1、Data securitySurvey 20222022 年數據安全行業調研報告Data securitySurvey 20222022 年數據安全行業調研報告本報告版權屬于數據安全推進計劃，并受法律保護。轉載、摘編或利用其它方式使用本報告文字或者觀點的，應注明“來源：數據安全推進計劃”。違反上述聲明者，編者將追究其相關法律責任。版權聲明Data securitySurvey 20222022 年數據安全行業調研報告前 言數據作為新型生產要素，已成為我國數字經濟發展的核心資源，也是國家重要資產和基礎戰略資源。作為數字經濟健康發展的重要基石，其安全的重要性愈發突出，數據安全行業發展備受關注。為了

2、更好地洞察數據安全需求側數據安全建設現狀與面臨的挑戰，了解供應側數據安全業務布局與產品服務技術形態，推進數據安全行業市場發展，洞察數據安全行業發展趨勢，數據安全推進計劃發起數據安全行業調研，旨在梳理數據安全行業建設現狀，形成數據安全行業整體視圖。Data securitySurvey 20222022 年數據安全行業調研報告摘 要本次調研報告通過問卷的方式分別對數據安全需求側與供應側的數據安全發展現狀進行調研。根據本次調研結果，參與調研的需求側企業均不同程度的開展了數據安全工作并制定了數據安全工作規劃，供應側廠商也認為數據安全市場前景非常廣闊，并積極布局數據安全產品及服務。同時，本次調研也總結

3、了數據安全現狀和行業發展趨勢。從數據安全需求側來說，建設多方聯動的組織架構與以數據為中心的數據安全縱深防御技術體系是多數企業當前的工作焦點，長期來看如何培養復合型數據安全人才梯隊、如何將安全工作貫穿于企業業務發展當中將是企業未來數據安全工作的重點。從數據安全供應側來說，數據安全產品百花齊放，廠商百舸爭流，技術產品與服務的突破創新將成為廠商破局爭先的關鍵。面向數據安全合規及數據安全人員能力培訓方面的產品及服務蓄勢待發。綜合來看，我國數據安全已邁入飛速發展的關鍵時期，需求側數據安全投入占比持續走高，需求量上升，在給供應側帶來發展機遇的同時，也對數據安全服務質量與產品技術能力提出了更高的要求?；趯?/p>

4、數據安全供需雙方的調研分析，本報告有以下發現：1Data securitySurvey 20222022 年數據安全行業調研報告“監管”、“內生”并駕齊驅，企業數據安全建設主觀能動性提升01針對企業數據安全能力建設驅動力的調研發現（見圖 1），89.9%的受訪企業認為“合規需求”是開展數據安全能力建設的主要原因之一?？梢钥闯?，國家、行業、地方相繼出臺并完善的監管要求，為企業數據安全工作的開展指明了方向。與此同時，“防范數據安全風險”（79.8%）、“企業自身發展需要”（69.7%）也在受訪企業中有較高占比。這表明隨著數字經濟的迅猛發展，數據安全在提高業務能力、提升發展水平方面的正向促進作用愈加

5、明顯,企業數據安全建設的主觀能動性也逐漸提升。未來，數據安全建設的驅動力也將逐漸由單一的合規監管驅動轉變為“監管”與“內生”的雙重驅動。另外，隨著企業在數據安全建設方面的主觀能動性提升，企業持續增加數據安全項目投入：根據本次調研結果，2022 年受訪企業數據安全資金投入占信息科技總投入比重的平均值為 11.8%，相較于 2021 年 8.2%的平均值，上升趨勢明顯。圖 1 數據安全需求側數據安全建設驅動因素有效的數據安全體系建設是需求側企業利用數據賦能業務的重要前提?；趯?109 家數據安全需求側企業的調研分析發現：來源：數據安全推進計劃Data securitySurvey 2022202

