領(lǐng)取報(bào)告方式
掃碼填寫相關(guān)信息后,我們會(huì)在三個(gè)工作日內(nèi)聯(lián)系您
主要撰稿人
按姓氏拼音順序排序
董曉瓊 高勇 李廣林 馬冰 肖寒 徐竑 薛勇
作者寫在前面
企業(yè)數(shù)據(jù)安全非“一朝一夕”之功,也無“一蹴而就”之法,作為從業(yè)者需盡“極深研幾”之力,以成“上下同欲”之勢。
—— 董曉瓊
在全球經(jīng)濟(jì)一體化與數(shù)字經(jīng)濟(jì)融合的大背景下,數(shù)據(jù)安全和技術(shù)主權(quán)的戰(zhàn)略地位日益凸顯,成為推動(dòng)社會(huì)經(jīng)濟(jì)發(fā)展不可忽視的核心要素。各行各業(yè)面臨著全面數(shù)字化的機(jī)遇與挑戰(zhàn),數(shù)據(jù)泄漏的風(fēng)險(xiǎn)與影響正不斷擴(kuò)大,數(shù)據(jù)安全甚至成為諸多企業(yè)進(jìn)一步發(fā)展的瓶頸。在此背景下,企業(yè)迫切需要構(gòu)建與完善數(shù)據(jù)安全架構(gòu)。我們希望通過此次調(diào)研報(bào)告的撰寫與發(fā)布,為行業(yè)的健康發(fā)展略盡綿薄之力。
—— 李廣林
隨著信息技術(shù)的不斷發(fā)展,網(wǎng)絡(luò)空間安全(cyber security)已經(jīng)從最初的防漏洞防入侵,保障業(yè)務(wù)連續(xù)性,進(jìn)一步更加關(guān)注數(shù)據(jù)的價(jià)值。國家在頒布網(wǎng)絡(luò)安全法后又相繼頒布了數(shù)據(jù)安全法等一系列法律法規(guī)。筆者認(rèn)為做好網(wǎng)絡(luò)安全(network security)是基礎(chǔ),在保障信息系統(tǒng)安全穩(wěn)定運(yùn)行的基礎(chǔ)上,才能更加關(guān)注信息系統(tǒng)中的數(shù)據(jù)安全。
而數(shù)據(jù)安全的難點(diǎn)在于“流轉(zhuǎn)”。不同于網(wǎng)絡(luò)安全的拓?fù)鋱D,數(shù)據(jù)交互的API化導(dǎo)致傳統(tǒng)的安全人員看不見、摸不著數(shù)據(jù)的流轉(zhuǎn),暫時(shí)只能進(jìn)行邊界的防護(hù)。而數(shù)據(jù)安全不等于DLP,我們要從全局的視角、生命周期的視角梳理數(shù)據(jù)的流轉(zhuǎn),分類施策,分級保護(hù)。
知易行難,本報(bào)告正是想通過一線的調(diào)研,聽聽互聯(lián)網(wǎng)、金融、制造業(yè)等一線團(tuán)隊(duì)的聲音,真實(shí)的反應(yīng)在數(shù)據(jù)安全工作中遇到的問題,并給出我們的思考。希望對大家數(shù)據(jù)安全領(lǐng)域的工作有所幫助。
—— 馬冰
筆者(JEFF)在制造行業(yè)從事信息安全建設(shè)及管理工作10年以上,也做過1個(gè)人的信息安全多年,獨(dú)立完成企業(yè)ISO27001+ISO27701建設(shè)及制度落地工作,同期也經(jīng)歷/處置過許多安全事件。筆者認(rèn)為,數(shù)據(jù)安全問題是制造企業(yè)生存與發(fā)展過程中必須要直面的核心的問題;制造企業(yè)安全需求特點(diǎn)如下:
1)系統(tǒng)多,模塊多(OMS訂單管理,CRM客戶關(guān)系管理,SCM供應(yīng)鏈管理,SRM供應(yīng)商關(guān)系管理,ERP企業(yè)資源計(jì)劃,WMS倉儲管理,MES制造企業(yè)生產(chǎn)過程執(zhí)行管理,PLM產(chǎn)品生命周期管理等;
2)數(shù)據(jù)多(含業(yè)務(wù)數(shù)據(jù)、研發(fā)數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、經(jīng)營數(shù)據(jù)、人員數(shù)據(jù)、財(cái)務(wù)數(shù)據(jù)等);
