2023年数据安全行业调研报告.docx
®数据安呈推进计划DATASECURITYINITIATIVE对于需求侧企业来说,如何应对数据价值激增所带来的数据安全风险以及监管合规需求,是企业当前数据安全治理过程中的重要课题。基于对75家数据安全需求侧企业的调研分析发现:一、数据安全体系建设呈现上下贯通、技管结合的双向耦合趋势需求侧企业在开展数据安全建设工作过程中存在各种各样的痛点与挑战。据调研,在数据安全相关制度体系和技术体系建设方面,均有超过70%的受访企业已开展相关数据安全工作(见图1),这说明大部分企业已开展"自上而下的数据安全管理体系建设工作。但由于企业存在数据安全管理部门与数据属主部门、数据使用部门的协同治理权责不清、数据安全防护体系和网络安全防护体系融合有缝隙等问题,数据安全管理要求无法通过已部署的技术工具有效落实。46.7%(见图2)的受访企业认为数据安全体系建设不完善,管理和技术措施易脱节”是当前数据安全建设过程中的关键难题。企业有待通过完善自下而上”的业务场景数据安全建设方案以提升数据安全管理与技术的协同能力。黝被金财懒F (腌8吩析、球分类分级(如资源盘点、 形成分目录等)定期数据安全评 (如数据安全合规评估、 就据安全风险评I古)数据安全运营(如数儆全风险管理、雌审计)数据安全事件应急(如开展应急演练、 制定应急预案等)小安全相关制度文件编制(如编制数据全生命周期安全管理规范等)部署相关数据安全技术产品(如部署分类分级、脱敏工具等)企业合作第三方数据安全管理数据出境安全管理76.0% 78.7%74.7%70.7%73.3%773% 33 3%1 14.7% 46.7%0.0% 10.0% 20.0% 30.0% 40.0% S0.0% 60.0% 70.0% 80.0% 90.0%开展数据安全人员能力培训设置数据安全管理责任部门,任命第一责任人其他图1数据安全需求侧辘安全工作开展情况®数据安呈推进计划DATASECURITYINITIATIVE同时如图2所示,数据与业务紧耦合,组织内部流程协作拉通困难大"(45.3%)、"缺少专业的数据安全人才"(44.0%)也是企业当前面临的数据安全建设痛难点问题。图2数据安全需求侧数据安全建设面临的痛难点二、重要数据识别、数据安全风险评估等政策导向工作备受关注通过调研需求侧企业在落实数据安全监管要求方面的焦点问题(见图3),可以发现"重要数据、核心数据等的识别与保护"(60.0%)、"数据安全风险评估实践操作(50.7%)、"第三方合作企业的数据安全防护"(50.7%)备受关注。其中,与去年相同,企业在重要数据识别、数据安全风险评估方面仍有待行业主管部门出台明确指引。另外,随着数据交互场景日趋复杂,产品与服务供应链引发的数据泄露风险持续涌现,数据合作方安全管理和监督难度大幅上升,这导致今年企业在合作方管理方面亟待监管提供明确指引,为企业进行合作方安全管理提供抓手。除此之外,图3中"个人信息主体权益(如删除权、可携权)的保护如何响应"(45.3%)、数据分类分级的落地指引(44.0%)、"数据出境合规的实践操作"(34.7%)也是企业落实数据安全监管要求过程中面临的主要挑战。®数据安呈推进计划DATASECURITYINITIATIVE三、以数据安全风险评估为抓手深化数据安全建设一方面,网络数据安全风险评估实施指引等数据安全风险相关政策的发布,为各行业企业开展数据安全评估提供了方法指引;另一方面,部分监管机构对企业报送数据安全风险评估报告提出了明确要求,进一步推动了该项工作的落地实施。通过调研我们发现,74.7%的受访企业(见图1)开展了定期的数据安全评估工作,同比去年的49.5%(数据来源:2022年数据安全行业调研报告)增幅明显。企业通过数据安全风险评估,分析并处置自身面临的安全风险,并针对性地制定可执行的安全目标与安全策略,以实现数据资产的安全流通与数据价值的高效释放。四、数据安全从业门槛越来越高,高素质人才需求旺盛据本次调研,61.3%的受访企业(见图4)将开展数据安全人员能力培训列为未来一年的首要工作,值得关注的是,"开展数据安全人员能力培训I"已连续三年成为受访企业的重点工作规划。