从千余份问卷中,透视各行业数据安全现状


 

基于山石网科以数据为中心的安全治理体系框架,我们发起的各行业用户数据安全能力调查计划正式启动。从普法知识、制度流程、资产管理、安全行动四个维度,我们拟定了一份调查问卷,通过简明扼要的关键问题,收集用户数据安全治理的态度、能力和实践现状。截至报告数据时间点,已有千余家用户单位反馈了问卷。

从反馈回来的有效问卷中,我们总结出如下关键要点与大家分享。

 

摘要

1.本次测试满分100分,整体平均分67.25,及格分61,整体及格率63.6%,优秀分85,整体优秀率24.8%;

2.各单位数据年增量绝大部分(占比87.2%)在10PB以内,其中年增量10TB以内的单位最多(占比51%);

3.数据安全法律法规测试部分总分26,平均分18.27,多数用户对基本法律信息有一定接触和了解,但是缺少深入探究

4.71.9%的用户单位虽然有专门的团队或组织负责数据安全,但是其中能力足够的不足一半;要保障数据安全的持续性,还需要有人专门负责

5.多数用户对自身的资产状况有所了解,但能做到了解后,无缝管理的用户少之又少

6.超过一半的用户建立了统一管理的数据中心,但只有55%的用户做了清晰数据分类分级管理

7.兼顾企业方略与合法合规的制度流程是可持续数据安全的保障, 41%的用户单位建立起了成熟的制度流程,仍有超过3成的单位没有相关的制度流程;

8.《网络数据安全管理条例(征求意见稿)》中对数据安全培训作出了明确的要求,当前能做到定期开展数据安全培训的用户约4成

9.数据安全防护涉及数据的整个生命周期,绝大多数用户已经具备了一定的安全防护能力,但是能够做到全面防护、统一策略、集中管控的用户几乎没有。

 

交通、金融、政府领跑得分榜,

企业、教育有待提高

本次调研涵盖政府、金融、互联网、能源、医疗等各大行业用户,其中交通(78.00)、金融(77.89)、政府(74.60)、互联网(69.00)、医疗(68.55)等行业的平均分位列前五,教育(62.23)、企业(63.81)以及其他(60.63)行业平均得分较低,排名靠后。

图1:各行业平均分

交通、政府数据事关国计民生,医疗数据事关患者健康与医患隐私,一旦安全性出现问题,影响范围较广,影响程度较严重。《数据安全法》和《网络数据安全管理条例(征求意见稿)》中都对政务数据做了专门的要求,所以政府行业对数据安全的重视度很高。金融作为传统的安全领域先驱行业,数据安全方面也不出意外的走在前沿。

企业、教育在安全领域一直以来处于追赶的行列,从各项得分看,无论是普法知识、制度流程、资产管理还是安全防护,都低于平均得分。分析其中缘由,可能是因为这些行业缺少强制性的规范标准去推动用户去做数据安全,行业对高位的法律不敏感,整体缺少数据安全的行业环境。

 

七成客户对法规有所了解,

但深入研究的很少

2021年9月《数据安全法》正式实施,同年11月,《个人信息保护法》正式实施,数安法、个保法以及2017年实施的网安法,组成了国内网络空间治理和数据保护的“三驾马车”。《数据安全法》对数据安全相关定义、数据安全制度措施、义务责任提出了要求,尤其是政务数据安全方面有更详尽的内容。

本次调研从普法的角度做了调查,被调查用户中大部分对相关法律法规的发布有所了解,但是对于具体的内容和要求,对于更细的规标条例没有更深入的研究。从分数上看,政府、交通、能源、运营商四个行业无愧为合规大户,对于法规有着更深的了解(26分满分,四个行业均高于20分)。

普法知识维度的各分数段分布情况如下图所示:

图2:普法知识维度分数段分布情况

数据安全人才缺口大,数据安全制度需重视

无论是数据安全法还是关基条例,都要求数据安全治理要有专门的组织和人员负责,并定岗定责。在数据安全治理的过程中,成立专门的数据安全治理机构是首要条件,依据合法合规要求,结合企业自身的数据安全愿景和安全目标,结合数据安全制度建立的最佳实践,形成符合公司数据治理愿景的完整规章制度。

本次调研结果中,有专门的组织人员负责数据安全的客户占比71.9%,但是人员能力有待提高,有成熟的数据安全相关流程制度的客户占比41%。组织制度类总分22分,平均分仅14.7分,刚过及格线,显然各单位对于制度流程的建设需要更加重视。安全圈的老话——3分制度,7分管理,就能充分体现制度流程对于网络安全、数据安全的重要性。

