領取報告方式
掃碼填寫相關信息后,我們會在三個工作日內聯系您
主要撰稿人
按姓氏拼音順序排序
董曉瓊 高勇 李廣林 馬冰 肖寒 徐竑 薛勇
作者寫在前面
企業數據安全非“一朝一夕”之功,也無“一蹴而就”之法,作為從業者需盡“極深研幾”之力,以成“上下同欲”之勢。
—— 董曉瓊
在全球經濟一體化與數字經濟融合的大背景下,數據安全和技術主權的戰略地位日益凸顯,成為推動社會經濟發展不可忽視的核心要素。各行各業面臨著全面數字化的機遇與挑戰,數據泄漏的風險與影響正不斷擴大,數據安全甚至成為諸多企業進一步發展的瓶頸。在此背景下,企業迫切需要構建與完善數據安全架構。我們希望通過此次調研報告的撰寫與發布,為行業的健康發展略盡綿薄之力。
—— 李廣林
隨著信息技術的不斷發展,網絡空間安全(cyber security)已經從最初的防漏洞防入侵,保障業務連續性,進一步更加關注數據的價值。國家在頒布網絡安全法后又相繼頒布了數據安全法等一系列法律法規。筆者認為做好網絡安全(network security)是基礎,在保障信息系統安全穩定運行的基礎上,才能更加關注信息系統中的數據安全。
而數據安全的難點在于“流轉”。不同于網絡安全的拓撲圖,數據交互的API化導致傳統的安全人員看不見、摸不著數據的流轉,暫時只能進行邊界的防護。而數據安全不等于DLP,我們要從全局的視角、生命周期的視角梳理數據的流轉,分類施策,分級保護。
知易行難,本報告正是想通過一線的調研,聽聽互聯網、金融、制造業等一線團隊的聲音,真實的反應在數據安全工作中遇到的問題,并給出我們的思考。希望對大家數據安全領域的工作有所幫助。
—— 馬冰
筆者(JEFF)在制造行業從事信息安全建設及管理工作10年以上,也做過1個人的信息安全多年,獨立完成企業ISO27001+ISO27701建設及制度落地工作,同期也經歷/處置過許多安全事件。筆者認為,數據安全問題是制造企業生存與發展過程中必須要直面的核心的問題;制造企業安全需求特點如下:
1)系統多,模塊多(OMS訂單管理,CRM客戶關系管理,SCM供應鏈管理,SRM供應商關系管理,ERP企業資源計劃,WMS倉儲管理,MES制造企業生產過程執行管理,PLM產品生命周期管理等;
2)數據多(含業務數據、研發數據、生產數據、經營數據、人員數據、財務數據等);
3)需求多(含境外數據傳輸需求,防泄密需求,數據分級分類等)。這也導致,工作難度很大,如何做好數據識別、分級分類定義、人員職責劃分、權限控制/審計、數據生命周期管理、配套制度建設與落地,我相信這也是每位從業者的必修課。
歡迎讀者與我們交流并共同成長,感謝您的支持與鼓勵。
—— 肖寒
這個調研報告從策劃、調研到編寫歷時半年多,作為一直在一線從事數據安全能力建設和運營的數據安全從業者,非常榮幸能與來自互聯網、金融和制造業等多個行業的專家老師們共同參與這個報告的編寫,也是一次實踐經驗的沉淀總結和架構的梳理過程。
該報告全面分析了數據安全現狀問題和面臨的挑戰,并從數據安全框架、數據安全管理、威脅評估及數據跨境流動等方面給出全面切實可行的實踐分析和建議,并對未來數據安全技術和法規發展趨勢進行了預測。
希望通過這個調研報告,能夠為各行業進行數據安全建設和評估提供相對全面的參考,共同推動數據安全事業的發展。
—— 薛勇
特別鳴謝
目錄
一、引言
1.1 報告目的和背景
1.2 研究范圍和方法
1.3 報告結構概述
二、數據安全概述
2.1 數據安全框架
2.2 數據安全痛點
2.3 數據安全挑戰
三、數據泄漏分析
3.1 數據泄露案例分析
3.2 泄密事件趨勢分析
四、數據安全管理架構
4.1 數據安全管理架構
4.2 數據安全培訓
4.3 數據安全應急
五、數據安全威脅評估
5.1 數據資產價值評估
5.2 數據安全威脅
5.3 威脅影響分析
六、數據安全實踐
6.1 從數據技術看數據流動
6.2 數據存儲加密
6.3 數據脫敏
6.4 特權人員的權限管控
七、數據跨境流動安全
7.1 數據出海合規問題
7.2 數據跨境流動合規要求
7.3 數據跨境流動安全管理
八、未來發展趨勢
8.1 所在行業發展趨勢
8.2 數據安全技術發展趨勢
8.3 法律法規變化趨勢
九、調研結果展示
正文
報告目的和背景
近年來,數字經濟發展速度快、輻射范圍廣、影響程度深,成為重組全球要素資源、重塑全球經濟結構、改變全球競爭格局的關鍵力量。在數字化轉型的浪潮中,數據不僅是核心資產,更是創新的要素。習近平總書記指出:“大數據是工業社會的‘自由’資源,誰掌握了數據,誰就掌握了主動權。”2022年1月,國務院發布了《“十四五”數字經濟發展規劃》,明確了數字經濟健康發展的基本原則和目標。《規劃》中特別關注數字經濟安全體系的建設,包括增強網絡安全防護能力、提升數據安全保障水平,并有效防范各類風險。2022年政府工作報告中也強調,繼續推進國家安全體系和能力建設,強化網絡安全、數據安全和個人信息保護。