3)需求多(含境外數(shù)據(jù)傳輸需求,防泄密需求,數(shù)據(jù)分級分類等)。這也導(dǎo)致,工作難度很大,如何做好數(shù)據(jù)識別、分級分類定義、人員職責(zé)劃分、權(quán)限控制/審計(jì)、數(shù)據(jù)生命周期管理、配套制度建設(shè)與落地,我相信這也是每位從業(yè)者的必修課。
歡迎讀者與我們交流并共同成長,感謝您的支持與鼓勵(lì)。
—— 肖寒
這個(gè)調(diào)研報(bào)告從策劃、調(diào)研到編寫歷時(shí)半年多,作為一直在一線從事數(shù)據(jù)安全能力建設(shè)和運(yùn)營的數(shù)據(jù)安全從業(yè)者,非常榮幸能與來自互聯(lián)網(wǎng)、金融和制造業(yè)等多個(gè)行業(yè)的專家老師們共同參與這個(gè)報(bào)告的編寫,也是一次實(shí)踐經(jīng)驗(yàn)的沉淀總結(jié)和架構(gòu)的梳理過程。
該報(bào)告全面分析了數(shù)據(jù)安全現(xiàn)狀問題和面臨的挑戰(zhàn),并從數(shù)據(jù)安全框架、數(shù)據(jù)安全管理、威脅評估及數(shù)據(jù)跨境流動(dòng)等方面給出全面切實(shí)可行的實(shí)踐分析和建議,并對未來數(shù)據(jù)安全技術(shù)和法規(guī)發(fā)展趨勢進(jìn)行了預(yù)測。
希望通過這個(gè)調(diào)研報(bào)告,能夠?yàn)楦餍袠I(yè)進(jìn)行數(shù)據(jù)安全建設(shè)和評估提供相對全面的參考,共同推動(dòng)數(shù)據(jù)安全事業(yè)的發(fā)展。
—— 薛勇
特別鳴謝
目錄
一、引言
1.1 報(bào)告目的和背景
1.2 研究范圍和方法
1.3 報(bào)告結(jié)構(gòu)概述
二、數(shù)據(jù)安全概述
2.1 數(shù)據(jù)安全框架
2.2 數(shù)據(jù)安全痛點(diǎn)
2.3 數(shù)據(jù)安全挑戰(zhàn)
三、數(shù)據(jù)泄漏分析
3.1 數(shù)據(jù)泄露案例分析
3.2 泄密事件趨勢分析
四、數(shù)據(jù)安全管理架構(gòu)
4.1 數(shù)據(jù)安全管理架構(gòu)
4.2 數(shù)據(jù)安全培訓(xùn)
4.3 數(shù)據(jù)安全應(yīng)急
五、數(shù)據(jù)安全威脅評估
5.1 數(shù)據(jù)資產(chǎn)價(jià)值評估
5.2 數(shù)據(jù)安全威脅
5.3 威脅影響分析
六、數(shù)據(jù)安全實(shí)踐
6.1 從數(shù)據(jù)技術(shù)看數(shù)據(jù)流動(dòng)
6.2 數(shù)據(jù)存儲加密
6.3 數(shù)據(jù)脫敏
6.4 特權(quán)人員的權(quán)限管控
七、數(shù)據(jù)跨境流動(dòng)安全
7.1 數(shù)據(jù)出海合規(guī)問題
7.2 數(shù)據(jù)跨境流動(dòng)合規(guī)要求
7.3 數(shù)據(jù)跨境流動(dòng)安全管理
八、未來發(fā)展趨勢
8.1 所在行業(yè)發(fā)展趨勢
8.2 數(shù)據(jù)安全技術(shù)發(fā)展趨勢
8.3 法律法規(guī)變化趨勢
九、調(diào)研結(jié)果展示
正文
報(bào)告目的和背景
近年來,數(shù)字經(jīng)濟(jì)發(fā)展速度快、輻射范圍廣、影響程度深,成為重組全球要素資源、重塑全球經(jīng)濟(jì)結(jié)構(gòu)、改變?nèi)蚋偁幐窬值年P(guān)鍵力量。在數(shù)字化轉(zhuǎn)型的浪潮中,數(shù)據(jù)不僅是核心資產(chǎn),更是創(chuàng)新的要素。習(xí)近平總書記指出:“大數(shù)據(jù)是工業(yè)社會(huì)的‘自由’資源,誰掌握了數(shù)據(jù),誰就掌握了主動(dòng)權(quán)。”2022年1月,國務(wù)院發(fā)布了《“十四五”數(shù)字經(jīng)濟(jì)發(fā)展規(guī)劃》,明確了數(shù)字經(jīng)濟(jì)健康發(fā)展的基本原則和目標(biāo)?!兑?guī)劃》中特別關(guān)注數(shù)字經(jīng)濟(jì)安全體系的建設(shè),包括增強(qiáng)網(wǎng)絡(luò)安全防護(hù)能力、提升數(shù)據(jù)安全保障水平,并有效防范各類風(fēng)險(xiǎn)。2022年政府工作報(bào)告中也強(qiáng)調(diào),繼續(xù)推進(jìn)國家安全體系和能力建設(shè),強(qiáng)化網(wǎng)絡(luò)安全、數(shù)據(jù)安全和個(gè)人信息保護(hù)。
