Data security Survey2022 2数0据22安年全行业调研报告 版权声明 本报告版权属于数据安全推进计划,并受法律保护。 转载、摘编或利用其它方式使用本报告文字或者观点的,应注明“来源:数据安全推进计划”。 违反上述声明者,编者将追究其相关法律责任。 Data security Survey2022 2数0据22安年全行业调研报告 前言 数据作为新型生产要素,已成为我国数字经济发展的核心资源,也是国家重要资产和基础战略资源。作为数字经济健康发展的重要基石,其安全的重要性愈发突出,数据安全行业发展备受关注。 为了更好地洞察数据安全需求侧数据安全建设现状与面临的挑战,了解供应侧数据安全业务布局与产品服务技术形态,推进数据安全行业市场发展,洞察数据安全行业发展趋势,数据安全推进计划发起数据安全行业调研,旨在梳理数据安全行业建设现状,形成数据安全行业整体视图。 Data security Survey2022 2数0据22安年全行业调研报告 摘要 本次调研报告通过问卷的方式分别对数据安全需求侧与供应侧的数据安全发展现状进行调研。根据本次调研结果,参与调研的需求侧企业均不同程度的开展了数据安全工作并制定了数据安全工作规划,供应侧厂商也认为数据安全市场前景非常广阔,并积极布局数据安全产品及服务。同时,本次调研也总结了数据安全现状和行业发展趋势。 从数据安全需求侧来说,建设多方联动的组织架构与以数据为中心的数据安全纵深防御技术体系是多数企业当前的工作焦点,长期来看如何培养复合型数据安全人才梯队、如何将安全工作贯穿于企业业务发展当中将是企业未来数据安全工作的重点。 从数据安全供应侧来说,数据安全产品百花齐放,厂商百舸争流,技术产品与服务的突破创新将成为厂商破局争先的关键。面向数据安全合规及数据安全人员能力培训方面的产品及服务蓄势待发。 综合来看,我国数据安全已迈入飞速发展的关键时期,需求侧数据安全投入占比持续走高,需求量上升,在给供应侧带来发展机遇的同时,也对数据安全服务质量与产品技术能力提出了更高的要求。 基于对数据安全供需双方的调研分析,本报告有以下发现: Data security Survey2022 2数0据22安年全行业调研报告 有效的数据安全体系建设是需求侧企业利用数据赋能业务的重要前提。基于对109家数据安全需求侧企业的调研分析发现: 01“企监业管数”据、安“全内建生设”主并观驾能齐动驱性,提升 针对企业数据安全能力建设驱动力的调研发现(见图1),89.9%的受访企业认为“合规需求”是开展数据安全能力建设的主要原因之一。可以看出,国家、行业、地方相继出台并完善的监管要求,为企业数据安全工作的开展指明了方向。与此同时,“防范数据安全风险”(79.8%)、“企业自身发展需要”(69.7%)也在受访企业中有较高占比。这表明随着数字经济的迅猛发展,数据安全在提高业务能力、提升发展水平方面的正向促进作用愈加明显,企业数据安全建设的主观能动性也逐渐提升。未来,数据安全建设的驱动力也将逐渐由单一的合规监管驱动转变为“监管”与“内生”的双重驱动。 图1数据安全需求侧数据安全建设驱动因素 来源:数据安全推进计划 另外,随着企业在数据安全建设方面的主观能动性提升,企业持续增加数据安全项目投入:根据本次调研结果,2022年受访企业数据安全资金投入占信息科技总投入比重的平均值为11.8%,相较于2021年8.2%的平均值,上升趋势明显。 Data security Survey2022 2数0据22安年全行业调研报告 02强化“以数据为中心”的主动防护能力 企业在开展数据安全建设工作过程中存在各种各样的痛点和挑战。通过调研企业在数据安全建设方面面临的主要痛难点问题(见图2),可以发现51.4%的受访企业认为“内外部环境动态变化,安全状态持续保障难”是最大问题。这说明以网络和系统为中心的“堡垒式”传统安全防护手段已经难以抵御数据流转过程中面临的安全风险。 