1、Data securitySurvey 20222022 年数据安全行业调研报告Data securitySurvey 20222022 年数据安全行业调研报告本报告版权属于数据安全推进计划，并受法律保护。转载、摘编或利用其它方式使用本报告文字或者观点的，应注明“来源：数据安全推进计划”。违反上述声明者，编者将追究其相关法律责任。版权声明Data securitySurvey 20222022 年数据安全行业调研报告前 言数据作为新型生产要素，已成为我国数字经济发展的核心资源，也是国家重要资产和基础战略资源。作为数字经济健康发展的重要基石，其安全的重要性愈发突出，数据安全行业发展备受关注。为了

2、更好地洞察数据安全需求侧数据安全建设现状与面临的挑战，了解供应侧数据安全业务布局与产品服务技术形态，推进数据安全行业市场发展，洞察数据安全行业发展趋势，数据安全推进计划发起数据安全行业调研，旨在梳理数据安全行业建设现状，形成数据安全行业整体视图。Data securitySurvey 20222022 年数据安全行业调研报告摘 要本次调研报告通过问卷的方式分别对数据安全需求侧与供应侧的数据安全发展现状进行调研。根据本次调研结果，参与调研的需求侧企业均不同程度的开展了数据安全工作并制定了数据安全工作规划，供应侧厂商也认为数据安全市场前景非常广阔，并积极布局数据安全产品及服务。同时，本次调研也总结

3、了数据安全现状和行业发展趋势。从数据安全需求侧来说，建设多方联动的组织架构与以数据为中心的数据安全纵深防御技术体系是多数企业当前的工作焦点，长期来看如何培养复合型数据安全人才梯队、如何将安全工作贯穿于企业业务发展当中将是企业未来数据安全工作的重点。从数据安全供应侧来说，数据安全产品百花齐放，厂商百舸争流，技术产品与服务的突破创新将成为厂商破局争先的关键。面向数据安全合规及数据安全人员能力培训方面的产品及服务蓄势待发。综合来看，我国数据安全已迈入飞速发展的关键时期，需求侧数据安全投入占比持续走高，需求量上升，在给供应侧带来发展机遇的同时，也对数据安全服务质量与产品技术能力提出了更高的要求。基于对

4、数据安全供需双方的调研分析，本报告有以下发现：1Data securitySurvey 20222022 年数据安全行业调研报告“监管”、“内生”并驾齐驱，企业数据安全建设主观能动性提升01针对企业数据安全能力建设驱动力的调研发现（见图 1），89.9%的受访企业认为“合规需求”是开展数据安全能力建设的主要原因之一。可以看出，国家、行业、地方相继出台并完善的监管要求，为企业数据安全工作的开展指明了方向。与此同时，“防范数据安全风险”（79.8%）、“企业自身发展需要”（69.7%）也在受访企业中有较高占比。这表明随着数字经济的迅猛发展，数据安全在提高业务能力、提升发展水平方面的正向促进作用愈加

5、明显,企业数据安全建设的主观能动性也逐渐提升。未来，数据安全建设的驱动力也将逐渐由单一的合规监管驱动转变为“监管”与“内生”的双重驱动。另外，随着企业在数据安全建设方面的主观能动性提升，企业持续增加数据安全项目投入：根据本次调研结果，2022 年受访企业数据安全资金投入占信息科技总投入比重的平均值为 11.8%，相较于 2021 年 8.2%的平均值，上升趋势明显。图 1 数据安全需求侧数据安全建设驱动因素有效的数据安全体系建设是需求侧企业利用数据赋能业务的重要前提。基于对 109 家数据安全需求侧企业的调研分析发现：来源：数据安全推进计划Data securitySurvey 2022202