在數(shù)據(jù)安全越發(fā)受到重視的同時(shí),數(shù)據(jù)安全相關(guān)的法律法規(guī)也在快速發(fā)布。自2017以來,我國陸續(xù)發(fā)布實(shí)施了一系列網(wǎng)絡(luò)安全領(lǐng)域的重要法律法規(guī)。2017年6月《中華人民共和國網(wǎng)絡(luò)安全法》后,《中華人民共和國數(shù)據(jù)安全法》(2021年9月)、《中華人民共和國個(gè)人信息保護(hù)法》(2021年11月)相繼施行,為數(shù)據(jù)安全工作提供了法律依據(jù)。至此,國家數(shù)據(jù)安全法律法規(guī)體系框架基本確立,充分體現(xiàn)了習(xí)近平總書記“以安全保發(fā)展、以發(fā)展促安全”的指導(dǎo)思想。
總體而言,我國社會(huì)經(jīng)濟(jì)發(fā)展的關(guān)鍵引擎已逐漸演變成了數(shù)字化與網(wǎng)絡(luò)安全的“雙輪驅(qū)動(dòng)”。然而,隨著數(shù)字化技術(shù)與業(yè)務(wù)的深度融合,相應(yīng)的數(shù)據(jù)安全挑戰(zhàn)也隨之而來。在經(jīng)歷了數(shù)字化轉(zhuǎn)型的過程中,各行業(yè)在數(shù)據(jù)安全方面面臨著更為復(fù)雜的形勢,這與業(yè)務(wù)模式、數(shù)據(jù)處理需求以及法律法規(guī)等多方面因素的影響,從而導(dǎo)致各行業(yè)在數(shù)據(jù)安全問題上存在著獨(dú)特而復(fù)雜的挑戰(zhàn)。因此,本報(bào)告通過深入調(diào)研了金融、互聯(lián)網(wǎng)、制造業(yè)等多個(gè)具有代表性的行業(yè),旨在全面了解它們在數(shù)據(jù)安全方面的現(xiàn)狀、所面臨的問題以及可行的解決方案。我們的研究重點(diǎn)不僅集中在當(dāng)前數(shù)字化環(huán)境下數(shù)據(jù)安全所面臨的挑戰(zhàn),更通過對未來發(fā)展趨勢的深入洞察,為企業(yè)、組織及相關(guān)利益方提供全面見解和切實(shí)可行的建議。
調(diào)研結(jié)果展示
一、受訪企業(yè)基本情況
關(guān)于公司所處的行業(yè):
參與本次問卷調(diào)研的企業(yè)共涉及13個(gè)行業(yè),其中制造業(yè)、金融、互聯(lián)網(wǎng)行業(yè)的企業(yè)較多,占比情況如下:
各企業(yè)人數(shù)規(guī)模情況如下:
其中大型企業(yè)較多,10000人以上的企業(yè)占比25%,1000-3000人的企業(yè)占比為24%,1000人以上企業(yè)總占比為68%。
二、如何保護(hù)數(shù)據(jù)隱私安全、落實(shí)監(jiān)管要求成為企業(yè)首要關(guān)注的因素
通過調(diào)查“在數(shù)據(jù)安全方面,結(jié)合當(dāng)前企業(yè)現(xiàn)狀或數(shù)據(jù)安全目標(biāo)哪些因素您認(rèn)為很重要”發(fā)現(xiàn):數(shù)據(jù)合規(guī)性占比最高為22%,其次是數(shù)據(jù)安全性占比20%,數(shù)據(jù)隱私保護(hù)占比19%(圖2-1);問及“您認(rèn)為目前最重要的一項(xiàng)數(shù)據(jù)安全任務(wù)是什么”,結(jié)果發(fā)現(xiàn)各企業(yè)認(rèn)為當(dāng)前最重要的數(shù)據(jù)安全任務(wù)為做好數(shù)據(jù)安全管理和數(shù)據(jù)合規(guī),其次為數(shù)據(jù)隱私保護(hù)(圖2-2),與圖2-1相對應(yīng)。由此可見,對于如何落實(shí)好數(shù)據(jù)安全管理、數(shù)據(jù)合規(guī)及數(shù)據(jù)隱私保護(hù)在企業(yè)數(shù)據(jù)安全工作中尤為重要。
