2023年数据安全行业调研报告.docx

《2023年数据安全行业调研报告.docx》由会员分享，可在线阅读，更多相关《2023年数据安全行业调研报告.docx（17页珍藏版）》请在第一文库网上搜索。

1、既据安呈推进计划DATA SfCURITY INITIATIVE对于需求侧企业来说，如何应对数据价值激增所带来的数据安全风险 以及监管合规需求，是企业当前数据安全治理过程中的重要课题。基于对 75家数据安全需求侧企业的调研分析发现：一、数据安全体系建设呈现上下贯通、技管结合的双向耦合 趋势需求侧企业在开展数据安全建设工作过程中存在各种各样的痛点与挑 战。据调研，在数据安全相关制度体系和技术体系建设方面，均有超过 70%的受访企业已开展相关数据安全工作（见图1 ）,这说明大部分企业 已开展自上而下的数据安全管理体系建设工作。但由于企业存在数据安 全管理部门与数据属主部门、数据使用部门的协同治理权

2、责不清、数据安 全防护体系和网络安全防护体系融合有缝隙等问题，数据安全管理要求无 法通过已部署的技术工具有效落实。46.7% （见图2 ）的受访企业认为数 据安全体系建设不完善，管理和技术措施易脱节是当前数据安全建设过 程中的关键难题。企业有待通过完善自下而上的业务场景数据安全建设 方案以提升数据安全管理与技术的协同能力。数据安全现状摸排（如差距分析、 甥数据分类分级（如资源盘点、 形成分类分级目录等）定期数据安全评估（如数据安全合规评估、 辘安全风险汩古）数据安全运营（如数据安全风险管理、监控审计）数据安全事件应急（如开展应急演练、 制定应急预案等）数据安全相关制度文件编制（如编制 数据全生

3、命周期安全管理规范等）部署相关数据安全技术产品（如部署分类分级、脱敏工具等）企业合作第三方数据安全管理数据出境安全管理开展数据安全人员能力培训设置数据安全管理责任部门, 任命第一责任人其他76.0% 78.7% 74.7%70.7%73 3% 3314.7% 46.7%49.3 %1.3%0.0% 10.0% 20.0% 30.0% 40.0% 50.0% 60.0% 70.0% 80.0% 90.0%图1数据安全需求侧数据安全工作开展情况既据安呈推进计划DATA SECURITV INITIATIVE同时如图2所示，数据与业务紧耦合，组织内部流程协作拉通困难 大（45.3% ）、缺少专业的数

4、据安全人才（44.0% ）也是企业当前面临 的数据安全建设痛难点问题。图2数据安全需求侧数据安全建设面临的痛难点二、重要数据识别、数据安全风险评估等政策导向工作备受关注通过调研需求侧企业在落实数据安全监管要求方面的焦点问题（见图 3 ）,可以发现重要数据、核心数据等的识别与保护（60.0% ）、数据 安全风险评估实践操作（50.7% ）、第三方合作企业的数据安全防护 （50.7% ）备受关注。其中，与去年相同，企业在重要数据识别、数据安 全风险评估方面仍有待行业主管部门出台明确指引。另外，随着数据交互 场景日趋复杂，产品与服务供应链引发的数据泄露风险持续涌现，数据合 作方安全管理和监督难度大幅

5、上升，这导致今年企业在合作方管理方面亟 待监管提供明确指引，为企业进行合作方安全管理提供抓手。除此之外，图3中个人信息主体权益（如删除权、可携权）的保护如 何响应（45.3% ）、数据分类分级的落地指引（44.0% ）、数据出境 合规的实践操作（34.7%）也是企业落实数据安全监管要求过程中面临 的主要挑战。散楣安全推进计划DATA SECURITY INITIATIVE图3数据安全需求侧落实数据安全监管要求的焦点问题三、以数据安全风险评估为抓手深化数据安全建设一方面，网络数据安全风险评估实施指引等数据安全风险相关政 策的发布，为各行业企业开展数据安全评估提供了方法指引；另一方面， 部分监管机

