二位 第一位 第一位 第二位 价值链参与者 第三位 第八位 第八位 第八位 消费者权益保护监管机构 第四位 第四位 第四位 第三位 负责国家或联邦网络安全对策的机构 第五位 第三位 第三位 第七位 全球中国中国内地中国香港 行业监管机构 第六位 第六位 第五位 第五位 消费者和其他私人倡议团体 第七位 第七位 第六位 第十位 财务报告监管机构 第八位 第五位 第六位 第四位 负责当地网络安全对策的机构 第九位 第十位 第六位 第六位 执法机构 第十位 第九位 第六位 第九位 与全球同行相比，中国企业往往对法规变化作出更有力的反应，并更加严格地遵守法规。更高比例的中国高管同意或十分同意，他们的企业有能力对外披露网络安全措施、战略和事件。特别是，86％的中国企业表示能够在报告期限内提供有关重大或重要事件所要求的信息，88％的企业能够有效评估网络事件的重要性以便报告。 2023年全球数字信任洞察调研—中国报告9 图六:下列陈述与贵企业对外披露网络安全实践、策略和事件的能力有关。请问您在多大程度上赞同或反对这些陈述？ 贵企业向外界披露网络安全实践、策略和事件的能力回答“非常同意/同意”的受访者 全球 中国 中国内地 中国香港 我的企业能够在报告期限内提供有关重大或重要事件所要求的信息。 81% 86% 85% 87% 我的企业能够出于报告的目的而有效评估网络安全事件的严重程度。 80% 88% 88% 87% 我的企业能够出于报告的目的而说明董事会成员具备的相关网络安全专长。 78% 82% 82% 83% 我的企业已经制定一项政策，规定哪些网络安全事件的相关信息可以披露，哪些不得披露。 76% 84% 87% 73% 我的企业能够提供第三方网络安全风险管理的相关信息。 75% 85% 85% 83% 在研究企业如何管理和披露内部风险时，随着托管服务的普及，企业有必要深入了解其风险暴露范围。随着全球加强对风险的关注，公司和涉及第三方实体的价值链上的风险透明度更加明晰。85％的中国高管表示，他们的企业可以提供有关第三方网络风险管理的信息，这比全球高管高出10个百分点。这一点非常重要，因为41％的中国企业预计，相比2022年，2023年的第三方违规事件会显著增加。 图七:对手可能通过以下哪些途径侵入贵企业的系统，请选择那些您预期会在2023年对贵企业造成更加重大影响的途径 对手将显著影响企业的途径 全球 中国 中国