6、2 年數據安全行業調研報告2圖 2 數據安全需求側數據安全建設面臨的痛難點同時，“數據與業務緊耦合，組織內部全流程協作拉通困難大”（48.6%）、“缺少專業的數據安全人才”（46.8%）、“數據安全體系建設并不完善，管理和技術措施易脫鉤”（45.9%）也是企業面臨的痛難點問題（見圖 2）。強化“以數據為中心”的主動防護能力02企業在開展數據安全建設工作過程中存在各種各樣的痛點和挑戰。通過調研企業在數據安全建設方面面臨的主要痛難點問題（見圖 2），可以發現 51.4%的受訪企業認為“內外部環境動態變化，安全狀態持續保障難”是最大問題。這說明以網絡和系統為中心的“堡壘式”傳統安全防護手段已經難以抵

7、御數據流轉過程中面臨的安全風險。數據流轉的任何一個環節出現漏洞都可能導致數據泄露，面對層出不窮的數據安全風險，超過半數的受訪企業（見圖 4）通過部署加密、脫敏等數據安全技術工具，直接對數據本體實施保護，主動出擊風險隱患，有效開展持續、動態的數據安全防護。來源：數據安全推進計劃3Data securitySurvey 20222022 年數據安全行業調研報告加快數據安全組織架構從“有型”到“有效”的升華03從調研結果可以看出（見圖 3），98.2%的企業組建了專門的數據安全團隊牽頭管理數據安全工作，數據安全治理組織架構逐漸明晰。但由于數據與業務的密切相關性，企業內部開展數據安全管理工作仍存在挑戰

8、，48.6%的受訪企業表示“數據與業務緊耦合，組織內部全流程協作拉通困難大”（見圖 2），制約了企業開展數據安全建設工作。在此背景下，企業應推動發揮業務部門的一線管理優勢，強化內控、風險、法務等職能部門的支撐作用，優化多部門在數據安全管理方面的協作機制，有效提升企業數據安全管理的工作推進效率，推進數據安全工作聯動落實。圖 3 數據安全需求側數據安全工作開展牽頭部門來源：數據安全推進計劃Data securitySurvey 20222022 年數據安全行業調研報告4以“識別”為中心，多措并舉全面布局數據安全縱深防御體系04根據對企業數據安全技術的應用情況進行統計發現（見圖 4），“數據防泄露工

9、具”（67.9%）、“統一身份認證及權限管理工具”（67.0%）、“數據分類分級工具”（56.9%）在企業的應用較為廣泛。從技術角度來說，數據分類分級能夠幫助企業識別數據，統一身份認證及權限管理工具能幫助企業識別人員角色，數據防泄露工具則幫助企業進行識別之后的安全防護?？梢钥闯?，“識別”是數據保護的前提與基石，越來越多的企業開始以“識別”為中心，構建主動識別、提前預防、準確發現、及時響應的數據安全技術能力，推動數據安全防護工作的左移。圖 4 數據安全需求側數據安全工具技術應用情況來源：數據安全推進計劃5Data securitySurvey 20222022 年數據安全行業調研報告來源：數據安

10、全推進計劃圖 5 數據安全需求側數據安全技術產品應用數量同時在調研中發現（見圖 5），85.3%的受訪企業通過應用兩種及以上技術工具落實管理要求。其中22.0%的受訪企業“應用技術產品 2-4 項”，44.0%的受訪企業“應用技術產品 5-8 項”，19.3%的“應用技術產品 8 項以上”。這表明多維度的數據安全技術能力，是企業數據安全戰略及數據安全治理體系有效落實的助推劑。企業數據安全能力建設重心也從過去的單點技術部署逐漸走向環環相扣、協同聯動的數據安全縱深防御體系布局。Data securitySurvey 20222022 年數據安全行業調研報告6通過調研發現（見圖 6），99.1%的受

11、訪企業已經開展了數據安全治理的相關工作。其中，數據分類分級作為數據安全工作的基礎內容，在 76.2%的受訪企業中率先落地。同時，在已開展數據分類分級工作的83 家企業中，74.7%的企業選擇部署數據分類分級工具協助推動此項工作的開展。受需求側市場引導，供應側分類分級工具市場景氣度也將持續高漲。圖 6 數據安全需求側數據安全工作開展情況數據分類分級在數據安全治理中率先落地05來源：數據安全推進計劃7Data securitySurvey 20222022 年數據安全行業調研報告數據安全治理工作進入高速發展階段06本次調研對企業在不同維度的數據安全工作開展情況進行了統計（見圖 6）。其中，55.1

