微信公众号扫描二维码可获取完整报告
版权声明
本报告版权属于安世加所有,并受法律保护。转载、摘编或利用其它方式使用本调查报告文字或者观点的,应注明“来源:《数据安全调研报告》”。违反上述声明者,我们将追究其相关法律责任。
主要撰稿人
按姓氏拼音顺序排序
董晓琼 高勇 李广林 马冰 肖寒 徐竑 薛勇
作者写在前面
企业数据安全非“一朝一夕”之功,也无“一蹴而就”之法,作为从业者需尽“极深研几”之力,以成“上下同欲”之势。
—— 董晓琼
在全球经济一体化与数字经济融合的大背景下,数据安全和技术主权的战略地位日益凸显,成为推动社会经济发展不可忽视的核心要素。各行各业面临着全面数字化的机遇与挑战,数据泄漏的风险与影响正不断扩大,数据安全甚至成为诸多企业进一步发展的瓶颈。在此背景下,企业迫切需要构建与完善数据安全架构。我们希望通过此次调研报告的撰写与发布,为行业的健康发展略尽绵薄之力。
—— 李广林
随着信息技术的不断发展,网络空间安全(cyber security)已经从最初的防漏洞防入侵,保障业务连续性,进一步更加关注数据的价值。国家在颁布网络安全法后又相继颁布了数据安全法等一系列法律法规。笔者认为做好网络安全(network security)是基础,在保障信息系统安全稳定运行的基础上,才能更加关注信息系统中的数据安全。
而数据安全的难点在于“流转”。不同于网络安全的拓扑图,数据交互的API化导致传统的安全人员看不见、摸不着数据的流转,暂时只能进行边界的防护。而数据安全不等于DLP,我们要从全局的视角、生命周期的视角梳理数据的流转,分类施策,分级保护。
知易行难,本报告正是想通过一线的调研,听听互联网、金融、制造业等一线团队的声音,真实的反应在数据安全工作中遇到的问题,并给出我们的思考。希望对大家数据安全领域的工作有所帮助。
—— 马冰
笔者(JEFF)在制造行业从事信息安全建设及管理工作10年以上,也做过1个人的信息安全多年,独立完成企业ISO27001+ISO27701建设及制度落地工作,同期也经历/处置过许多安全事件。笔者认为,数据安全问题是制造企业生存与发展过程中必须要直面的核心的问题;制造企业安全需求特点如下:
1)系统多,模块多(OMS订单管理,CRM客户关系管理,SCM供应链管理,SRM供应商关系管理,ERP企业资源计划,WMS仓储管理,MES制造企业生产过程执行管理,PLM产品生命周期管理等;
2)数据多(含业务数据、研发数据、生产数据、经营数据、人员数据、财务数据等);
3)需求多(含境外数据传输需求,防泄密需求,数据分级分类等)。这也导致,工作难度很大,如何做好数据识别、分级分类定义、人员职责划分、权限控制/审计、数据生命周期管理、配套制度建设与落地,我相信这也是每位从业者的必修课。
欢迎读者与我们交流并共同成长,感谢您的支持与鼓励。
—— 肖寒
这个调研报告从策划、调研到编写历时半年多,作为一直在一线从事数据安全能力建设和运营的数据安全从业者,非常荣幸能与来自互联网、金融和制造业等多个行业的专家老师们共同参与这个报告的编写,也是一次实践经验的沉淀总结和架构的梳理过程。
该报告全面分析了数据安全现状问题和面临的挑战,并从数据安全框架、数据安全管理、威胁评估及数据跨境流动等方面给出全面切实可行的实践分析和建议,并对未来数据安全技术和法规发展趋势进行了预测。
希望通过这个调研报告,能够为各行业进行数据安全建设和评估提供相对全面的参考,共同推动数据安全事业的发展。
—— 薛勇
特别鸣谢
目录
一、引言
1.1 报告目的和背景
1.2 研究范围和方法
1.3 报告结构概述
二、数据安全概述
2.1 数据安全框架
2.2 数据安全痛点
2.3 数据安全挑战
三、数据泄漏分析
3.1 数据泄露案例分析
3.2 泄密事件趋势分析
四、数据安全管理架构
4.1 数据安全管理架构
4.2 数据安全培训
4.3 数据安全应急
五、数据安全威胁评估
5.1 数据资产价值评估
5.2 数据安全威胁
5.3 威胁影响分析
六、数据安全实践
6.1 从数据技术看数据流动
6.2 数据存储加密
6.3 数据脱敏
6.4 特权人员的权限管控
七、数据跨境流动安全
7.1 数据出海合规问题
7.2 数据跨境流动合规要求
7.3 数据跨境流动安全管理
八、未来发展趋势
8.1 所在行业发展趋势
8.2 数据安全技术发展趋势
8.3 法律法规变化趋势
九、调研结果展示
正文
报告目的和背景
