2023企业网络安全能力调查报告 前言 新冠疫情爆发加速了全社会数字化转型进程，远程办公、在线教育、网上直播等行业高速发展。随着数字经济时代到来，云计算、大数据、物联网 等新兴技术在各行业深度应用，各行业在生产方式、商业模式、管理方式等方面发生深刻变革。 网络安全事关国家安全、社会安全，信创风口、个人信息保护以及等保2.0等政策发布奠定了网络安全行业发展基石。而在数字化转型趋势下，政企业务模式发生变化，网络安全风险呈现多样化、复杂化、难预测化的趋势，也导致网络安全行业需要探索新的业务增长点。 因此，安在新榜立足行业现状，研究环境变化对企业网络安全建设的影响。研究企业如何应对快速变化的互联网内外部环境，从而发现企业网络安全的未来建设趋势和新理念，新架构，新方法。 本报告仅反应当前企业网络安全的发展情况，为关注中国网络安全产业发展的读者提供参考。 目录一、调查概况二、调查发现三、小结 本报告由安在新榜出品，未经授权，禁止转载问卷样本概况n本次调研，总浏览量1,563人次，获得反馈样本1,149份，平均答题时长5分29秒；反馈样本涉及全国30个省市自治区，其中东部沿海地区获得样本较多；n主要的答题设备为移动设备，其中安卓和IOS系统占比较高。操作系统分布地域分布设备分布 本报告由安在新榜出品，未经授权，禁止转载被调查单位分布情况n本次调查，反馈的样本中，金融、互联网、政府、智能制造、教育等行业样本量较多；n涉及的被调研企业中，1000人以上的大型企业占比29.85%；300人-1000人之间的中型企业占比28.29%；300人以下的小型企业占比为41.86%；n被调查企业的类型中，国资企业占比23.24%、外资企业12.71%、民营企业35.42%、个体企业21.24%、政府\社会机构的占比为7.40%；n在被调查的对象中，17.84%的是从事CIO、CTO、CSO、CISO、DPO等职能的网络安全高级岗位人员，33.33%的是从事主管、审计、风控、合规、项目经理等职能的网络安全中级岗位人员；42.56%的是从事工程师、安全专员、程序员等职能的网络安全初级岗位人员。企业规模行业分布大型企业, 29.85%中型企业, 28.29%小微企业, 41.86%企业类型国资企业, 23.24%外资企业, 12.71%民营企业, 35.42%个体企业, 21.24%政府/社会机构, 7.40%岗位分布高级安全岗位, 17.84%中级安全岗位, 33.33%初级安全岗位, 42.56%其他, 6.27% 目录一、调查概况二、调查发现三、小结 本报告由安在新榜出品，未经授权，禁止转载企业安全部门画像n调查显示，企业安全部门人员10人以下的占比较高，总计达到60.49%；安全部门的成立时间相对比较均衡，5年以下的占40.81%，5-10年的占37.94%；10年以上的占比21.24%n单位的安全部门向董事长或董事会汇报的占比8.79%，向CEO或总经理汇报的占比11.84%，向副总裁或VP汇报的占比8.62%，向CIO或CTO汇报的占比12.97%，而向行政、人事或财务汇报的占比22.54%，向风控、审计或合规汇报的占比17.15%,向安保部汇报的占比15.93%。董事长或董事会, 8.79%CEO或总经理, 11.84%副总裁或VP, 8.62%CIO或CTO, 12.97%行政、人事或财务部负责人, 22.54%风控、审计或合规部负责人, 17.15%安保部负责人, 15.93%其他, 2.18%汇报对象1-3年, 20.71%3-5年, 20.10%5-8年, 21.58%8-10年, 16.36%10-15年, 7.05%15年以上, 14.19%部门成立时长0人, 3.57%1-3人, 18.28%3-5人, 14.62%5-8人, 14.10%8-10人, 13.49%10-20人, 12.97%20-30人, 7.22%30-50人, 4.96%50-100人, 4.53%100人以上, 6.27%部门人员数量 本报告由安在新榜出品，未经授权，禁止转载行业安全部门画像n调查显示，小型企业安全部门人员的中位数是3-5人；中型企业安全部门人员的中位数是8-10人；大型企业安全部门人员的中位数是10-20人；n在行业比较中，政府、金融、互联网、智能制造、智能网联/车联网等行业安全部门人员较多。