数据流转的任何一个环节出现漏洞都可能导致数据泄露,面对层出不穷的数据安全风险,超过半数的受访企业(见图4)通过部署加密、脱敏等数据安全技术工具,直接对数据本体实施保护,主动出击风险隐患,有效开展持续、动态的数据安全防护。 图2数据安全需求侧数据安全建设面临的痛难点 来源:数据安全推进计划 同时,“数据与业务紧耦合,组织内部全流程协作拉通困难大”(48.6%)、“缺少专业的数据安全人才” (46.8%)、“数据安全体系建设并不完善,管理和技术措施易脱钩”(45.9%)也是企业面临的痛难点问题(见图2)。 Data security Survey2022 2数0据22安年全行业调研报告 03加从快“数有据型安”全到组“织有架效构”的升华 从调研结果可以看出(见图3),98.2%的企业组建了专门的数据安全团队牵头管理数据安全工作,数据安全治理组织架构逐渐明晰。但由于数据与业务的密切相关性,企业内部开展数据安全管理工作仍存在挑战,48.6%的受访企业表示“数据与业务紧耦合,组织内部全流程协作拉通困难大”(见图2),制约了企业开展数据安全建设工作。在此背景下,企业应推动发挥业务部门的一线管理优势,强化内控、风险、法务等职能部门的支撑作用,优化多部门在数据安全管理方面的协作机制,有效提升企业数据安全管理的工作推进效率,推进数据安全工作联动落实。 来源:数据安全推进计划 图3数据安全需求侧数据安全工作开展牵头部门 Data security Survey2022 2数0据22安年全行业调研报告 04以数“据识安别全”纵为深中防心御,体多系措并举全面布局 根据对企业数据安全技术的应用情况进行统计发现(见图4),“数据防泄露工具”(67.9%)、“统一身份认证及权限管理工具”(67.0%)、“数据分类分级工具”(56.9%)在企业的应用较为广泛。从技术角度来说,数据分类分级能够帮助企业识别数据,统一身份认证及权限管理工具能帮助企业识别人员角色,数据防泄露工具则帮助企业进行识别之后的安全防护。可以看出,“识别”是数据保护的前提与基石,越来越多的企业开始以“识别”为中心,构建主动识别、提前预防、准确发现、及时响应的数据安全技术能力,推动数据安全防护工作的左移。 图4数据安全需求侧数据安全工具技术应用情况来源:数据安全推进计划 Data security Survey2022 2数0据22安年全行业调研报告 同时在调研中发现(见图5),85.3%的受访企业通过应用两种及以上技术工具落实管理要求。其中22.0%的受访企业“应用技术产品2-4项”,44.0%的受访企业“应用技术产品5-8项”,19.3%的“应用技术产品8项以上”。这表明多维度的数据安全技术能力,是企业数据安全战略及数据安全治理体系有效落实的助推剂。企业数据安全能力建设重心也从过去的单点技术部署逐渐走向环环相扣、协同联动的数据安全纵深防御体系布局。 来源:数据安全推进计划 图5数据安全需求侧数据安全技术产品应用数量 Data security Survey2022 2数0据22安年全行业调研报告 05数据分类分级在数据安全治理中率先落地 通过调研发现(见图6),99.1%的受访企业已经开展了数据安全治理的相关工作。其中,数据分类分级作为数据安全工作的基础内容,在76.2%的受访企业中率先落地。同时,在已开展数据分类分级工作的83家企业中,74.7%的企业选择部署数据分类分级工具协助推动此项工作的开展。受需求侧市场引导,供应侧分类分级工具市场景气度也将持续高涨。 图6数据安全需求侧数据安全工作开展情况 来源:数据安全推进计划 Data security Survey2022 2数0据22安年全行业调研报告 06数据安全治理工作进入高速发展阶段 本次调研对企业在不同维度的数据安全工作开展情况进行了统计(见图6)。其中,55.1%的受访企业部署了数据安全技术产品,53.2%的受访企业开展了合规管理,52.3%的受访企业编制了数据安全相关制度。