近年来,数字经济发展速度快、辐射范围广、影响程度深,成为重组全球要素资源、重塑全球经济结构、改变全球竞争格局的关键力量。在数字化转型的浪潮中,数据不仅是核心资产,更是创新的要素。习近平总书记指出:“大数据是工业社会的‘自由’资源,谁掌握了数据,谁就掌握了主动权。”2022年1月,国务院发布了《“十四五”数字经济发展规划》,明确了数字经济健康发展的基本原则和目标。《规划》中特别关注数字经济安全体系的建设,包括增强网络安全防护能力、提升数据安全保障水平,并有效防范各类风险。2022年政府工作报告中也强调,继续推进国家安全体系和能力建设,强化网络安全、数据安全和个人信息保护。
在数据安全越发受到重视的同时,数据安全相关的法律法规也在快速发布。自2017以来,我国陆续发布实施了一系列网络安全领域的重要法律法规。2017年6月《中华人民共和国网络安全法》后,《中华人民共和国数据安全法》(2021年9月)、《中华人民共和国个人信息保护法》(2021年11月)相继施行,为数据安全工作提供了法律依据。至此,国家数据安全法律法规体系框架基本确立,充分体现了习近平总书记“以安全保发展、以发展促安全”的指导思想。
总体而言,我国社会经济发展的关键引擎已逐渐演变成了数字化与网络安全的“双轮驱动”。然而,随着数字化技术与业务的深度融合,相应的数据安全挑战也随之而来。在经历了数字化转型的过程中,各行业在数据安全方面面临着更为复杂的形势,这与业务模式、数据处理需求以及法律法规等多方面因素的影响,从而导致各行业在数据安全问题上存在着独特而复杂的挑战。因此,本报告通过深入调研了金融、互联网、制造业等多个具有代表性的行业,旨在全面了解它们在数据安全方面的现状、所面临的问题以及可行的解决方案。我们的研究重点不仅集中在当前数字化环境下数据安全所面临的挑战,更通过对未来发展趋势的深入洞察,为企业、组织及相关利益方提供全面见解和切实可行的建议。
调研结果展示
一、受访企业基本情况
关于公司所处的行业:
参与本次问卷调研的企业共涉及13个行业,其中制造业、金融、互联网行业的企业较多,占比情况如下:
各企业人数规模情况如下:
其中大型企业较多,10000人以上的企业占比25%,1000-3000人的企业占比为24%,1000人以上企业总占比为68%。
二、如何保护数据隐私安全、落实监管要求成为企业首要关注的因素
通过调查“在数据安全方面,结合当前企业现状或数据安全目标哪些因素您认为很重要”发现:数据合规性占比最高为22%,其次是数据安全性占比20%,数据隐私保护占比19%(图2-1);问及“您认为目前最重要的一项数据安全任务是什么”,结果发现各企业认为当前最重要的数据安全任务为做好数据安全管理和数据合规,其次为数据隐私保护(图2-2),与图2-1相对应。由此可见,对于如何落实好数据安全管理、数据合规及数据隐私保护在企业数据安全工作中尤为重要。
三、强化数据安全意识、吸纳数据安全人才,增强企业安全防护能力
四、数据防泄漏成为企业数据安全防护的重点项目
五、安全工具的采购愈发成为趋势,三方安全厂商服务市场空间较大
六、加快企业数据安全团队建设显得尤为重要
七、线上实时监控和管理成为企业首选
八、企业对数据资产的掌控逐步清晰化,助力保护企业数据资产安全
九、企业数据资产透明度有待加强
十、数据安全产品多样化,数据隐私合规检测产品潜力巨大
赞助商
观安信息是一家提供大数据+泛安全产品与服务的高新技术企业。公司聚焦数据安全、网络空间安全、5G安全、人工智能安全、工业互联网安全及公共安全等核心方向,为运营商、政府、金融、电力、公安、医疗等行业用户提供全面的信息安全解决方案。
公司采用上海、北京、深圳一级总部,成都、广州区域总部运营模式,同时设立多个实验室,业务覆盖全国绝大部分地区。是联合国训练研究所上海国际培训中心大数据应用与安全培训基地、联合国工业发展组织上海国际智能制造促进中心专家组成员;被认定为国家重大活动网络安全保卫技术支持单位、工信部专精特新“小巨人”企业、5G创新企业、上海市高新技术企业。
公司核心团队有着20多年信息安全专业技术经验、10多年大数据分析经验。在国内外网络安全技术竞赛中,多次斩获金奖,并多次参与国家重大活动信息安全保障工作。公司与多个国际组织、监管机构、高等学府、科研院所建立了良好、紧密的合作关系。
公司具备网络安全与大数据领域相关的产品研发、集成和专业服务资质,获得了包括但不限于ISO9000、ISO20000、ISO27001、ISO14001、ISO45001、CMMI-DEV、CCRC、CNITSEC、CESSCN、CNCERT等多项国际与国内专业化管理体系与技术认证,多款产品获得IPv6ReadyLogo国际认证。在各类新技术、产品和服务的不断深化发展过程中,公司也积极参与并推进网络安全国产化建设,持续助力自主可靠可控知识产权体系,保障用户单位业务的可持续健康发展,产品和服务受到众多用户的信赖与垂青。
支持单位
支持媒体
支持自媒体