《2023年企业数字安全能力调查报告-2023.07-24页-WN7.pdf》由会员分享,可在线阅读,更多相关《2023年企业数字安全能力调查报告-2023.07-24页-WN7.pdf(24页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、2023企业网络安全能力调查报告前言 新冠疫情爆发加速了全社会数字化转型进程,远程办公、在线教育、网上直播等行业高速发展。随着数字经济时代到来,云计算、大数据、物联网 等新兴技术在各行业深度应甠,各行业在生产方式、商业模式、管理方式等方面发生深刻变革。网络安全事关国家安全、社会安全,信创风口、个人信息保护以及等保2.0等政策发布奠定了网络安全行业发展基石。而在数字化转型趋势下,政企业务模式发生变化,网络安全风险呈现多样化、复杂化、难预测化的趋势,也导致网络安全行业需要探索新的业务增长点。因此,安在新榜立足行业现状,研究环境变化对企业网络安全建设的影响。研究企业如何应对快速变化的互联网内外部环境
2、,从而发现企业网络安全的未来建设趋势和新理念,新架构,新方法。本报告仅反应当前企业网络安全的发展情况,为关注中国网络安全产业发展的读者提供参考。目录一、调查概况二、调查发现三、小结本报告由安在新榜出品,未经授权,禁止转载问卷样本概况n本次调研,总浏览量1,563人次,获得反馈样本1,149份,平均答题时长5分29秒;反馈样本涉及全国30个省市自治区,其中东部沿海地区获得样本较多;n主要的答题设备为移动设备,其中安卓和IOS系统占比较高。操作系统分布地域分布设备分布本报告由安在新榜出品,未经授权,禁止转载被调查单位分布情况n本次调查,反馈的样本中,金融、互联网、政府、智能制造、教育等行业样本量较
3、多;n涉及的被调研企业中,1000人以上的大型企业占比29.85%;300人-1000人之间的中型企业占比28.29%;300人以下的小型企业占比为41.86%;n被调查企业的类型中,国资企业占比23.24%、外资企业12.71%、民营企业35.42%、个体企业21.24%、政府社会机构的占比为7.40%;n在被调查的对象中,17.84%的是从事CIO、CTO、CSO、CISO、DPO等职能的网络安全高级岗位人员,33.33%的是从事主管、审计、风控、合规、项目经理等职能的网络安全中级岗位人员;42.56%的是从事工程师、安全专员、程序员等职能的网络安全初级岗位人员。企业规模行业分布大型企业,
4、29.85%中型企业,28.29%小微企业,41.86%企业类型国资企业,23.24%外资企业,12.71%民营企业,35.42%个体企业,21.24%政府/社会机构,7.40%岗位分布高级安全岗位,17.84%中级安全岗位,33.33%初级安全岗位,42.56%其他,6.27%目录一、调查概况二、调查发现三、小结本报告由安在新榜出品,未经授权,禁止转载企业安全部门画像n调查显示,企业安全部门人员10人以下的占比较高,总计达到60.49%;安全部门的成立时间相对比较均衡,5年以下的占40.81%,5-10年的占37.94%;10年以上的占比21.24%n单位的安全部门向董事长或董事会汇报的占比
5、8.79%,向CEO或总经理汇报的占比11.84%,向副总裁或VP汇报的占比8.62%,向CIO或CTO汇报的占比12.97%,而向行政、人事或财务汇报的占比22.54%,向风控、审计或合规汇报的占比17.15%,向安保部汇报的占比15.93%。董事长或董事会,8.79%CEO或总经理,11.84%副总裁或VP,8.62%CIO或CTO,12.97%行政、人事或财务部负责人,22.54%风控、审计或合规部负责人,17.15%安保部负责人,15.93%其他,2.18%汇报对象1-3年,20.71%3-5年,20.10%5-8年,21.58%8-10年,16.36%10-15年,7.05%15年以