6、构对企业报送数据安全风险评估报告提出了明确要求，进一步 推动了该项工作的落地实施。通过调研我们发现，74.7%的受访企业（见 图1 ）开展了定期的数据安全评估工作，同比去年的49. 5% （数据来源： 2022年数据安全行业调研报告）增幅明显。企业通过数据安全风险 评估，分析并处置自身面临的安全风险，并针对性地制定可执行的安全目 标与安全策略，以实现数据资产的安全流通与数据价值的高效释放。四、数据安全从业门槛越来越高，高素质人才需求旺盛据本次调研，61.3%的受访企业（见图4 ）将开展数据安全人员能力 培训列为未来一年的首要工作，值得关注的是，开展数据安全人员能力 培训已连续三年成为受访企业的

7、重点工作规划。随着我国数字经济的飞 速发展，数据安全作为保障数字经济发展的关键能力底座，与之相关的监 管要求密集发布，技术实践不断发展演变。在此基础上，由于数据与企业 生产活动的高耦合性，随着需求侧企业业务场景的日益复杂化，对数据安 全从业人员提出了更高的要求，从业人员及时、深入的了解监管要求、技 术发展方向和企业业务目标，以制定符合企业实际情况的安全策略。既据安呈推进计划DATA SECURITV INITIATIVE图4数据安全需求侧未来一年数据安全重点工作任务同时，我们在调研中发现，无论数据安全需求侧或是供应侧，都对具 备数据安全、数据治理、法律合规等领域综合知识的专业化、高素质、复 合

8、型数据安全人才呈现出了旺盛需求。44.0% （见图2 ）的需求侧受访企 业认为缺少专业的数据安全人才是当前开展数据安全体系建设面临的痛 难点，59.5% （见图12 ）的供应侧受访厂商认为人才缺失是当前制约数 据安全产业发展的主要挑战。五、数据安全技术体系建设仍以防为主本次调研根据数据安全推进计划发布的数据安全产品与服务图谱 （2.0）对需求侧企业部署的数据安全产品工具进行了分类调研（见既据安呈推进计划DATA SECURITV INITIATIVE图5 ）,其中部署数据安全防护类产品的受访企业占比96.0%。这体现了 目前需求侧以防为主的数据安全防护理念，依托加密、脱敏、身份认 证、访问控制

9、、监控审计等技术，通过贯穿数据、终端、应用、系统、网 络、物理等层面的安全技术及工具部署，实现多方式、多层次的产品技术 互补。与此同时，需求侧企业在数据资产识别类产品（82.7% ）、数据安全 监测类产品（72.0% ）的产品工具需求量较高。图5数据安全需求侧数据安全工具部署类型六、数据共享流通需求是新兴技术发展应用的助推器52.0%的需求侧受访企业（见图5 ）已将促进数据流通共享的新兴技 术纳入了企业的数据安全技术体系，该类产品主要包括隐私计算、零信任 安全访问、区块链、数据沙箱等。同时，56.0%的受访企业（见图4 ）将 引入新兴技术，促进数据的安全流通列为未来一年的重点任务。这说明 在数

10、据共享流通、数据安全保护、数据价值释放与隐私保护等多重需求 下，新兴技术为企业平衡数据利用与数据保护提供了新的解决方案。既据安呈推进计划DATA SECURITV INITIATIVE七、自动化分类分级是数据价值安全释放的必由之路，但落地 实践仍有挑战对企业而言，一方面落实数据分类分级工作满足了国家和行业监管的 合规要求，另一方面数据分类分级实践是数据价值安全释放的重要前提和 关键步骤。78.7%的受访企业（见图1 ）已开展数据分类分级（如资源盘 点、形成分类分级目录等）相关工作。另外，随着企业数字化改革的推 进，数据量愈发庞大，为保障数据分类分级工作的效率和科学性，多数企 业需依托自动化的产