12、%的受訪企業部署了數據安全技術產品，53.2%的受訪企業開展了合規管理，52.3%的受訪企業編制了數據安全相關制度。同時通過統計發現（見圖 7），91.8%的受訪企業開展了 2 項及以上的數據安全工作，并有 65.2%的受訪企業開展了 4 項以上數據安全工作。由此看出，圍繞組織建設、制度流程、技術工具、人員能力開展的多維度、多元化數據安全治理能力建設正在高速發展、有力推進。圖 7 數據安全需求側數據安全工作開展數量來源：數據安全推進計劃Data securitySurvey 20222022 年數據安全行業調研報告8人才培養與合規管理仍然是未來一年的重點工作內容07為了提升數據安全工作質量，解

13、決 46.8%的受訪企業面臨的“缺少專業的數據安全人才”問題（見圖 2），62.4%的受訪企業認為“開展數據安全人員能力培訓”是未來一年的首要工作（見圖 8）。數據安全工作的順利開展需要執行人員具備數據安全、數據治理、法律合規等領域的綜合知識。然而，當前數據安全從業人員多由信息安全或網絡安全人員轉化而來，如何強化數據安全人才培養機制，打造專業化、復合型的數據安全人才梯隊是多數企業未來常態化的工作重點。另一方面，60.6%的受訪企業認為在已有的數據安全合規基礎上，未來一年應繼續“推進數據安全合規管理工作”。數據安全合規作為企業經營管理的底線，是企業數據安全建設的長期任務，理應貫穿于業務發展與經營

14、管理的各項工作中。除此之外，企業也將“編制數據安全相關制度文件”（57.8%）、“開發/采購并部署數據安全技術工具”（52.3%）、“盤點數據資源，開展數據分類分級工作”（45.0%）列為 2023 年的數據安全重點工作任務。圖 8 數據安全需求側未來一年數據安全重點工作任務來源：數據安全推進計劃9Data securitySurvey 20222022 年數據安全行業調研報告重要數據識別、數據安全風險評估等工作備受關注08通過調研企業在落實數據安全監管要求方面的焦點問題（見圖 9），可以發現“重要數據、核心數據等的識別與保護”（63.3%）、“數據安全風險評估實踐操作”（48.6%）備受關注

15、。除此之外，“數據分類分級的落地指引”（43.1%）、“個人信息主體權益（如刪除權、可攜權）的保護如何響應”（40.4%）、“數據跨境合規的實踐操作”（28.4%）也是企業落實數據安全監管要求過程中面臨的主要挑戰。圖 9 數據安全需求側落實數據安全監管要求的焦點問題來源：數據安全推進計劃Data securitySurvey 20222022 年數據安全行業調研報告10數據安全供應側企業百舸爭流，呈現三大梯隊09根據數據安全供應側企業近三年的經營發展、產品及服務分布、市場表現、客戶案例、第三方評測等方面信息，本次調研將數據安全供應側企業分為三大主要類型（見圖 10）：穩健型（26.7%）、全面

16、型（43.1%）、專精型（18.1%）。穩健型廠商企業致力于提供全方位多樣化的產品與解決方案。一方面在單個技術領域具備多款產品服務，能滿足客戶的多樣化需求，另一方面其產品與服務的覆蓋面相對廣闊。全面型廠商企業聚焦系統化、一站式的數據安全產品及服務理念。該類型的企業除了服務覆蓋面廣，更注重與客戶的深度磨合，能夠通過“產品+服務”的一站式交付能力持續賦能客戶。專精型廠商企業深耕數據流通安全領域，其產品與服務集中于以隱私計算、區塊鏈等為代表的數據流通領域，持續打造領域的縱深競爭力。圖 10 數據安全供應側廠商畫像數據安全技術是數據安全廠商立足之本，產品與服務的持續創新是廠商發展之階。針對需求側數據安

