企业数据安全治理调研报告--数据治理，安全先行

随着全球数字经济的快速展，我国已进入大数据时代，对数据要素掌控和利用能力，已成为衡量国家之间竞争力的核心要素。在新华社公布的《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》中，“网络安全”一词文中出现了14次，“数据安全”出现了5次，“数据要素”出现了4次，网络安全、数据安全已成为国家、社会发展面临的重要议题。

御数坊与奇安信、爱分析一起发布了《企业数据安全治理调研》，意为深入了解现在企业在数字化转型的大背景下，是如何看待和利用数据安全制度和规范的，同时通过调研了解现在企业数据安全建设及管理面临的挑战和难点。

从报告整体的调查结果来看，越来越多的企业开始重视数据安全及个人信息保护，说明了数据安全法的发布产生的影响力非常大。数据安全与数据治理正在快速融合，很多的企业在进行企业级数据治理的时候都把数据安全的治理作为数据治理的一个非常重要的组成部分。在政策的推动下大部分企业已经明确了数据安全组织架构的职责和定义，并且设置了数据安全的管理运营岗位，统筹数据安全建设的管理运行和建设规划工作，按照数据安全法的要求和行业规范进行了基础的分类分级相关工作，制定了分类分级的标准和规范。但是如何将分类分级的工作与数据安全管控的要求结合起来形成数据安全的统一管控策略目前还是很多企业有待解决的一个难题。再来看数据安全技术工具的使用和关注。更多企业停留在数据库安全和终端数据防泄漏层面，这两个方面也是大多数企业在做数据安全技术工具采购或者部署时优先考虑的防护手段，同时这也体现了企业在针对结构化数据和非结构化数据的安全管控方面的主要抓手。数据安全治理工作是数据安全建设的先行条件已经成了大家的共识，但是数据安全治理如何开展、如何执行、如何落地成为大多数企业在做数据安全治理时都会面临的难题，一部分是由安全团队自行研究后开展工作，一部分希望由外部专业服务机构介入帮助企业进行数据安全治理工作。企业都希望能引入高效智能化的数据安全治理工具帮助企业解决数据安全治理过程中亟待解决的资产管理、分类分级、权限管控、统一策略等几方面的难题。

御数坊在数据治理领域深耕多年，归纳总结了宝贵的数据治理、数据安全治理解决方案经验。并结合御数坊自主研发的DGOffice数据治理办公室产品，为客户带来咨询+产品的一体化数据安全治理解决方案。

DGOffice数据安全中心的突出优势在于，利用先进的智能化引擎AI-DG的支撑下，基于我们对于法律法规深度解读形成的行业安全词库，可对企业内的数据资产进行智能化的安全等级判定工作，一个小时内可完成企业200W+数据资产的安全等级判定，定级效率大幅提升。

3款 数据安全产品：资产中心、安全中心、认责中心。6项 咨询服务：安全规划、安全评估、分类分级、资产梳理、制度建设、策略定制。一体化 数据安全解决方案：咨询+软件产品。凭借，强大功能和出色的测评表现，御数坊DGOffice数据安全中心，各项评测指标均为全部合格，也成为本次评测软件中唯一的“大满贯”通关产品！

完整的《企业数据安全治理调研》报告如下：

报告目录Report Contents

1、数据安全调研基本背景及覆盖人群特征

2、企业数据安全治理环境及现状

3、企业数据安全治理进程及数据安全普及程度

4、企业数据安全治理工作的实施及工具选取使用

PART1.数据安全调研基本背景及覆盖人群特征我们认为：现代企业越来越重视数据安全的重要性，从调研的整体上看，更多的二线、三线城市也都纷纷加入到了数据化转型的队伍中来。企业面对数据治理或是数据安全治理等工作都回归务实，以实现数据价值为最终的目的，也是一切数据安全治理工作行动的指南。

我们对所有4053份调查问卷的地域来源进行统计分析，本次调研问卷地域分布前五名的是: 广东，河南，山东，江苏，江西。

PART2.企业数据安全治理环境及现状

1.您所在单位的性质？

关键词：国企、民企

本次调研主要集中在国有企业和民营企业。政府和外资企业关注度较低。

2.您是否完全了解跟您单位相关的数据安全方面的相关法律法规的监管要求？

关键词：普及性高

参与调研的大部分用户都对数据安全相关的法律法规有所了解，可见数据安全相关法律法规的普及性相当高。

3.您所在单位由哪个部门牵头负责数据安全工作？

关键词：信息化部门的新挑战

大部分企业都已经设立了信息化部门，同时数据安全相关任务也归属于信息化部门下的独立数据部门或安全部门，目前建立独立于信息化部门的数据部门的企业数量还不多，数据工作仍在信息化工作统筹。