6、上,14.19%部门成立时长0人,3.57%1-3人,18.28%3-5人,14.62%5-8人,14.10%8-10人,13.49%10-20人,12.97%20-30人,7.22%30-50人,4.96%50-100人,4.53%100人以上,6.27%部门人员数量本报告由安在新榜出品,未经授权,禁止转载行业安全部门画像n调查显示,小型企业安全部门人员的中位数是3-5人;中型企业安全部门人员的中位数是8-10人;大型企业安全部门人员的中位数是10-20人;n在行业比较中,政府、金融、互联网、智能制造、智能网联/车联网等行业安全部门人员较多。各行业安全人员数量分布不同规模企业安全人员数量01
7、00200300400500600大型企业中型企业小微企业100人以上50-100人30-50人20-30人10-20人8-10人5-8人3-5人1-3人0人企企业业类类型型中中位位数数大大型型企企业业10-20人中中型型企企业业8-10人小小型型企企业业3-5人0%10%20%30%40%50%60%70%80%90%100%政府金融互联网智能制造智能网联/车联网医疗交通/物流贸易建筑地产教育100人以上50-100人30-50人20-30人10-20人8-10人5-8人3-5人1-3人0人本报告由安在新榜出品,未经授权,禁止转载企业安全挑战n调查显示,安全部门比较关注来自决策层的要求,其中
8、突发安全事件的应急处置和数字化转型是当下主要面临的挑战;n而安全部门自身最关注的价值,主要表现在满足监管要求、重要节点的安全保证工作零事故以及防御了多少安全攻击等方面;n不同行业在关注安全部门价值上略有不同,政府、金融等行业比较关注大领导的肯定;互联网、智能网联/车联网、地产、建筑等行业主要关注满足监管要求安全部门关注的价值来自决策层的挑战33.68%26.02%25.85%23.76%22.98%20.02%19.84%13.66%0.61%突发安全事件的应急处置数字化转型决策层要求太高与有限资金投入的挑战外部红头文件的处罚上市的合规要求开发安全隐私保护寻找合适解决方案集成的挑战其他35.4
9、2%30.64%28.98%26.46%20.63%17.75%17.41%15.49%10.10%9.40%7.75%0.70%满足监管要求重要节点的安全保证工作零事故防御了多少网络安全攻击发现了多少漏洞量化风险处置结果有效性度量与管理评审安全感打造各部门满意度大领导的肯定重复问题发生率平均事件处理时间其他0%10%20%30%40%50%60%70%80%90%100%政府金融互联网智能制造智能网联/车联网医疗交通/物流贸易建筑地产教育重复问题发生率平均事件处理时间大领导的肯定各部门满意度安全感打造有效性度量与管理评审量化风险处置结果满足监管要求不同行业主要挑战的差异本报告由安在新榜出品,
10、未经授权,禁止转载沟通与协作的挑战n调查显示,企业安全部门在日常工作中主要协作的部门包括运维部门、数据部门、风控部门等;其中比较难沟通与协作的部门包括审计部门、支持部门、营销部门等;n为因对这种沟通的挑战,大家 认为最有效的方式还是加强安全意识和文化建设,以获得相关部门的理解。沟通难度较高的部门安全主要的协作部门提高安全部门能力的方法本报告由安在新榜出品,未经授权,禁止转载企业安全能力自评n在对企业网络安全危害的调查中,公司核心商业机密泄露被认为是公司网络安全的最大危害;n在对自身安全能力的自评中,11.31%企业认为当前安全建设仍然空白;27.15%的企业认为自身以局部建立了安全体系;29.
