2020年度互聯(lián)網(wǎng)企業(yè)信息科技風(fēng)險治理現(xiàn)狀調(diào)研報告

1、目錄P4 調(diào)研背景P7 現(xiàn)狀概述P11 重點領(lǐng)域分析P16 總結(jié)與展望01調(diào)研背景為深入洞察互聯(lián)網(wǎng)企業(yè)信息科技風(fēng)險治理面臨的主要風(fēng)險、治理現(xiàn)狀以及存在的痛點和挑戰(zhàn)，中國互聯(lián)網(wǎng)協(xié)會信息技術(shù)（IT）風(fēng)險治理工作委員會發(fā)起了互聯(lián)網(wǎng)企業(yè)信息科技風(fēng)險治理現(xiàn)狀調(diào)查問卷。本報告由問卷調(diào)查結(jié)果匯總整理而成，旨在協(xié)助互聯(lián)網(wǎng)企業(yè)掌握行業(yè)信息科技風(fēng)險治理動態(tài)，對標(biāo)行業(yè)最佳實踐，為企業(yè)建立有效的信息科技風(fēng)險治理體系奠定基礎(chǔ)。本次調(diào)研共收回 62 份有效的問卷樣本，覆蓋了超過三十種業(yè)務(wù)類型的互聯(lián)網(wǎng)企業(yè)。問卷參與者主要來自互聯(lián)網(wǎng)企業(yè)信息技術(shù)部門（29），安全部門（16）和業(yè)務(wù)部門（10 ），其余包括內(nèi)控部門、法律合規(guī)部門

2、、政府公共事務(wù)部門等。本次調(diào)研的受訪者來自運營不同類型業(yè)務(wù)的互聯(lián)網(wǎng)企業(yè)，主要涵蓋生活服務(wù)類、設(shè)備設(shè)施類、大眾消費類、商業(yè)服務(wù)類等業(yè)務(wù)領(lǐng)域，調(diào)研范圍具有廣泛性（見表 1）。貴公司開展的主營業(yè)務(wù)包括以下哪些？選項小計比例即時通訊69.68搜索引擎711.29網(wǎng)絡(luò)新聞1016.13網(wǎng)絡(luò)視頻1320.97網(wǎng)絡(luò)購物1016.13第三方支付1219.35電子商務(wù)1524.19互聯(lián)網(wǎng)金融1625.81網(wǎng)絡(luò)零售812.90網(wǎng)絡(luò)廣告1625.81網(wǎng)絡(luò)教育812.90網(wǎng)絡(luò)游戲1016.13社區(qū)812.90傳統(tǒng)媒體網(wǎng)絡(luò)版46.45自媒體平臺46.45共享經(jīng)濟34.84其他2235.48表 1 互聯(lián)網(wǎng)企業(yè)業(yè)務(wù)分布統(tǒng)計

3、本次調(diào)研從員工數(shù)量和營業(yè)收入兩個方面對不同規(guī)模的互聯(lián)網(wǎng)企業(yè)進行統(tǒng)計，調(diào)研樣本較為全面（見圖 1和圖 2）。50人以下50-500人500-5000人5000-50000人50000人以上24.198.0620.9717.7416.138.064.841000萬以下1000萬至1億1億至10億10億至100億100億至500億500億至1000億1000億以上圖 1. 互聯(lián)網(wǎng)企業(yè)人員規(guī)模統(tǒng)計圖 2. 企業(yè)營業(yè)規(guī)模（年營業(yè)收入：人民幣）統(tǒng)計根據(jù)調(diào)研結(jié)果顯示，超過 88.7的受訪者所在企業(yè)的主營業(yè)務(wù)受工業(yè)和信息化部監(jiān)管（見圖 3）。此外，受經(jīng)營范圍影響，部分互聯(lián)網(wǎng)企業(yè)還同時受到國家廣播電視總局、中國