三、強(qiáng)化數(shù)據(jù)安全意識、吸納數(shù)據(jù)安全人才,增強(qiáng)企業(yè)安全防護(hù)能力
四、數(shù)據(jù)防泄漏成為企業(yè)數(shù)據(jù)安全防護(hù)的重點(diǎn)項(xiàng)目
五、安全工具的采購愈發(fā)成為趨勢,三方安全廠商服務(wù)市場空間較大
六、加快企業(yè)數(shù)據(jù)安全團(tuán)隊(duì)建設(shè)顯得尤為重要
七、線上實(shí)時(shí)監(jiān)控和管理成為企業(yè)首選
八、企業(yè)對數(shù)據(jù)資產(chǎn)的掌控逐步清晰化,助力保護(hù)企業(yè)數(shù)據(jù)資產(chǎn)安全
九、企業(yè)數(shù)據(jù)資產(chǎn)透明度有待加強(qiáng)
十、數(shù)據(jù)安全產(chǎn)品多樣化,數(shù)據(jù)隱私合規(guī)檢測產(chǎn)品潛力巨大
贊助商
觀安信息是一家提供大數(shù)據(jù)+泛安全產(chǎn)品與服務(wù)的高新技術(shù)企業(yè)。公司聚焦數(shù)據(jù)安全、網(wǎng)絡(luò)空間安全、5G安全、人工智能安全、工業(yè)互聯(lián)網(wǎng)安全及公共安全等核心方向,為運(yùn)營商、政府、金融、電力、公安、醫(yī)療等行業(yè)用戶提供全面的信息安全解決方案。
公司采用上海、北京、深圳一級總部,成都、廣州區(qū)域總部運(yùn)營模式,同時(shí)設(shè)立多個(gè)實(shí)驗(yàn)室,業(yè)務(wù)覆蓋全國絕大部分地區(qū)。是聯(lián)合國訓(xùn)練研究所上海國際培訓(xùn)中心大數(shù)據(jù)應(yīng)用與安全培訓(xùn)基地、聯(lián)合國工業(yè)發(fā)展組織上海國際智能制造促進(jìn)中心專家組成員;被認(rèn)定為國家重大活動(dòng)網(wǎng)絡(luò)安全保衛(wèi)技術(shù)支持單位、工信部專精特新“小巨人”企業(yè)、5G創(chuàng)新企業(yè)、上海市高新技術(shù)企業(yè)。
公司核心團(tuán)隊(duì)有著20多年信息安全專業(yè)技術(shù)經(jīng)驗(yàn)、10多年大數(shù)據(jù)分析經(jīng)驗(yàn)。在國內(nèi)外網(wǎng)絡(luò)安全技術(shù)競賽中,多次斬獲金獎(jiǎng),并多次參與國家重大活動(dòng)信息安全保障工作。公司與多個(gè)國際組織、監(jiān)管機(jī)構(gòu)、高等學(xué)府、科研院所建立了良好、緊密的合作關(guān)系。
公司具備網(wǎng)絡(luò)安全與大數(shù)據(jù)領(lǐng)域相關(guān)的產(chǎn)品研發(fā)、集成和專業(yè)服務(wù)資質(zhì),獲得了包括但不限于ISO9000、ISO20000、ISO27001、ISO14001、ISO45001、CMMI-DEV、CCRC、CNITSEC、CESSCN、CNCERT等多項(xiàng)國際與國內(nèi)專業(yè)化管理體系與技術(shù)認(rèn)證,多款產(chǎn)品獲得IPv6ReadyLogo國際認(rèn)證。在各類新技術(shù)、產(chǎn)品和服務(wù)的不斷深化發(fā)展過程中,公司也積極參與并推進(jìn)網(wǎng)絡(luò)安全國產(chǎn)化建設(shè),持續(xù)助力自主可靠可控知識產(chǎn)權(quán)體系,保障用戶單位業(yè)務(wù)的可持續(xù)健康發(fā)展,產(chǎn)品和服務(wù)受到眾多用戶的信賴與垂青。
支持單位
支持媒體
支持自媒體