6、2 年数据安全行业调研报告2图 2 数据安全需求侧数据安全建设面临的痛难点同时，“数据与业务紧耦合，组织内部全流程协作拉通困难大”（48.6%）、“缺少专业的数据安全人才”（46.8%）、“数据安全体系建设并不完善，管理和技术措施易脱钩”（45.9%）也是企业面临的痛难点问题（见图 2）。强化“以数据为中心”的主动防护能力02企业在开展数据安全建设工作过程中存在各种各样的痛点和挑战。通过调研企业在数据安全建设方面面临的主要痛难点问题（见图 2），可以发现 51.4%的受访企业认为“内外部环境动态变化，安全状态持续保障难”是最大问题。这说明以网络和系统为中心的“堡垒式”传统安全防护手段已经难以抵

7、御数据流转过程中面临的安全风险。数据流转的任何一个环节出现漏洞都可能导致数据泄露，面对层出不穷的数据安全风险，超过半数的受访企业（见图 4）通过部署加密、脱敏等数据安全技术工具，直接对数据本体实施保护，主动出击风险隐患，有效开展持续、动态的数据安全防护。来源：数据安全推进计划3Data securitySurvey 20222022 年数据安全行业调研报告加快数据安全组织架构从“有型”到“有效”的升华03从调研结果可以看出（见图 3），98.2%的企业组建了专门的数据安全团队牵头管理数据安全工作，数据安全治理组织架构逐渐明晰。但由于数据与业务的密切相关性，企业内部开展数据安全管理工作仍存在挑战

8、，48.6%的受访企业表示“数据与业务紧耦合，组织内部全流程协作拉通困难大”（见图 2），制约了企业开展数据安全建设工作。在此背景下，企业应推动发挥业务部门的一线管理优势，强化内控、风险、法务等职能部门的支撑作用，优化多部门在数据安全管理方面的协作机制，有效提升企业数据安全管理的工作推进效率，推进数据安全工作联动落实。图 3 数据安全需求侧数据安全工作开展牵头部门来源：数据安全推进计划Data securitySurvey 20222022 年数据安全行业调研报告4以“识别”为中心，多措并举全面布局数据安全纵深防御体系04根据对企业数据安全技术的应用情况进行统计发现（见图 4），“数据防泄露工

9、具”（67.9%）、“统一身份认证及权限管理工具”（67.0%）、“数据分类分级工具”（56.9%）在企业的应用较为广泛。从技术角度来说，数据分类分级能够帮助企业识别数据，统一身份认证及权限管理工具能帮助企业识别人员角色，数据防泄露工具则帮助企业进行识别之后的安全防护。可以看出，“识别”是数据保护的前提与基石，越来越多的企业开始以“识别”为中心，构建主动识别、提前预防、准确发现、及时响应的数据安全技术能力，推动数据安全防护工作的左移。图 4 数据安全需求侧数据安全工具技术应用情况来源：数据安全推进计划5Data securitySurvey 20222022 年数据安全行业调研报告来源：数据安

10、全推进计划图 5 数据安全需求侧数据安全技术产品应用数量同时在调研中发现（见图 5），85.3%的受访企业通过应用两种及以上技术工具落实管理要求。其中22.0%的受访企业“应用技术产品 2-4 项”，44.0%的受访企业“应用技术产品 5-8 项”，19.3%的“应用技术产品 8 项以上”。这表明多维度的数据安全技术能力，是企业数据安全战略及数据安全治理体系有效落实的助推剂。企业数据安全能力建设重心也从过去的单点技术部署逐渐走向环环相扣、协同联动的数据安全纵深防御体系布局。Data securitySurvey 20222022 年数据安全行业调研报告6通过调研发现（见图 6），99.1%的受

11、访企业已经开展了数据安全治理的相关工作。其中，数据分类分级作为数据安全工作的基础内容，在 76.2%的受访企业中率先落地。同时，在已开展数据分类分级工作的83 家企业中，74.7%的企业选择部署数据分类分级工具协助推动此项工作的开展。受需求侧市场引导，供应侧分类分级工具市场景气度也将持续高涨。图 6 数据安全需求侧数据安全工作开展情况数据分类分级在数据安全治理中率先落地05来源：数据安全推进计划7Data securitySurvey 20222022 年数据安全行业调研报告数据安全治理工作进入高速发展阶段06本次调研对企业在不同维度的数据安全工作开展情况进行了统计（见图 6）。其中，55.1