企业信息化建设是个持续的过程，是伴随着企业的发展持续终身的。信息部门就是将各方串在一起的关键连接线，其对信息化的建设成效起着极大的影响和作用。随着企业信息化的深入，信息的重要性愈加凸显，信息部门的地位也会日趋重要起来，逐步由被动支撑向主动支撑转变，由生产支撑向管理支撑提升进行演变，逐步成为企业信息中心数据中心，乃至成为企业决策支持中心。随着数字化转型的进程，关于数据安全方面的工作也对现代企业的信息化部门提出了更新的挑战。

4.您的单位数据安全重大事项由谁决策？

关键词：专职专干

大部分企业为了能够顺利开展数字化转型工作，都积极建立了信息化部门或是数据团队，相关数据工作也都有具体的专职部门执行，数据安全相关决策者也会由专业专职人员负责。

5.在《数据安全法》及《个人信息保护法》颁布实施后，您的单位是否会依据《数据安全法》《个人信息保护法》的要求加强数据安全方面的建设？

关键词：响应积极，投入建设

大部分企业已经开始开展数据安全相关的建设，同时部分企业也计划开展相关建设项目。可以看出企业对于数据安全重视程度很高，大部分企业响应积极，并开始投入数据安全相关建设项目。

我们认为：调研第一部分主要针对企业数据安全治理环境及现状的内容进行调研问题设置。可以看出大部分企业都已经建立了数据安全专职团队，相关工作也逐渐规范化、专业化，将数据安全放在了企业数据治理的重要位置，同时也积极响应国家出台的相关“数据安全法律法规”，切实完善企业数据安全团队建设，制度建设，体系建设。数据安全相关法律法规的颁布也加快了企业对于数据安全体系建设的步伐。PART3.企业数据安全治理进程及数据安全普及程度

6.您的单位是否明确了数据安全的组织架构，比如决策层、管理层的相关角色及岗位职责？

关键词：建立团队，岗位细分

更多的企业明确了数据安全组织架构内的角色，数据安全治理相关工作正在逐步细化。企业也注重明确数据安全组织架构中的各个岗位的职责。

7.您的单位是否设立了数据安全管理岗位进行数据安全的日常管理运营工作，并明确了该岗位的角色及岗位职责？

关键词：明确职能，加强管理

大部分企业已经将数据安全管理工作实践落地，建立专门的数据安全管理团队，明确团队中数据安全负责人的岗位职责。企业面对数据安全建设普遍表现出积极态度，高效完成相关工作以及体系建设，对数据安全工作重视程度很高。

8.您所在单位是否制定了数据安全管理制度，比如《数据安全管理办法》《敏感数据操作规范》等相关数据安全的制度及规范？

关键词：制定规范，有效管控

企业内部多数已经制定了适用于本企业数据安全相应的规范及办法，也是对国家层面“数安法”的快速相应，可以看出大部分企业已经开始落实数据安全建设工作。

9.您所在单位是否开展了数据分类分级的相关工作？

关键词：付诸实践，保障安全

已经开展了数据分类分级的企业居多，对于数据安全重要性，大部分企业都已经有所意识，并已经开展完成了数据分类分级的数据安全保障工作。

10.您所在单位是否对敏感数据进行梳理识别，并建立敏感数据资产清单或者重要资产目录？

关键词：建立护盾，守护资产

现代企业对于数据资产认识程度逐步提高，在数字化转型的大背景下，企业都会尤为注意自己数据的安全性以及数据价值的体现，所以大部分企业也会积极的开展对敏感数据的梳理以及建立敏感数据资产清单，为企业发展建立坚固的护盾，守住自身的数据资产，同时发挥数据价值，顺利完成数字化转型任务。

11.您所在单位在与第三方进行合作时，在数据安全方面是如何管理的？

关键词：更多的数据安全管理方式

企业间合作不断加强与发展，传统的保密协议以及上岗前的数据安全规范培训方式，仍然会被部分企业使用，通过规范条款以及法律约束将企业数据安全保护起来。当然也有大部分企业会采用数据安全工具来对企业数据资产进行自动化、智能化的监管与保护，并且应用软件方式加大数据保护的方式也逐渐得到更多企业的信任与青睐。由于企业间合作越来越频繁，涉及到的业务越来越广泛，对于限制访问权限来硬性把控数据流通的方式逐渐被企业摒弃，比例越来越小，企业也都更希望在互通有无的基础上实现更大的数据价值。

我们认为：第二部分主要针对数据安全进程与数据安全治理普及程度进行调研。结果显示企业对数据安全意识提高，建设数据安全体系决心加强，基础的数据安全建设已经在大部分企业中开始实施。在日益紧密的企业间合作中，保障企业数据安全互通有无，发挥数据价值最大化成为了现代企业追求的目标，数据安全体系的建设，也是数字化转型成功的重要基石。PART4.企业数据安全治理工作的实施及工具选取使用