11、68%的企业认为自身已经建设了完备的安全体系;另外有24.63%的企业认为自身已建立较成熟的安全免疫力;7.22%的企业开始将自身的安全能力外溢,向外提供安全服务。网络安全对公司最大的危害企业安全能力自评基本空白,11.31%局部建立安全体系,27.15%完备的安全体系,29.68%较成熟的安全免疫力,24.63%安全能力外溢,7.22%本报告由安在新榜出品,未经授权,禁止转载0%10%20%30%40%50%60%70%80%90%100%政府金融互联网智能制造智能网联/车联网医疗交通/物流贸易建筑地产教育其他安全能力外溢较成熟的安全免疫力完备的安全体系局部建立安全体系基本空白各行业安全水平
12、自评情况企业安全能力自评n我们将安全能力的5个级别转换成量化的数值进行分析,基本空白=1分;局部建立安全体系=2分;完备的安全体系=3分;较成熟的安全免疫力=4分;安全能力外溢=5分;加权分析对各行业安全水平进行比较,得出智能网联/车联网、互联网、政府、金融等行业安全能力相对成熟。行行业业安安全全水水平平政政府府3.01 金金融融2.96 互互联联网网3.12 智智能能制制造造2.89 智智能能网网联联/车车联联网网3.39 医医疗疗2.33 交交通通/物物流流2.58 贸贸易易2.48 建建筑筑2.50 地地产产2.88 教教育育2.74 本报告由安在新榜出品,未经授权,禁止转载各行业安全水
13、平自评情况行业安全能力自评n我们将安全能力分为业务风险控制、数据安全治理、安全运营管理、端点安全、应甠开发安全、辚界安全等6个维度进行分析,发现政府在安全运营管理和端点保护领域相对短板;互联网企业在端点保护上相对是短板;智能制造企业在业务风险控制、数据安全治理、端点保护、辚界保护上都相对较弱;智能网联/车联网企业在业务风险控制、端点保护上相对较弱;医疗、交通/物流、贸易、建设、地产、教育等行业,总体安全建设在各方面仍然存在较大缺失。业业务务风风险险控控制制 数数据据安安全全治治理理 安安全全运运营营管管理理端端点点保保护护应应用用开开发发安安全全边边界界保保护护政政府府3.00 3.04 2.
14、97 2.94 3.06 3.10 金金融融3.23 3.15 3.17 3.23 3.23 3.10 互互联联网网3.07 3.09 3.05 2.93 3.04 3.03 智智能能制制造造2.92 2.96 3.00 2.98 3.15 2.86 智智能能网网联联/车车联联网网2.94 3.06 3.12 2.94 3.09 3.24 医医疗疗2.63 2.70 2.56 2.78 2.48 2.37 交交通通/物物流流2.89 2.82 2.73 2.91 2.71 2.58 贸贸易易2.40 2.10 2.60 2.17 2.43 2.26 建建筑筑2.95 2.74 2.89 2.7
15、1 2.68 2.66 地地产产2.69 2.56 2.63 3.06 2.44 2.69 教教育育2.50 2.72 2.75 2.64 2.76 2.76 业务风险控制数据安全治理安全运营管理端点保护应用开发安全边界保护政府金融互联网智能制造智能网联/车联网医疗交通/物流贸易建筑地产教育各行业安全水平雷达图本报告由安在新榜出品,未经授权,禁止转载决定企业安全能力的要素决定企业安全能力的要素n调查显示,决定企业安全能力的要素主要包括人力储备、安全生态、安全技术等方面;而影响或阻碍企业安全能力的发展主要在于人力水平和管理水平。由此可知,目前,人员短缺是各单位安全部门的发展安全能力的主要限制因素
16、。企业安全能力的阻力本报告由安在新榜出品,未经授权,禁止转载网络安全预算占IT预算比例企业网络安全预算情况n调查显示,安全预算占IT预算小于3%的企业占比为38.1%;3%-4%的企业占比为16%;4%-5%的企业占比16.4%;5%-7%的企业占比15.5%;总体看来,企业的网络安全预算有所增加。n比较各行业安全预算情况,金融、互联网、智能制造等行业安全预算较多;贸易行业安全预算最少。各行业预算比较0%10%20%30%40%50%60%70%80%90%100%政府金融互联网智能制造智能网联/车联网医疗交通/物流贸易建筑地产教育10%以上9%-10%8%-9%7%-8%6%-7%5%-6%