12、%的受访企业部署了数据安全技术产品，53.2%的受访企业开展了合规管理，52.3%的受访企业编制了数据安全相关制度。同时通过统计发现（见图 7），91.8%的受访企业开展了 2 项及以上的数据安全工作，并有 65.2%的受访企业开展了 4 项以上数据安全工作。由此看出，围绕组织建设、制度流程、技术工具、人员能力开展的多维度、多元化数据安全治理能力建设正在高速发展、有力推进。图 7 数据安全需求侧数据安全工作开展数量来源：数据安全推进计划Data securitySurvey 20222022 年数据安全行业调研报告8人才培养与合规管理仍然是未来一年的重点工作内容07为了提升数据安全工作质量，解

13、决 46.8%的受访企业面临的“缺少专业的数据安全人才”问题（见图 2），62.4%的受访企业认为“开展数据安全人员能力培训”是未来一年的首要工作（见图 8）。数据安全工作的顺利开展需要执行人员具备数据安全、数据治理、法律合规等领域的综合知识。然而，当前数据安全从业人员多由信息安全或网络安全人员转化而来，如何强化数据安全人才培养机制，打造专业化、复合型的数据安全人才梯队是多数企业未来常态化的工作重点。另一方面，60.6%的受访企业认为在已有的数据安全合规基础上，未来一年应继续“推进数据安全合规管理工作”。数据安全合规作为企业经营管理的底线，是企业数据安全建设的长期任务，理应贯穿于业务发展与经营

14、管理的各项工作中。除此之外，企业也将“编制数据安全相关制度文件”（57.8%）、“开发/采购并部署数据安全技术工具”（52.3%）、“盘点数据资源，开展数据分类分级工作”（45.0%）列为 2023 年的数据安全重点工作任务。图 8 数据安全需求侧未来一年数据安全重点工作任务来源：数据安全推进计划9Data securitySurvey 20222022 年数据安全行业调研报告重要数据识别、数据安全风险评估等工作备受关注08通过调研企业在落实数据安全监管要求方面的焦点问题（见图 9），可以发现“重要数据、核心数据等的识别与保护”（63.3%）、“数据安全风险评估实践操作”（48.6%）备受关注

15、。除此之外，“数据分类分级的落地指引”（43.1%）、“个人信息主体权益（如删除权、可携权）的保护如何响应”（40.4%）、“数据跨境合规的实践操作”（28.4%）也是企业落实数据安全监管要求过程中面临的主要挑战。图 9 数据安全需求侧落实数据安全监管要求的焦点问题来源：数据安全推进计划Data securitySurvey 20222022 年数据安全行业调研报告10数据安全供应侧企业百舸争流，呈现三大梯队09根据数据安全供应侧企业近三年的经营发展、产品及服务分布、市场表现、客户案例、第三方评测等方面信息，本次调研将数据安全供应侧企业分为三大主要类型（见图 10）：稳健型（26.7%）、全面

16、型（43.1%）、专精型（18.1%）。稳健型厂商企业致力于提供全方位多样化的产品与解决方案。一方面在单个技术领域具备多款产品服务，能满足客户的多样化需求，另一方面其产品与服务的覆盖面相对广阔。全面型厂商企业聚焦系统化、一站式的数据安全产品及服务理念。该类型的企业除了服务覆盖面广，更注重与客户的深度磨合，能够通过“产品+服务”的一站式交付能力持续赋能客户。专精型厂商企业深耕数据流通安全领域，其产品与服务集中于以隐私计算、区块链等为代表的数据流通领域，持续打造领域的纵深竞争力。图 10 数据安全供应侧厂商画像数据安全技术是数据安全厂商立足之本，产品与服务的持续创新是厂商发展之阶。针对需求侧数据安