各行业安全人员数量分布不同规模企业安全人员数量0100200300400500600大型企业中型企业小微企业100人以上50-100人30-50人20-30人10-20人8-10人5-8人3-5人1-3人0人企业类型中位数大型企业10-20人中型企业8-10人小型企业3-5人0%10%20%30%40%50%60%70%80%90%100%政府金融互联网智能制造智能网联/车联网医疗交通/物流贸易建筑地产教育100人以上50-100人30-50人20-30人10-20人8-10人5-8人3-5人1-3人0人 本报告由安在新榜出品，未经授权，禁止转载企业安全挑战n调查显示，安全部门比较关注来自决策层的要求，其中突发安全事件的应急处置和数字化转型是当下主要面临的挑战；n而安全部门自身最关注的价值，主要表现在满足监管要求、重要节点的安全保证工作零事故以及防御了多少安全攻击等方面；n不同行业在关注安全部门价值上略有不同，政府、金融等行业比较关注大领导的肯定；互联网、智能网联/车联网、地产、建筑等行业主要关注满足监管要求安全部门关注的价值来自决策层的挑战33.68%26.02%25.85%23.76%22.98%20.02%19.84%13.66%0.61%突发安全事件的应急处置数字化转型决策层要求太高与有限资金投入的挑战外部红头文件的处罚上市的合规要求开发安全隐私保护寻找合适解决方案集成的挑战其他35.42%30.64%28.98%26.46%20.63%17.75%17.41%15.49%10.10%9.40%7.75%0.70%满足监管要求重要节点的安全保证工作零事故防御了多少网络安全攻击发现了多少漏洞量化风险处置结果有效性度量与管理评审安全感打造各部门满意度大领导的肯定重复问题发生率平均事件处理时间其他0%10%20%30%40%50%60%70%80%90%100%政府金融互联网智能制造智能网联/车联网医疗交通/物流贸易建筑地产教育重复问题发生率平均事件处理时间大领导的肯定各部门满意度安全感打造有效性度量与管理评审量化风险处置结果满足监管要求不同行业主要挑战的差异 本报告由安在新榜出品，未经授权，禁止转载沟通与协作的挑战n调查显示，企业安全部门在日常工作中主要协作的部门包括运维部门、数据部门、风控部门等；其中比较难沟通与协作的部门包括审计部门、支持部门、营销部门等；n为因对这种沟通的挑战，大家 认为最有效的方式还是加强安全意识和文化建设，以获得相关部门的理解。沟通难度较高的部门安全主要的协作部门提高安全部门能力的方法 本报告由安在新榜出品，未经授权，禁止转载企业安全能力自评n在对企业网络安全危害的调查中，公司核心商业机密泄露被认为是公司网络安全的最大危害；n在对自身安全能力的自评中，11.31%企业认为当前安全建设仍然空白；27.15%的企业认为自身以局部建立了安全体系；29.68%的企业认为自身已经建设了完备的安全体系；另外有24.63%的企业认为自身已建立较成熟的安全免疫力；7.22%的企业开始将自身的安全能力外溢，向外提供安全服务。网络安全对公司最大的危害企业安全能力自评基本空白, 11.31%局部建立安全体系, 27.15%完备的安全体系, 29.68%较成熟的安全免疫力, 24.63%安全能力外溢, 7.22% 本报告由安在新榜出品，未经授权，禁止转载0%10%20%30%40%50%60%70%80%90%100%政府金融互联网智能制造智能网联/车联网医疗交通/物流贸易建筑地产教育其他安全能力外溢较成熟的安全免疫力完备的安全体系局部建立安全体系基本空白各行业安全水平自评情况企业安全能力自评n我们将安全能力的5个级别转换成量化的数值进行分析，基本空白=1分；局部建立安全体系=2分；完备的安全体系=3分；较成熟的安全免疫力=4分；安全能力外溢=5分；加权分析对各行业安全水平进行比较，得出智能网联/车联网、互联网、政府、金融等行业安全能力相对成熟。