17、全建設面臨的困境、挑戰，數據安全供應側應對情況如何？本報告針對 116 家供應側廠商的488 款產品與服務展開調研，在形成數據安全產品與服務圖譜 2.0的同時，有以下幾點發現1 。本報告將沿用數據安全產品與服務圖譜 2.0中的描述，將調研的產品與服務分為數據安全通用類產品、數據安全綜合類產品、數據安全合規類服務、數據安全能力提升類服務四大板塊。1來源：數據安全推進計劃11Data securitySurvey 20222022 年數據安全行業調研報告數據安全產品領域百花齊放，有力支撐數據安全建設需求10數據安全技術圍繞數據在全生命周期中的安全需求，通過對數據的識別、標記、變形、計算等操作，保護

18、數據的持續安全狀態。本次調研發現（見圖 11），數據安全產品廣泛分布在數據資產識別、數據風險檢測、數據安全防護、數據安全監測、數據共享流通安全領域。需求側企業可以通過應用、組合一種或多種數據安全技術的方式，實現“以數據為中心”的識別、檢測、防護、監測等技術能力。圖 11 數據安全供應側數據安全產品分布來源：數據安全推進計劃Data securitySurvey 20222022 年數據安全行業調研報告12安全合規、體系建設、分類分級成為數據安全服務布局熱點11由于數據與業務的深度耦合，僅通過把相關產品和平臺部署在需求側網絡內的交付已不能滿足當前數據安全建設需求，深入業務場景提供數據安全服務已成

19、為必然發展趨勢。本次調研顯示，35.3%的廠商已經布局了數據安全服務業務，受需求側市場引導，供應側的主要服務內容集中在“數據安全合規咨詢服務”（20%）、“數據安全合規評估服務”（18%）、“數據安全管理制度體系建設服務”（15%）、“數據分類分級服務”（15%）等方面（見圖 12）。其中，數據安全合規評估或咨詢服務，主要是通過分析需求側企業在數據安全發展戰略與安全能力等方面與國家、行業、地方相關監管要求的差距，評估企業數據安全合規現狀，提供覆蓋數據跨境合規、隱私合規管理、數據安全風險檢測等重點領域的“全棧式”數據安全合規服務，協助需求側企業強化數據安全保護與合規管理能力。圖 12 數據安全供

20、應側數據安全服務分布占比來源：數據安全推進計劃13Data securitySurvey 20222022 年數據安全行業調研報告數據分類分級產品技術及配套服務持續升級數據防泄露成為安全防護領域的重點產品1213各行業領域加快推進數據分類分級保護工作，然而由于企業多種格式的數據分布于眾多數據源，嵌套于復雜業務場景，亟需依托自動化的產品工具推進數據分類分級工作開展，這直接推動了供應側數據分類分級產品的技術創新及配套服務的持續升級。本次調研發現，有 35.3%的廠商研發了數據分類分級產品工具。部分廠商還將數據分類分級產品與機器學習等技術相結合，通過建立數據分類分級機器學習引擎，形成標注樣本，并通過

21、持續訓練提升數據分類分級產品工具的準確性與效率。同時，數據分類分級因與外部法律法規、內部業務活動的強耦合屬性，其產品工具逐漸“服務化”，現已成為獨立的數據安全服務品類。據本次調研，13.2%的受訪廠商開展了獨立的數據分類分級服務，基于相關的咨詢經驗，輔以自動化數據分類分級產品工具，通過“平臺+服務”的一體化解決方案，打通業務、系統壁壘，優化企業數據管理生態，提升數據安全協同能力。IBM 發布的2022 年數據泄露成本報告顯示，2022 年全球數據泄露平均成本高達 435 萬美元，創下該年度報告發布 17 年以來的最高紀錄，數據防泄露的重要性日益凸顯。根據對數據安全需求側調研數據顯示（見圖 4）

22、，67.9%的受訪企業部署了數據防泄露產品，數據防泄露產品市場需求持續走強。另一方面，供應側有 22.4%的廠商提供超過 30 款的數據防泄露產品及解決方案，產品形態包括郵件數據防泄露、網絡數據防泄露、終端數據防泄露，并廣泛應用于金融、電信運營商、政務、醫療等重點行業領域企業，市場競爭激烈。此外，部分廠商在數據防泄露產品的基礎上，通過將企業的終端、郵件、云、網絡數據及其安全防護策略在統一平臺進行集中化管理，建立以數據資產為中心、異常行為檢測為驅動、全網監控審計為保障的企業級解決方案，實現數據防泄露產品及解決方案對企業 IT 架構的全面覆蓋，為企業提供更高的數據資產能見度、安全控制力。Data