制度流程维度的各分数段分布情况如下图所示:

图3:制度流程维度分数段分布情况

 

数据中心纷纷建立,

做分类分级的仅占一半

资产的无缝管理是数据安全建设的前提,厘清资产状况才能做到数据安全的全面管控。分类分级是数据安全开始的第一步,依据业务属性和数据自身属性进行分类,参考数据面临风险和可能产生的影响进行分级。核心资产安全优先,一般资产效率优先,分类明晰分级严谨,数据安全建设才能事半功倍。

本次调研发现,超过5成的单位数据年增量低于10TB,超过10PB的仅12.8%。参与调研的用户中认为自己对资产能做到无缝管理的用户占37.9%,大概了解的占46.9%,不了解的占15.15%。其实对于系统复杂、数据库众多的单位如高校、政府部门、医院等,想做到对数据资产的无缝管理是非常有难度、需要投入大量成本的。于是为了数据安全和业务数据的统一管理,众多单位纷纷建立数据中心、中台,这无论是对安全还是业务上都大有裨益。与此同时,为了数据的高效管理、安全保障以及合法合规,数据的分类分级也越来越被重视。本次调研单位中,68.18%的用户拥有统一管理的数据中心,其中做了清晰分类分级的仅占一半。

资产管理维度的各分数段分布情况如下图所示:

图4:资产管理维度分数段分布情况

 

安全能力孤岛现象严重,

统筹安全意识有待提高

无论是企业的安全方针,还是数据安全体系建设,都需要落实到具体的防护手段,如对数据的安全审计、对威胁行为的防护、对数据的加密脱敏等等。数据的采集、储存、处理、传输、交换、销毁等全阶段,都有可能成为数据泄露的缺口,对全生命周期各阶段做好安全防护,对企业的安全能力有着非常高的要求。

另外值得注意的是,产品的堆砌不能充分发挥安全产品的全部能量,避免数据安全产品各自为战成为安全孤岛,需要对它们进行集中管理和策略统筹,除了被动防御还要做好主动安全防护。对于基本的防护手段,做得比较完备的单位占42.4%,做了有效权限管控和行为审计的单位有65.9%,对敏感数据做了有效的脱敏和加密的单位有66.7%。

除技术手段外,对于员工的安全意识的培训也是至关重要。《数据安全法》和《网络数据安全管理条例(征求意见稿)》都对数据安全的培训提出了要求,而能够定期开展相关的数据安全意识培训的单位仅有40.9%。技术和管理,是支撑数据安全建设的两条腿,缺一不可。

安全行动维度的各分数段分布情况如下图所示:

图5:安全行动维度分数段分布情况

山石网科——数字世界的安全领航者

作为数字世界的安全领航者,山石网科提出了以“制度规范体系”、“技术防护体系”、“运营管理体系”为核心,“监督审计体系”和“应急响应体系”为支撑的数据安全治理五大体系架构

通过制度规范体系建设,指引企业在技术防护体系中的构建方向,也指引着运营管理体系中的组织建设和人员能力建设的方向;同时,运营管理体系的建立也确保了制度规范体系的落地执行,和技术防护体系发挥实际作用;而技术防护体系作为关键工具,为制度规范体系和运营管理体系提供了实际的工具抓手。

 

图6:山石网科以数据为中心的安全治理体系

 

山石网科数据安全治理平台(Data Security Governance Platform,简称DSGP)是一款为数据安全治理工作提供数据资产可视化、安全能力集中化、运营分析体系化、制度流程标准化的支撑平台,可全面梳理和盘点组织内数据资产,对数据全生命周期实施安全保障,集中化管理数据安全防控策略,有效监测数据使用、流转及共享过程中的安全态势及风险,为用户提供面向数据全生命周期及业务场景的数据安全治理解决方案。

 

图7:山石网科数据安全综合治理平台四大能力优势

山石网科立足于安全行业和实际需求两端,创见性的提炼了一套基于“一维到多维 混沌到有序”的数据安全治理体系方法论,目的是将复杂问题结构化,结构化的问题简单化。对正在发愁如何开展部署数据安全治理的企业和组织,提供一套完整的数据安全认知理论和关键落地路径。山石网科作为中国网络安全行业的技术创新领导厂商,将为您的安全竭尽全力!