行业安全水平政府3.01 金融2.96 互联网3.12 智能制造2.89 智能网联/车联网3.39 医疗2.33 交通/物流2.58 贸易2.48 建筑2.50 地产2.88 教育2.74 本报告由安在新榜出品，未经授权，禁止转载各行业安全水平自评情况行业安全能力自评n我们将安全能力分为业务风险控制、数据安全治理、安全运营管理、端点安全、应用开发安全、边界安全等6个维度进行分析，发现政府在安全运营管理和端点保护领域相对短板；互联网企业在端点保护上相对是短板；智能制造企业在业务风险控制、数据安全治理、端点保护、边界保护上都相对较弱；智能网联/车联网企业在业务风险控制、端点保护上相对较弱；医疗、交通/物流、贸易、建设、地产、教育等行业，总体安全建设在各方面仍然存在较大缺失。业务风险控制数据安全治理安全运营管理端点保护应用开发安全边界保护政府3.00 3.04 2.97 2.94 3.06 3.10 金融3.23 3.15 3.17 3.23 3.23 3.10 互联网3.07 3.09 3.05 2.93 3.04 3.03 智能制造2.92 2.96 3.00 2.98 3.15 2.86 智能网联/车联网2.94 3.06 3.12 2.94 3.09 3.24 医疗2.63 2.70 2.56 2.78 2.48 2.37 交通/物流2.89 2.82 2.73 2.91 2.71 2.58 贸易2.40 2.10 2.60 2.17 2.43 2.26 建筑2.95 2.74 2.89 2.71 2.68 2.66 地产2.69 2.56 2.63 3.06 2.44 2.69 教育2.50 2.72 2.75 2.64 2.76 2.76 业务风险控制数据安全治理安全运营管理端点保护应用开发安全边界保护政府金融互联网智能制造智能网联/车联网医疗交通/物流贸易建筑地产教育各行业安全水平雷达图 本报告由安在新榜出品，未经授权，禁止转载决定企业安全能力的要素决定企业安全能力的要素n调查显示，决定企业安全能力的要素主要包括人力储备、安全生态、安全技术等方面；而影响或阻碍企业安全能力的发展主要在于人力水平和管理水平。由此可知，目前，人员短缺是各单位安全部门的发展安全能力的主要限制因素。企业安全能力的阻力 本报告由安在新榜出品，未经授权，禁止转载网络安全预算占IT预算比例企业网络安全预算情况n调查显示，安全预算占IT预算小于3%的企业占比为38.1%；3%-4%的企业占比为16%；4%-5%的企业占比16.4%；5%-7%的企业占比15.5%；总体看来，企业的网络安全预算有所增加。n比较各行业安全预算情况，金融、互联网、智能制造等行业安全预算较多；贸易行业安全预算最少。各行业预算比较0%10%20%30%40%50%60%70%80%90%100%政府金融互联网智能制造智能网联/车联网医疗交通/物流贸易建筑地产教育10%以上9%-10%8%-9%7%-8%6%-7%5%-6%4%-5%3%-4%2%-3%1%-2%不到1% 本报告由安在新榜出品，未经授权，禁止转载影响预算多少的因素预算获取与分配n在对影响企业预算的因素进行调查中，合规建设、自研开发、安全事件、安全团队能力培养是主要可以影响安全预算多少的因素；n当前安全部门的安全预算主要投入在安全运营管理、端点安全等方面。当前预算主要投资的领域 本报告由安在新榜出品，未经授权，禁止转载安全建设主要依靠安全建设的方式和目标n在对企业安全建设的依赖路径调查中，调查显示内部自研为主，采购为辅是企业安全建设的主