4、人民銀行、銀行保險監(jiān)督管理委員會、國家廣播總局等機構(gòu)監(jiān)管。22.584.8422.5811.2924.1914.52工業(yè)和信息化部國家廣播電視總局 國家衛(wèi)生健康委員會中國人民銀行證券監(jiān)督管理委員會銀行保險監(jiān)督管理委員會其他88.71圖 3. 互聯(lián)網(wǎng)企業(yè)主營業(yè)務(wù)的監(jiān)管機構(gòu)分布在受訪者所在企業(yè)中，占比最大的是非上市公司，約為 54。此外，美股上市公司占比 19.35，港股上市公司占比 12.9，國內(nèi)上市公司占比 17.74。參與本次調(diào)研的互聯(lián)網(wǎng)企業(yè)中約 43.5已開展出海業(yè)務(wù)，涉及全球多個國家和地區(qū)（見圖 4）。其中，在歐盟成員國開城的企業(yè)占比最多，超過了 66。其次是美國（62.96）和俄羅斯（

5、55.56）。除此之外，還有部分互聯(lián)網(wǎng)企業(yè)選擇在日本、印度、新加坡、馬來西亞、澳大利亞等國家開城。俄羅斯美國歐盟成員國其他55.5659.2662.9666.67圖 4. 跨境業(yè)務(wù)涉及的主要國家或地區(qū)統(tǒng)計02現(xiàn)狀概述治理組織架構(gòu)治理組織架構(gòu)是企業(yè)開展信息科技風(fēng)險治理工作 的基礎(chǔ)。根據(jù)調(diào)研我們發(fā)現(xiàn)，參與調(diào)研的大部分互 聯(lián)網(wǎng)企業(yè)設(shè)立了信息科技風(fēng)險治理責(zé)任部門，其中， 68的受訪企業(yè)已明確信息科技風(fēng)險治理的實體責(zé)任部門，主要由風(fēng)險、安全、合規(guī)、內(nèi)控、法務(wù)等 部門承擔(dān)。18的受訪企業(yè)以跨部門的工作委員會 形式開展工作。此外，14的受訪企業(yè)反饋尚未設(shè)立明確的責(zé)任部門，根據(jù)統(tǒng)計分析我們發(fā)現(xiàn)，尚未設(shè) 立明確

6、的責(zé)任部門的企業(yè)普遍規(guī)模較小，且非上市 公司。調(diào)研結(jié)果顯示，僅有 29.03的企業(yè)設(shè)置了首席風(fēng)險官（CRO）。而在信息科技風(fēng)險治理責(zé)任人方面（見圖5），由首席信息官（CIO）、首席信息安全官（CISO）承擔(dān)企業(yè)信息科技風(fēng)險治理責(zé)任的情況較多（18.18），此外，部分企業(yè)由公司法人（13.64）、首席執(zhí)行官（CEO）（15.91）、業(yè)務(wù)條線負責(zé)人（15.91）承擔(dān)信息科技風(fēng)險治理責(zé)任，首席風(fēng)險2020 年度互聯(lián)網(wǎng)企業(yè)信息科技風(fēng)險治理現(xiàn)狀調(diào)研報告 | 7官（CRO）、首席技術(shù)官(CTO)占比較少，另外少數(shù)企業(yè)尚未明確信息科技風(fēng)險治理責(zé)任人。這體現(xiàn)出部分互聯(lián)網(wǎng)企業(yè)仍未形成職責(zé)明確、相互制衡的信息科技

7、治理組織架構(gòu)，風(fēng)險管理責(zé)任人同時承擔(dān)經(jīng)營管理和決策，對風(fēng)險管理工作的獨立性有一定影響。法人13.64首席執(zhí)行官（CEO）15.91首席信息官（CIO）18.18首席風(fēng)險官（CRO）4.55首席信息安全官（CISO）18.18首席技術(shù)官（CTO）4.55業(yè)務(wù)條線負責(zé)人尚未明確其他2.6.822715.91圖 5. 互聯(lián)網(wǎng)企業(yè)信息科技風(fēng)險治理的第一責(zé)任人統(tǒng)計風(fēng)險管理策略問卷針對互聯(lián)網(wǎng)企業(yè)信息科技風(fēng)險治理目標(biāo)進行了調(diào)研。調(diào)研結(jié)果顯示互聯(lián)網(wǎng)企業(yè)開展信息科技風(fēng)險治理活動最主要的目標(biāo)是為了保障業(yè)務(wù)正常運營（83.87）和防范信息科技風(fēng)險事件（85.48），其次是為了符合監(jiān)管合規(guī)要求（82.26）。對比以上