随着我国数字经济的飞速发展,数据安全作为保障数字经济发展的关键能力底座,与之相关的监管要求密集发布,技术实践不断发展演变。在此基础上,由于数据与企业生产活动的高耦合性,随着需求侧企业业务场景的日益复杂化,对数据安全从业人员提出了更高的要求,从业人员及时、深入的了解监管要求、技术发展方向和企业业务目标,以制定符合企业实际情况的安全策略。®数据安呈推进计划DATASECURITYINITIATIVE同时,我们在调研中发现,无论数据安全需求侧或是供应侧,都对具备数据安全、数据治理、法律合规等领域综合知识的专业化、高素质、复合型数据安全人才呈现出了旺盛需求。44.0%(见图2)的需求侧受访企业认为缺少专业的数据安全人才是当前开展数据安全体系建设面临的痛难点,59.5%(见图12)的供应侧受访厂商认为"人才缺失是当前制约数据安全产业发展的主要挑战。五、数据安全技术体系建设仍以防为主本次调研根据数据安全推进计划发布的数据安全产品与服务图谱(2.0)对需求侧企业部署的数据安全产品工具进行了分类调研(见®数据安呈推进计划DATASECURITYINITIATIVE图5),其中部署数据安全防护类产品的受访企业占比96.0%。这体现了目前需求侧以"防"为主的数据安全防护理念,依托加密、脱敏、身份认证、访问控制、监控审计等技术,通过贯穿数据、终端、应用、系统、网络、物理等层面的安全技术及工具部署,实现多方式、多层次的产品技术互补。与此同时,需求侧企业在数据资产识别类产品(82.7%)、数据安全监测类产品(72.0%)的产品工具需求量较高。100.0%90.0%80.0%70.0%60.0%50.0%40.0%30.0%20.0%10.0%96.0%0.0%图5数据安全需求侧数据安全工具部署类型六、数据共享流通需求是新兴技术发展应用的助推器52.0%的需求侧受访企业(见图5)已将促进数据流通共享的新兴技术纳入了企业的数据安全技术体系,该类产品主要包括隐私计算、零信任安全访问、区块链、数据沙箱等。同时,56.0%的受访企业(见图4)将引入新兴技术,促进数据的安全流通"列为未来一年的重点任务。这说明在数据共享流通、数据安全保护、数据价值释放与隐私保护等多重需求下,新兴技术为企业平衡数据利用与数据保护提供了新的解决方案。数据安呈推进计划DATASECURITVINITIATIVE七、自动化分类分级是数据价值安全释放的必由之路,但落地实践仍有挑战对企业而言,一方面落实数据分类分级工作满足了国家和行业监管的合规要求,另一方面数据分类分级实践是数据价值安全释放的重要前提和关键步骤。78.7%的受访企业(见图1)已开展数据分类分级(如资源盘点、形成分类分级目录等)相关工作。另外,随着企业数字化改革的推进,数据量愈发庞大,为保障数据分类分级工作的效率和科学性,多数企业需依托自动化的产品工具开展数据分类分级工作。据对数据安全需求侧数据安全技术工具部署情况的统计(见图6),分别有73.3%的企业通过"数据资产识别工具完成数据资产识别工作,69.3%的企业通过“数据分类分级工具进行数据识别与数据分类分级工作,体现了数据分类分级工作对相应产品工具的高度依赖。80.0%70.0%60.0%50.0%40.0%30.0%20.0%10.0%0.0%73.3% 73.3%69.3%68.0%图6数据安全需求侧数据安全工具技术应用情况在应用侧企业不断推进数据分类分级工作的过程中也面临着挑战。一是分类分级工作与业务强耦合,相关工作落地需要业务人员深度参与,导致49.3%(见图7)的受访企业认为"无法由牵头部门独立完成,协调业务部门参与难度大",二是由于企业数据形态多样,数据质量不一,且当前分类分级工具智能化成效参差不齐,导致46.7%(见图7)的受访企业认为非结构化数据难以处理”,智能化的数据分类分级工具使用场景有限。I#07®数据安呈推进计划DATASECURITYINITIATIVE国家尚未发布本行业数据分类分级相关标准、指南等文件对,无法由摩头部门独立完成,协调业务部门参与难度大493%企业数据量庞大42.7%非结构化藏难以处理46.7%数据分类分级结果难以应用于数据安全管理267%缺少数据分类分级方法论,无从下手17.3%缺少数据分类分级相关人才三三24.0%相关技术工具缺失16.0%缺少资金支持-MH147%未开展5.3%其他.4.