23、securitySurvey 20222022 年數據安全行業調研報告14數據安全合規檢測工具是“藍?！笔袌?4多部門、多角度、高密度的監管合規要求使常規的重人工的合規實踐難以達到預期的響應效率，自動化的數據安全合規檢測需求應運而生。目前，數據安全合規檢測工具依托合規知識庫，通過深度內容識別與 AI檢測等技術，在隱私合規管理、數據跨境或跨組織流動及風險評估、異常行為檢測等場景中持續提供檢測與分析能力。據供應側調研數據顯示，受限于國內外監管合規體系龐雜、自動化檢測維度與精度有待提升，目前僅有18.1%的廠商向企業提供數據安全合規檢測工具。對比 60.6%的需求側受訪企業將“推進數據安全合規管理工

24、作”作為未來一年工作重點（見圖 8），自動化檢測工具將成為供應側角逐的新領域。圖 13 數據安全需求側引入第三方數據安全人員能力培訓意愿數據安全培訓服務市場成長空間較大15根據本次針對供應側的調研，僅有 6.9%的受訪企業提供數據安全培訓服務。對比需求側 62.4%的受訪企業將“開展數據安全培訓”列為未來一年的重點數據安全工作（見圖 8），68.8%的受訪企業計劃“引入第三方數據安全培訓”為數據安全從業人員賦能（見圖 13），可以看出，在數據安全復合型人才培育的高需求下，數據安全培訓服務存在較大空白，成長空間較大，數據安全人才仍存在“供不應求”的發展痛點。來源：數據安全推進計劃15Data s

25、ecuritySurvey 20222022 年數據安全行業調研報告第三方評測助力廠商創造新優勢16調研顯示，32 家廠商主動參與過數據安全產品與服務相關的評測。絕大多數參與過第三方評測的廠商在市場表現上相對亮眼，在近三年內實現過單年營收破億，具備產品及服務品類豐富、行業應用范圍廣泛等特點，參與過評測的產品或服務在廠商整體營收上的表現也相對突出。Data securitySurvey 20222022 年數據安全行業調研報告16附錄本次調研共收回供需雙方 225 份有效問卷樣本，其中：數據安全需求側共回收 109 份有效的問卷樣本，覆蓋了不同行業、不同人員規模以及不同數據規模 的不同企業；數據

26、安全供應側共回收 116 份有效的問卷樣本，覆蓋了不同產品規模、不同產品領域的不同企業。具體來說，本次數據安全需求側調研的受訪者來自汽車、金融、電信運營商、互聯網等行業，調研范圍具有廣泛性（見圖 14）。本次數據安全需求側調研從員工數量（見圖 15）和數據安全團隊人員規模（見圖 16）兩個方面對受訪企業人員規模進行統計，從數據量級方面（見圖 17）對受訪企業數據規模進行統計，調研樣本較為全面。本次數據安全供應側調研共回收 116 份有效樣本，覆蓋了 116 家企業的 488 款數據安全產品及服務。其中，提供數據安全服務的企業 41 家。調研的數據安全產品工具合計 388 款，數據安全服務合計

27、100 項，調研樣本較為全面（見圖 18）。圖 14 數據安全需求側受訪企業行業分布來源：數據安全推進計劃17Data securitySurvey 20222022 年數據安全行業調研報告圖 15 數據安全需求側企業員工數量分布圖 16 數據安全需求側企業數據安全人員規模分布圖 17 數據安全需求側企業數據量級分布來源：數據安全推進計劃來源：數據安全推進計劃來源：數據安全推進計劃Data securitySurvey 20222022 年數據安全行業調研報告18圖 18 數據安全產品及服務分布來源：數據安全推進計劃19Data securitySurvey 20222022 年數據安全行業調研報告