8、，較少企業(yè)將承擔(dān)社會責(zé)任（64.52）和獲取資質(zhì)（46.77）作為主要的風(fēng)險治理目標(biāo)。61.3656.8245.4538.6436.369.09從面臨的主要風(fēng)險*來源來看（見圖 6），受訪者所在 互聯(lián)網(wǎng)企業(yè)普遍認為來自合作伙伴、軟硬件供應(yīng)商、外包服務(wù)商和同業(yè)企業(yè)的生態(tài)風(fēng)險最高（61.13）。 其次是來自于人員有意或無意的違規(guī)操作（56.45）與不符合法律法規(guī)和監(jiān)管要求（41.94）的風(fēng)險。 來自信息系統(tǒng)軟硬件缺陷和管理制度流程缺失的 風(fēng)險相對較少，分別為 32.26和 35.48。生態(tài)風(fēng)險和操作風(fēng)險是受訪互聯(lián)網(wǎng)企業(yè)面臨主要的風(fēng)險來源?；ヂ?lián)網(wǎng)企業(yè)開展信息科技風(fēng)險治理活動的過程中存在各種各樣的痛點

9、和挑戰(zhàn)，在本次調(diào)研中，我們發(fā)現(xiàn)企業(yè)開展信息科技風(fēng)險治理活動最主要的挑戰(zhàn)是員工風(fēng)險意識不足。除此之外，缺少風(fēng)險管理框架、風(fēng)險管理邊界不清晰也是普遍存在的問題（38.71）。部分企業(yè)還存在缺少預(yù)算、人員專業(yè)知識技能不足的問題，業(yè)務(wù)部門配合度低也成為企業(yè)開展風(fēng)險治理活動的困難和挑戰(zhàn)。同時，通過統(tǒng)計分析和對比，我們發(fā)現(xiàn)規(guī)模不同的企業(yè)存在的痛點和挑戰(zhàn)也有所不同。規(guī)模較大的企業(yè)更加傾向于認為業(yè)務(wù)部門的配合度不高和員工意識不足是推動信息科技風(fēng)險治理工作的主要挑戰(zhàn)。而規(guī)模較小的企業(yè)的痛點更加集中表現(xiàn)為缺少預(yù)算和風(fēng)險管理框架（見圖 7）。 圖 6. 互聯(lián)網(wǎng)企業(yè)風(fēng)險來源分布備注：本文中所稱信息科技風(fēng)險是指在互聯(lián)網(wǎng)

10、企業(yè)的業(yè)務(wù)運營、內(nèi)部管理等方面，信息技術(shù)的運用由于自然因素、人為因素、技術(shù)漏洞和管理缺陷產(chǎn)生的操作、法律和聲譽等方面的風(fēng)險，主要涵蓋系統(tǒng)風(fēng)險、生態(tài)風(fēng)險、合規(guī)風(fēng)險、操作風(fēng)險以及管理缺陷導(dǎo)致的風(fēng)險等。30.7721.0545.4550.0023.0826.3218.1828.5730.7721.0527.2750.0015.3815.7918.1835.7123.0826.3227.2735.7123.0847.3718.1842.8661.5457.8936.3635.71員工風(fēng)險意識不足業(yè)務(wù)部門配合程度低人員專業(yè)知識和技能不足缺少管理層支持缺少預(yù)算未建立IT風(fēng)險管理流程未明確風(fēng)險管理領(lǐng)域和框架