17、全建设面临的困境、挑战，数据安全供应侧应对情况如何？本报告针对 116 家供应侧厂商的488 款产品与服务展开调研，在形成数据安全产品与服务图谱 2.0的同时，有以下几点发现1 。本报告将沿用数据安全产品与服务图谱 2.0中的描述，将调研的产品与服务分为数据安全通用类产品、数据安全综合类产品、数据安全合规类服务、数据安全能力提升类服务四大板块。1来源：数据安全推进计划11Data securitySurvey 20222022 年数据安全行业调研报告数据安全产品领域百花齐放，有力支撑数据安全建设需求10数据安全技术围绕数据在全生命周期中的安全需求，通过对数据的识别、标记、变形、计算等操作，保护

18、数据的持续安全状态。本次调研发现（见图 11），数据安全产品广泛分布在数据资产识别、数据风险检测、数据安全防护、数据安全监测、数据共享流通安全领域。需求侧企业可以通过应用、组合一种或多种数据安全技术的方式，实现“以数据为中心”的识别、检测、防护、监测等技术能力。图 11 数据安全供应侧数据安全产品分布来源：数据安全推进计划Data securitySurvey 20222022 年数据安全行业调研报告12安全合规、体系建设、分类分级成为数据安全服务布局热点11由于数据与业务的深度耦合，仅通过把相关产品和平台部署在需求侧网络内的交付已不能满足当前数据安全建设需求，深入业务场景提供数据安全服务已成

19、为必然发展趋势。本次调研显示，35.3%的厂商已经布局了数据安全服务业务，受需求侧市场引导，供应侧的主要服务内容集中在“数据安全合规咨询服务”（20%）、“数据安全合规评估服务”（18%）、“数据安全管理制度体系建设服务”（15%）、“数据分类分级服务”（15%）等方面（见图 12）。其中，数据安全合规评估或咨询服务，主要是通过分析需求侧企业在数据安全发展战略与安全能力等方面与国家、行业、地方相关监管要求的差距，评估企业数据安全合规现状，提供覆盖数据跨境合规、隐私合规管理、数据安全风险检测等重点领域的“全栈式”数据安全合规服务，协助需求侧企业强化数据安全保护与合规管理能力。图 12 数据安全供

20、应侧数据安全服务分布占比来源：数据安全推进计划13Data securitySurvey 20222022 年数据安全行业调研报告数据分类分级产品技术及配套服务持续升级数据防泄露成为安全防护领域的重点产品1213各行业领域加快推进数据分类分级保护工作，然而由于企业多种格式的数据分布于众多数据源，嵌套于复杂业务场景，亟需依托自动化的产品工具推进数据分类分级工作开展，这直接推动了供应侧数据分类分级产品的技术创新及配套服务的持续升级。本次调研发现，有 35.3%的厂商研发了数据分类分级产品工具。部分厂商还将数据分类分级产品与机器学习等技术相结合，通过建立数据分类分级机器学习引擎，形成标注样本，并通过

21、持续训练提升数据分类分级产品工具的准确性与效率。同时，数据分类分级因与外部法律法规、内部业务活动的强耦合属性，其产品工具逐渐“服务化”，现已成为独立的数据安全服务品类。据本次调研，13.2%的受访厂商开展了独立的数据分类分级服务，基于相关的咨询经验，辅以自动化数据分类分级产品工具，通过“平台+服务”的一体化解决方案，打通业务、系统壁垒，优化企业数据管理生态，提升数据安全协同能力。IBM 发布的2022 年数据泄露成本报告显示，2022 年全球数据泄露平均成本高达 435 万美元，创下该年度报告发布 17 年以来的最高纪录，数据防泄露的重要性日益凸显。根据对数据安全需求侧调研数据显示（见图 4）