在數據安全越發受到重視的同時,數據安全相關的法律法規也在快速發布。自2017以來,我國陸續發布實施了一系列網絡安全領域的重要法律法規。2017年6月《中華人民共和國網絡安全法》后,《中華人民共和國數據安全法》(2021年9月)、《中華人民共和國個人信息保護法》(2021年11月)相繼施行,為數據安全工作提供了法律依據。至此,國家數據安全法律法規體系框架基本確立,充分體現了習近平總書記“以安全保發展、以發展促安全”的指導思想。
總體而言,我國社會經濟發展的關鍵引擎已逐漸演變成了數字化與網絡安全的“雙輪驅動”。然而,隨著數字化技術與業務的深度融合,相應的數據安全挑戰也隨之而來。在經歷了數字化轉型的過程中,各行業在數據安全方面面臨著更為復雜的形勢,這與業務模式、數據處理需求以及法律法規等多方面因素的影響,從而導致各行業在數據安全問題上存在著獨特而復雜的挑戰。因此,本報告通過深入調研了金融、互聯網、制造業等多個具有代表性的行業,旨在全面了解它們在數據安全方面的現狀、所面臨的問題以及可行的解決方案。我們的研究重點不僅集中在當前數字化環境下數據安全所面臨的挑戰,更通過對未來發展趨勢的深入洞察,為企業、組織及相關利益方提供全面見解和切實可行的建議。
調研結果展示
一、受訪企業基本情況
關于公司所處的行業:
參與本次問卷調研的企業共涉及13個行業,其中制造業、金融、互聯網行業的企業較多,占比情況如下:
各企業人數規模情況如下:
其中大型企業較多,10000人以上的企業占比25%,1000-3000人的企業占比為24%,1000人以上企業總占比為68%。
二、如何保護數據隱私安全、落實監管要求成為企業首要關注的因素
通過調查“在數據安全方面,結合當前企業現狀或數據安全目標哪些因素您認為很重要”發現:數據合規性占比最高為22%,其次是數據安全性占比20%,數據隱私保護占比19%(圖2-1);問及“您認為目前最重要的一項數據安全任務是什么”,結果發現各企業認為當前最重要的數據安全任務為做好數據安全管理和數據合規,其次為數據隱私保護(圖2-2),與圖2-1相對應。由此可見,對于如何落實好數據安全管理、數據合規及數據隱私保護在企業數據安全工作中尤為重要。
三、強化數據安全意識、吸納數據安全人才,增強企業安全防護能力
四、數據防泄漏成為企業數據安全防護的重點項目
五、安全工具的采購愈發成為趨勢,三方安全廠商服務市場空間較大
六、加快企業數據安全團隊建設顯得尤為重要
七、線上實時監控和管理成為企業首選
八、企業對數據資產的掌控逐步清晰化,助力保護企業數據資產安全
九、企業數據資產透明度有待加強
十、數據安全產品多樣化,數據隱私合規檢測產品潛力巨大
贊助商
觀安信息是一家提供大數據+泛安全產品與服務的高新技術企業。公司聚焦數據安全、網絡空間安全、5G安全、人工智能安全、工業互聯網安全及公共安全等核心方向,為運營商、政府、金融、電力、公安、醫療等行業用戶提供全面的信息安全解決方案。
公司采用上海、北京、深圳一級總部,成都、廣州區域總部運營模式,同時設立多個實驗室,業務覆蓋全國絕大部分地區。是聯合國訓練研究所上海國際培訓中心大數據應用與安全培訓基地、聯合國工業發展組織上海國際智能制造促進中心專家組成員;被認定為國家重大活動網絡安全保衛技術支持單位、工信部專精特新“小巨人”企業、5G創新企業、上海市高新技術企業。
公司核心團隊有著20多年信息安全專業技術經驗、10多年大數據分析經驗。在國內外網絡安全技術競賽中,多次斬獲金獎,并多次參與國家重大活動信息安全保障工作。公司與多個國際組織、監管機構、高等學府、科研院所建立了良好、緊密的合作關系。
公司具備網絡安全與大數據領域相關的產品研發、集成和專業服務資質,獲得了包括但不限于ISO9000、ISO20000、ISO27001、ISO14001、ISO45001、CMMI-DEV、CCRC、CNITSEC、CESSCN、CNCERT等多項國際與國內專業化管理體系與技術認證,多款產品獲得IPv6ReadyLogo國際認證。在各類新技術、產品和服務的不斷深化發展過程中,公司也積極參與并推進網絡安全國產化建設,持續助力自主可靠可控知識產權體系,保障用戶單位業務的可持續健康發展,產品和服務受到眾多用戶的信賴與垂青。
支持單位
支持媒體
支持自媒體
安全動向
京公網安備 11010502049343號