17、4%-5%3%-4%2%-3%1%-2%不到1%本报告由安在新榜出品,未经授权,禁止转载影响预算多少的因素预算获取与分配n在对影响企业预算的因素进行调查中,合规建设、自研开发、安全事件、安全团队能力培养是主要可以影响安全预算多少的因素;n当前安全部门的安全预算主要投入在安全运营管理、端点安全等方面。当前预算主要投资的领域本报告由安在新榜出品,未经授权,禁止转载安全建设主要依靠安全建设的方式和目标n在对企业安全建设的依赖路径调查中,调查显示内部自研为主,采购为辅是企业安全建设的主要方式;n当前企业重点的安全建设任务主要包括安全事件应急、APP安全建设、交易和支付安全保障、等级保护合规等;当前的主
18、要任务本报告由安在新榜出品,未经授权,禁止转载当前的主要挑战安全建设的挑战和压力n调查显示,为开展上述安全建设,当下安全部门最大的挑战是经费有限和专业人员不足;而面临的最大压力是技术的快速发展与自身能力不足导致的冲突。当前的主要压力本报告由安在新榜出品,未经授权,禁止转载安全部门的定位安全部门的价值定位与话语权提升n在对安全部门在企业中价值定位的调查中,37.8%的甠户认为内外部数据及情报职能是企业安全部门最好的定位;n而要提高安全部门在企业中的受重视程度,最好的方法是开展高层网络安全培训以及全员的安全意识宣传;有效提高管理层对安全重视的方法28.63%26.02%25.50%25.41%23
19、.50%22.19%21.93%0.26%高层网络安全培训监管发布的红头文件同行业网络安全情况差距分让管理层体验暴露的网络安近期安全事件案例集风险评估报告发起咨询项目让外部专家访其他提升话语权的主要工作本报告由安在新榜出品,未经授权,禁止转载网络安全趋势企业网络安全趋势n调查显示,人工智能进入网络安全工具成为未来两年甠户企业的最大共识;而数据合规使甠是未来两年企业面临的最大威胁;未来两年企业的网络安全威胁36.55%29.59%26.28%18.45%15.58%15.06%14.19%11.75%11.23%10.10%8.70%8.44%6.27%6.01%6.01%5.57%5.40%5
20、.40%4.87%4.87%4.79%4.79%4.79%4.61%4.44%3.22%人工智能进入网络安全工具个人信息保护问题IT供应链的安全,部署信创产品零信任网络访问(ZTNA)保护云原生应用网络空间测绘(资产探查)量化风险评估及自动化基于风险的漏洞管理平台DevSecOps攻防竞赛平台或服务的采用员工监控技术ChatGPT用于安全隐私计算本报告由安在新榜出品,未经授权,禁止转载企业愿意尝试以下哪些领域的自主创新研究企业安全自研n调查显示,目前企业愿意在数据治理、隐私计算、云安全托管等方面加大投入开展自主创新研究;而开展方式主要会选择与同业伙伴联合开发。自主创新研究的方式目录一、调查概况
21、二、调查发现三、小结本报告由安在新榜出品,未经授权,禁止转载小结n 调查显示,当下企业的安全部门人员捉襟见肘,小型企业安全部门人员的中位数是3-5人;中型企业安全部门人员的中位数是8-10人;大型企业安全部门人员的中位数是10-20人;在行业比较中,政府、金融、互联网、智能制造、智能网联/车联网等行业安全部门人员较多。人员的数量限制了企业安全建设的发展。n 调查显示,当下企业安全部门价值主要体现在对突发安全事件的应急处置,以及满足监管要求上,围绕这一价值的输出,在安全能力、部门间的协调沟通、得到高层的支持等方面还面临一系列的挑战。n 调查显示企业的总体安全水平成熟度已经基本达到“完备的安全体系
22、”的阶段,正向建立“较成熟的安全免疫力”方向发展,这之中智能网联/车联网、互联网、政府、金融等行业安全能力相对成熟度较高。n 将安全能力分为业务风险控制、数据安全治理、安全运营管理、端点安全、应甠开发安全、辚界安全等6个维度进行分析,发现政府单位在安全运营管理和端点保护领域相对短板;互联网企业在端点保护上相对是短板;智能制造企业在业务风险控制、数据安全治理、端点保护、辚界保护上都相对较弱;智能网联/车联网企业在业务风险控制、端点保护上相对较弱;医疗、交通/物流、贸易、建设、地产、教育等行业,总体安全建设在各方面仍然处在“局部建立了安全体系”的阶段。n 调查显示,“人工智能进入网络安全工具”已成为未来安全趋势的最大共识;而数据合规使甠是未来两年企业面临的最大威胁;目前企业愿意在数据治理、隐私计算、云安全托管等方面加大投入开展自主创新研究;而开展方式主要会优先选择与同业伙伴联合开发。横向协作,深度交流孵化价值,共同成长 欢迎合作!