22、，67.9%的受访企业部署了数据防泄露产品，数据防泄露产品市场需求持续走强。另一方面，供应侧有 22.4%的厂商提供超过 30 款的数据防泄露产品及解决方案，产品形态包括邮件数据防泄露、网络数据防泄露、终端数据防泄露，并广泛应用于金融、电信运营商、政务、医疗等重点行业领域企业，市场竞争激烈。此外，部分厂商在数据防泄露产品的基础上，通过将企业的终端、邮件、云、网络数据及其安全防护策略在统一平台进行集中化管理，建立以数据资产为中心、异常行为检测为驱动、全网监控审计为保障的企业级解决方案，实现数据防泄露产品及解决方案对企业 IT 架构的全面覆盖，为企业提供更高的数据资产能见度、安全控制力。Data

23、securitySurvey 20222022 年数据安全行业调研报告14数据安全合规检测工具是“蓝海”市场14多部门、多角度、高密度的监管合规要求使常规的重人工的合规实践难以达到预期的响应效率，自动化的数据安全合规检测需求应运而生。目前，数据安全合规检测工具依托合规知识库，通过深度内容识别与 AI检测等技术，在隐私合规管理、数据跨境或跨组织流动及风险评估、异常行为检测等场景中持续提供检测与分析能力。据供应侧调研数据显示，受限于国内外监管合规体系庞杂、自动化检测维度与精度有待提升，目前仅有18.1%的厂商向企业提供数据安全合规检测工具。对比 60.6%的需求侧受访企业将“推进数据安全合规管理工

24、作”作为未来一年工作重点（见图 8），自动化检测工具将成为供应侧角逐的新领域。图 13 数据安全需求侧引入第三方数据安全人员能力培训意愿数据安全培训服务市场成长空间较大15根据本次针对供应侧的调研，仅有 6.9%的受访企业提供数据安全培训服务。对比需求侧 62.4%的受访企业将“开展数据安全培训”列为未来一年的重点数据安全工作（见图 8），68.8%的受访企业计划“引入第三方数据安全培训”为数据安全从业人员赋能（见图 13），可以看出，在数据安全复合型人才培育的高需求下，数据安全培训服务存在较大空白，成长空间较大，数据安全人才仍存在“供不应求”的发展痛点。来源：数据安全推进计划15Data s

25、ecuritySurvey 20222022 年数据安全行业调研报告第三方评测助力厂商创造新优势16调研显示，32 家厂商主动参与过数据安全产品与服务相关的评测。绝大多数参与过第三方评测的厂商在市场表现上相对亮眼，在近三年内实现过单年营收破亿，具备产品及服务品类丰富、行业应用范围广泛等特点，参与过评测的产品或服务在厂商整体营收上的表现也相对突出。Data securitySurvey 20222022 年数据安全行业调研报告16附录本次调研共收回供需双方 225 份有效问卷样本，其中：数据安全需求侧共回收 109 份有效的问卷样本，覆盖了不同行业、不同人员规模以及不同数据规模 的不同企业；数据

26、安全供应侧共回收 116 份有效的问卷样本，覆盖了不同产品规模、不同产品领域的不同企业。具体来说，本次数据安全需求侧调研的受访者来自汽车、金融、电信运营商、互联网等行业，调研范围具有广泛性（见图 14）。本次数据安全需求侧调研从员工数量（见图 15）和数据安全团队人员规模（见图 16）两个方面对受访企业人员规模进行统计，从数据量级方面（见图 17）对受访企业数据规模进行统计，调研样本较为全面。本次数据安全供应侧调研共回收 116 份有效样本，覆盖了 116 家企业的 488 款数据安全产品及服务。其中，提供数据安全服务的企业 41 家。调研的数据安全产品工具合计 388 款，数据安全服务合计

27、100 项，调研样本较为全面（见图 18）。图 14 数据安全需求侧受访企业行业分布来源：数据安全推进计划17Data securitySurvey 20222022 年数据安全行业调研报告图 15 数据安全需求侧企业员工数量分布图 16 数据安全需求侧企业数据安全人员规模分布图 17 数据安全需求侧企业数据量级分布来源：数据安全推进计划来源：数据安全推进计划来源：数据安全推进计划Data securitySurvey 20222022 年数据安全行业调研报告18图 18 数据安全产品及服务分布来源：数据安全推进计划19Data securitySurvey 20222022 年数据安全行业调研报告