魄0.0%10.0%20.0%30.0%40.0%50.0%60.0%图7数据安全需求侧数据分类分级工作开展面临的痛难点八、合作方管理走向精细化,监督和评估指引有待明确随着数据合作形式多元化、数据合作方角色多样化,合作方已经不能再用传统的"一刀切模式进行管理,这也对需求侧企业合作方管理提出了更为严格的要求。据统计(见图8),在已开展合作方管理的96.0%的受访企业中,89.3%的企业通过合同、协议的方式,明确数据合作的目的、期限、处理方式、数据范围、保护措施、双方的数据安全责任等”的方式开展合作方管理工作,但通过合同协议进行合作方管理的67家企业中,37家企业面临着“公司各业务情况不同,难以推行统一合同、协议模板的管理困境。另一方面,虽然部分国家、行业标准要求企业应对合作方的数据安全保护能力进行定期检查,但53.3%的受访企业(见图9)认为在执行相关要求时存在困难,无法有效落实,45.3%的受访企业(见图9)表示"监管部门尚未发布所在行业的第三方数据安全管理相关标准、指南等文件",企业缺乏对外部数据合作方进行评估和监督的依据。®数据安呈推进计划DATASECURITYINITIATIVE制定了合作方的管理要求,如 合作方数据安全管理办法通过合同、协议的方式,明确数据合作的目的、期限、处理 方式、数据范围、保护措施、双方的数据安全责任等通过合作方台账、合作方管理系统等工具对合作方进行统一管理合作开始前对合作方进行尽职调直定期对合作方进行实地检查,包括数据 安全保护能力、是否按照约定删除数据等未开展其他0.% 10%20%30%40%50%60%70%80%90%l(m图8数据安全需求侧合作方管理工作开展情况图9数据安全需求侧合作方管理工作面临的痛难点®数据安呈推进计划DATASECURITYINITIATIVE对于产品服务的供应侧厂商而言,数据安全领域仍是厂商战略布局重点,产品服务垂直细化趋势明显。本报告针对37家供应侧厂商的多款产品与服务展开调研,有如下发现:九、数据安全产业成为传统安全厂商角逐焦点54.1%据统计,本次参与调研供应侧厂商类型分布如图10所示。其中综合型厂商占比54.1%,专业型厂商占比24.3%,新兴型厂商占比21.6%。综合型厂商数量相较去年同期有较大幅度提升。这说明在国家推动数字经济高质量发展的环境背景和目标前提下,数据安全的重要性愈发凸显,传统网络安全头部厂商业务布局延伸至数据安全领域,数据安全作为新一代信息安全领域核心,已获得市场认同。 综合型厂商:54.1%依托业务沉淀大量安全技术及应用经验的ICT、大型互联网公司或头部网络安全厂商,业务重心逐渐移向数据安全领域. 专业型厂商:24.3%在数据库安全领域具备丰富的积累与沉淀,数据安全业务已成为厂商机构的主营业务. 新兴型厂商:26.1%主要是近年基于特定的新兴技术(例如:隐私计算、人工智能、大数据等)开展数据流通安全的初创厂商.图10数据安全供应侧厂商画像十、政务、金融行业数据安全服务需求旺盛需求侧企业的数据安全需求是推动行业发展的本质因素。随着我国整体数字化水平提升,数据一跃成为众多行业企业的核心生产要素,其安全甚至关乎企业的业务安全以及对数据进行增值分析而带来的衍生价值安全。而随着数据价值的提升,数据窃取、外部供应链泄露、内部数据滥用等数据安全风险激增,政府、企业、个人对数据安全的关注程度广泛提升,各行业对数据安全的需求与日俱增。据统计(见图11),政务(59.5%)、金融(51.4%)等重点行业的数据安全产品和服务的需求较高,促进了数据安全产业的持续发展。®数据安呈推进计划DATASECURITYINITIATIVE十一、法律合规要求有待细化是当今数据安全产业发展的主要挑战随着数据安全问题不断凸显,数据安全技术不断更新,国家、行业虽然陆续出台安全监管要求,但仍有部分领域存在制度上缺失或颗粒度较粗的情况,导致部分企业数据安全管理要求与落地实践面临间隔盲区的困境。59.5%的受访厂商(见图12)认为"监管要求不明确",无法确认自身产品与技术服务是否能够满足法律法规要求是当前产业发展的困境之一。