同时通过统计发现(见图7),91.8%的受访企业开展了2项及以上的数据安全工作,并有65.2%的受访企业开展了4项以上数据安全工作。由此看出,围绕组织建设、制度流程、技术工具、人员能力开展的多维度、多元化数据安全治理能力建设正在高速发展、有力推进。 来源:数据安全推进计划 图7数据安全需求侧数据安全工作开展数量 Data security Survey2022 2数0据22安年全行业调研报告 07人重才点培工养作与内合容规管理仍然是未来一年的 为了提升数据安全工作质量,解决46.8%的受访企业面临的“缺少专业的数据安全人才”问题(见图2),62.4%的受访企业认为“开展数据安全人员能力培训”是未来一年的首要工作(见图8)。数据安全工作的顺利开展需要执行人员具备数据安全、数据治理、法律合规等领域的综合知识。然而,当前数据安全从业人员多由信息安全或网络安全人员转化而来,如何强化数据安全人才培养机制,打造专业化、复合型的数据安全人才梯队是多数企业未来常态化的工作重点。 另一方面,60.6%的受访企业认为在已有的数据安全合规基础上,未来一年应继续“推进数据安全合规管理工作”。数据安全合规作为企业经营管理的底线,是企业数据安全建设的长期任务,理应贯穿于业务发展与经营管理的各项工作中。 除此之外,企业也将“编制数据安全相关制度文件”(57.8%)、“开发/采购并部署数据安全技术工具” (52.3%)、“盘点数据资源,开展数据分类分级工作”(45.0%)列为2023年的数据安全重点工作任务。 图8数据安全需求侧未来一年数据安全重点工作任务来源:数据安全推进计划 Data security Survey2022 2数0据22安年全行业调研报告 08重工要作数备据受识关别注、数据安全风险评估等 通过调研企业在落实数据安全监管要求方面的焦点问题(见图9),可以发现“重要数据、核心数据等的识别与保护”(63.3%)、“数据安全风险评估实践操作”(48.6%)备受关注。 除此之外,“数据分类分级的落地指引”(43.1%)、“个人信息主体权益(如删除权、可携权)的保护如何响应”(40.4%)、“数据跨境合规的实践操作”(28.4%)也是企业落实数据安全监管要求过程中面临的主要挑战。 图9数据安全需求侧落实数据安全监管要求的焦点问题来源:数据安全推进计划 Data security Survey2022 2数0据22安年全行业调研报告 数据安全技术是数据安全厂商立足之本,产品与服务的持续创新是厂商发展之阶。针对需求侧数据安全建设面临的困境、挑战,数据安全供应侧应对情况如何?本报告针对116家供应侧厂商的 488款产品与服务展开调研,在形成《数据安全产品与服务图谱2.0》的同时,有以下几点发现1。 09数呈据现安三全大供梯应队侧企业百舸争流, 根据数据安全供应侧企业近三年的经营发展、产品及服务分布、市场表现、客户案例、第三方评测等方面信息,本次调研将数据安全供应侧企业分为三大主要类型(见图10):稳健型(26.7%)、全面型(43.1%)、专精型(18.1%)。 稳健型厂商企业致力于提供全方位多样化的产品与解决方案。一方面在单个技术领域具备多款产品服务,能满足客户的多样化需求,另一方面其产品与服务的覆盖面相对广阔。 全面型厂商企业聚焦系统化、一站式的数据安全产品及服务理念。该类型的企业除了服务覆盖面广,更注重与客户的深度磨合,能够通过“产品+服务”的一站式交付能力持续赋能客户。 专精型厂商企业深耕数据流通安全领域,其产品与服务集中于以隐私计算、区块链等为代表的数据流通领域,持续打造领域的纵深竞争力。 图10数据安全供应侧厂商画像 来源:数据安全推进计划 1本报告将沿用《数据安全产品与服务图谱2.0》中的描述,将调研的产品与服务分为数据安全通用类产品、数据安全综合类产品、数据安全合规类服务、数据安全能力提升