12.您所在单位用到了哪些数据安全技术工具？

关键词：防护革新，传统仍在

企业应用的数据安全技术工具最多的为数据库审计工具，在当下数据库审计作为目前用户接受度最高，使用最为广泛的数据安全产品，有其突出的优势，但如果只是单纯的具有日志记录和审计功能已经不能完全满足用户的需求，其功能必须得到进一步的扩展。传统的防火墙以及防泄漏工具仍然占有主要地位，其他安全工具的认识程度不高，有很大的宣传与普及空间。

13.您所在单位的数据安全方面的防护技术水平能力处于什么样的水平？

关键词：防护水平自信满满

参与调研的企业大部分具备了完善的安全防护能力，企业对自身数据安全建设都比较有信心。但企业是否真的有充分的数据安全防护能力还要具体看企业实际建设情况。

14.您所在单位是如何开展或者计划如何开展数据安全治理工作的？

关键词：数据治理，先从内部开展

现阶段数据安全治理工作主要是内部团队开展，当然也有不少的企业愿意让专业的外部公司来协助开展相关工作。整体来看企业面对数据安全治理或是数据治理工作的现状是采用“内外”结合的方式来完成相关工作的。

15.您认为您的单位在数据安全治理方面的挑战有哪些？

关键词：数据安全人才缺口大

大部分企业面临的挑战集中在数据资产梳理和数据安全人才引进上，没有明确的敏感数据清单，导致企业内部团队在数据资产的梳理工作上压力比较大。数据人才缺口越发显著，数据人才继续补充。其次，企业中如何制定更加完善的数据安全管理制度及制度流程也是相对比较棘手的问题。

16.您所在单位在数据安全治理领域最希望得到怎么样的服务？

其他选项中包括：培训

关键词：希望赋能但仍有顾虑

大部分企业仍然希望通过专业的外部公司来为企业指明方向，并带领企业顺利开展数据安全治理工作，推动数据安全体系建设。企业苦于没有专业对口人才，面对数据安全治理工作无从下手。但外部公司是否会对企业内部数据存在威胁是需要关注的问题。能够提出保证数据安全的前提下为企业构建更为安全的数据体系才是数据治理服务提供商应该考虑的问题。

17.您更希望通过哪种方式解决数据安全问题？

其他选项中包括：没有安全问题需要解决

关键词：专业公司备受青睐

面对解决核心问题和全面排查问题的需求，企业更愿意交给专业数据治理公司来提供服务。也有很大一部分企业基于对自由数据安全的顾虑，仍然会选择让自己的数据团队来解决数据安全问题。所以，如何提供更加安全的服务模式是专业数据治理公司应该亟待解决的问题。

18.您认为所在单位数据安全领域当前最紧迫需要开展的工作是？

其他选项中包括：没有可开展的工作

关键词：没有方向感

面对数据安全治理工作，大部分企业缺乏方向感，实际应用阶段由于没有专业的指导，工作体系化不强，导致数据安全建设漏洞百出，进程缓慢，专职人员热情减退，得不到领导支持。面对以上问题企业更急迫能够得到专业赋能，贴合国家层面法律法规，完善数据安全制度规范，建立健全数据安全管理体系。

19.您认为数据安全最适合切入的应用场景是？

其他选项中没有包括内容

关键词：数据对外谨小慎微

总体来看企业对于涉外的数据都会谨慎小心，数据安全的切入点也正是这些对外流动的数据，企业更关注对于数据流动过程中的安全程度，也更希望数据安全体系在这些对外的数据活动中提供保护。

20.您所在单位是否希望通过工具来完成数据安全治理工作？

关键词：工欲善其事必先利其器

针对数据安全治理工作，企业普遍希望通过工具来解决问题，同时大部分企业已经购置了数据安全相关的工具。

21.您所在单位在选择数据安全技术工具的时候会考虑什么因素？

其他选项中包括：得到业内认可

关键词：口碑是王道

企业选择工具最为看重的是业内口碑，其次关注于技术先进性，作为软件产品行业口碑是最能够吸引和打动客户的关键因素。

调研第三部分主要针对数据安全实施及数据安全治理工具进行调研。可以看出企业对于数据安全方面更希望通过工具来完成，并且大部分企业已经购置了数据安全相关的工具。同时也能看出企业在数据安全治理中纠结的部分，虽然很希望通过专业数据公司的专业团队来完成数据安全建设工作，但有对涉外数据抱有顾虑心态。所以如何提供更具安全可靠的数据安全治理服务就成为了专业数据公司需要优化的问题。数据治理人才缺口越发显著，企业内部数据团队缺乏专业人员，如何快速培养数据人才，解决数据治理人才缺口问题也尤为突出。