®数据安呈推进计划DATASECURITYINITIATIVE图12班安全产业发展面临的挑战十二、产品+服务的一体化集成服务是主流趋势相较于传统信息安全领域,数据安全因其与外部法律法规、内部业务活动等不同领域的强耦合性,导致了无法仅依靠技术工具完成数据安全工作,亟需以人工+工具结合的方式开展。据统计(见图13),83.8%的受访厂商通过提供"产品+服务的一体化解决方案,帮助客户打通业务、系统壁垒,提升数据安全治理能力。图13数据安全供应侧数据安全产品服务类型®数据安呈推进计划DATASECURITYINITIATIVE十三、以数据为中心的安全产品市场呈百舸争流之势各类数据安全产品的应用贯穿数据的全生命周期。无论是数据采集阶段的识别、标记、分类分级,还是存储、使用阶段的加密、脱敏、审计,以及共享流通阶段的隐私计算、数据水印等产品工具,均为保障数据的保密性、完整性、可用性,以及数据处理活动的合规性、可控性提供了技术支撑。根据本次调研结果,参与调研的厂商产品品类超过了三十种,体现了目前数据安全产品百舸争流、百花齐放的现状,数据产品垂直细化趋势明显。从产品梳理的分布上来看(见图14),数据分类分级产品占数据安全产品总数的73.0%,数据资产识别产品占数据安全产品总数的62.2%,除此之外,数据脱敏、数据防泄露、数据安全网关、数据安全合规检测、大数据安全管控、态势感知平台的产品占比均超过了50%。这说明了在传统的信息安全防护技术体系之外,以数据为中心的安全防护体系正在逐步完善。11S数据安呈推进计划79DATASECURITYINITIATIVE¾-田会晤也<w既解京回注<H强辕寸IIS.三-J-l三%8占I%!"求6.3L曰%寸.ISm小S%>116%I.1I.1%Z79%0.&%。0%OOI%0ON求oorn求。.。寸%oos%。9%ooz%。8®数据安呈推进计划DATASECURITYINITIATIVE十四、安全合规、风险评估、分类分级成为数据安全服务新焦点随着国家数据局的成立,数据要素流通交易成为众多行业企业的核心关注点。为保障数据的安全流通交易,国家陆续出台关于构建数据基础制度更好发挥数据要素作用的意见网络数据安全风险评估实施指引等政策指引,这对应用侧企业的数据安全合规、数据分类分级、数据安全风险评估等方面的能力均提出了更高的要求。受市场引导(见图15),供应侧厂商也充分发挥数据安全服务“轻量化、易迭代”的特点在上述领域积极布局,重点聚焦在协助需求侧企业开展数据分类分级工作(81.1%)与数据安全风险评估(81.1%),并提供建设性咨询或整改性咨询服务,以帮助企业提升数据安全合规遵循能力(83.8%)。加母90.0%80.0%八他70.0%60.0%50.0%40.0%30.0%20.0%10.0%0.0%图15数据安全供应侧数据安全服务分布®数据安呈推进计划DATASECURITYINITIATIVE附录本次调研共收回供需双方112份有效问卷样本,其中:数据安全需求侧共回收75份有效的问卷样本,覆盖了不同行业、不同人员规模以及不同数据规模的不同企业;数据安全供应侧共回收37份有效的问卷样本,覆盖了不同产品类型、不同从业人员规模的不同企业。具体来说,本次数据安全需求侧调研的受访企业来自金融、电信运营商、互联网等行业,调研范围具有广泛性(见图16)。图16数据安全需求侧受访企业行业分布本次数据安全需求侧调研从员工数量(见图17)和数据安全团队人员规模(见图18)两个方面对受访企业人员规模进行统计,从数据量级方面(见图19)对受访企业数据规模进行统计,调研样本较为全面。®数据安呈推进计划DATASECURITYINITIATIVE图17嘘安全需求侧企业员工数量分布13人410人1020人20人以上尚未投入人员图18数据安全需求侧企业数据安全人员规模分布®数据安呈推进计划DATASECURITYINITIATIVE图19数据安全需求侧企业数据量级分布本次数据安全供应侧调研共回收37份有效样本,覆盖了37家企业的40余款数据安全产品及服务(见图14)。覆盖了不同从业人员规模的供应侧厂商,调研样本较为全面。(见图20)o图20供应侧厂商企业员工规模