11、品工具开展数据分类分级工作。据对数据安全需求侧 数据安全技术工具部署情况的统计（见图6）,分别有73.3%的企业通过数 据资产识别工具完成数据资产识别工作，69.3%的企业通过数据分类分 级工具进行数据识别与数据分类分级工作，体现了数据分类分级工作对 相应产品工具的高度依赖。69.3%68.0%60.0%57 3%56%493%45 3%50.0%40.0%30.0%20.0%2.7%10.0%0.0%25.3% 467%45 2% 427%图6数据安全需求侧数据安全工具技术应用情况80.0%73.3% 73.3%69.3%60.0%70.0%在应用侧企业不断推进数据分类分级工作的过程中也面临

12、着挑战。一 是分类分级工作与业务强耦合，相关工作落地需要业务人员深度参与，导 致49.3% （见图7 ）的受访企业认为无法由牵头部门独立完成，协调业务 部门参与难度大，二是由于企业数据形态多样，数据质量不一，且当前 分类分级工具智能化成效参差不齐，导致46.7% （见图7 ）的受访企业认 为非结构化数据难以处理，智能化的数据分类分级工具使用场景有限。既据安呈推进计划DATA SECURITV INITIATIVE图7数据安全需求侧数据分类分级工作开展面临的痛难点八、合作方管理走向精细化，监督和评估指引有待明确随着数据合作形式多元化、数据合作方角色多样化，合作方已经不能 再用传统的一刀切模式进行

13、管理，这也对需求侧企业合作方管理提出了 更为严格的要求。据统计（见图8）,在已开展合作方管理的96.0%的受 访企业中，8 9. 3%的企业通过合同、协议的方式，明确数据合作的目 的、期限、处理方式、数据范围、保护措施、双方的数据安全责任等的 方式开展合作方管理工作，但通过合同协议进行合作方管理的67家企业 中，37家企业面临着公司各业务情况不同，难以推行统一合同、协议模 板的管理困境。另一方面，虽然部分国家、行业标准要求企业应对合作 方的数据安全保护能力进行定期检查，但53.3%的受访企业（见图9 ）认 为在执行相关要求时存在困难，无法有效落实，45.3%的受访企业（见图 9）表示监管部门尚

14、未发布所在行业的第三方数据安全管理相关标准、指 南等文件，企业缺乏对外部数据合作方进行评估和监督的依据。既据安呈推进计划DATA SECURITV INITIATIVE制定了合作方的管理要求，如合作方数据安全管理办法通过合同、协议的方式，明确数据合作的目的、期限、处理 方式、数据范围、保护措施、双方的数据安全责任等通过合作方台账、合作方管理系统等工具对合作方进行统一管理合作开始前对合作方进行尽职调查定期对合作方进行实地检查，包括数据 安全保护能力、是否按照约定删除数据等未开展其他0.% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%图8数据安全需求侧合作方管理

15、工作开展情况图9数据安全需求侧合作方管理工作面临的痛难点既据安呈推进计划DATA SECURITV INITIATIVE对于产品服务的供应侧厂商而言，数据安全领域仍是厂商战略布局重 点，产品服务垂直细化趋势明显。本报告针对37家供应侧厂商的多款产品 与服务展开调研，有如下发现：九、数据安全产业成为传统安全厂商角逐焦点据统计，本次参与调研供应侧厂商类型分布如图10所示。其中综合型 厂商占比54.1% ,专业型厂商占比24.3% ,新兴型厂商占比21.6%。综合 型厂商数量相较去年同期有较大幅度提升。这说明在国家推动数字经济高 质量发展的环境背景和目标前提下，数据安全的重要性愈发凸显，传统网 络安全头部厂商业务布局延伸至数据安全领域，数据安全作为新一代信息 安全领域核心，已获得市场认同。 综合型厂商：54.1%依托业务沉淀大量安全技术及应用经验的ICT、 大型互联网公司或头部网络安全厂商，业务重心 逐渐移向数据安全领域。 专业型厂商：24.3%在数据库安全领域具备丰富的积累与沉