11、50-500人500-5000人5000-50000人50000人以上圖 7. 互聯(lián)網(wǎng)企業(yè)風(fēng)險治理痛點和挑戰(zhàn)管理現(xiàn)狀概述我們從互聯(lián)網(wǎng)行業(yè)普遍關(guān)注的十個治理領(lǐng)域*開展調(diào)研，涵蓋了法律合規(guī)、業(yè)務(wù)安全管理、個人信息保護、數(shù)據(jù)管理、內(nèi)容治理、應(yīng)用管理、平臺管理、基礎(chǔ)設(shè)施運行、生態(tài)建設(shè)、新技術(shù)應(yīng)用。在本次調(diào)研中，我們邀請受訪者為其所在企業(yè)在各個領(lǐng)域開展風(fēng)險治理活動的成熟度進行評分（見圖 8）。從自評結(jié)果來看，受訪者普遍認為其風(fēng)險治理水平能夠滿足基本管理需求，但距離目標(biāo)還存在一定差距。其中，法律合規(guī)、個人信息保護、數(shù)據(jù)管理、基礎(chǔ)設(shè)施運行等領(lǐng)域的風(fēng)險治理成熟度較高，生態(tài)建設(shè)和新技術(shù)應(yīng)用領(lǐng)域的成熟度較低。（5

12、1.61）和數(shù)據(jù)管理（46.77）。其次為新技術(shù)應(yīng)用（38.71）、業(yè)務(wù)安全管理（35.48）和法律合規(guī)（33.87）。優(yōu)先級較低的領(lǐng)域包含應(yīng)用管理和基礎(chǔ)設(shè)施運行，分別為 22.58和 19.35。從資源投入來看，互聯(lián)網(wǎng)企業(yè)在數(shù)據(jù)管理（61.29）、個人信息保護（59.68）、法律合規(guī)（58.06）和業(yè)務(wù)安全管理（48.39）領(lǐng)域的高投入最為普遍。然而，目前企業(yè)在生態(tài)建設(shè)（8.06）和新技術(shù)應(yīng)用領(lǐng)域備注：在本次調(diào)研中將互聯(lián)網(wǎng)信息科技風(fēng)險治理活動分為十個主要領(lǐng)域：法律合規(guī)領(lǐng)域涵蓋了法律、行政法規(guī)、行業(yè)準則的符合情況；數(shù)據(jù)管理領(lǐng)域涵蓋了數(shù)據(jù)質(zhì)量管理，數(shù)據(jù)安全管理等內(nèi)容；個人信息保護領(lǐng)域涵蓋了數(shù)據(jù)隱

13、私影響分析，數(shù)據(jù)主體權(quán)力，告知同意等內(nèi)容；業(yè)務(wù)安全管理領(lǐng)域涵蓋了對網(wǎng)絡(luò)欺詐、作弊套利等業(yè)務(wù)安全的防控；內(nèi)容治理領(lǐng)域涵蓋了內(nèi)容審查、用戶管理、不良信息管理等內(nèi)容；應(yīng)用管理領(lǐng)域涵蓋應(yīng)用安全、接口管理、開發(fā)運維等內(nèi)容；基礎(chǔ)設(shè)施運行涵蓋了 IT 基礎(chǔ)設(shè)施、網(wǎng)絡(luò)安全、業(yè)務(wù)連續(xù)性等內(nèi)容；平臺管理領(lǐng)域涵蓋了數(shù)據(jù)平臺、運維服務(wù)等跨業(yè)務(wù)條線提供服務(wù)的企業(yè)中臺；生態(tài)建設(shè)領(lǐng)域涵蓋了供應(yīng)商管理、合作伙伴管理、外包服務(wù)管理、開源組件管理等內(nèi)容；新技術(shù)應(yīng)用領(lǐng)域涵蓋了對新技術(shù)引入所帶來的技術(shù)風(fēng)險及衍生風(fēng)險的影響評估和管控等。（16.13）的投入普遍較低。3.853.743.7 3.633.63 3.673.523.11 3

14、.154.243.83.63.43.234.07圖 8. 互聯(lián)網(wǎng)企業(yè)信息科技風(fēng)險治理活動成熟度自評分從迫切程度來看（見圖 9），互聯(lián)網(wǎng)企業(yè)認為最急迫需要開展風(fēng)險治理活動的領(lǐng)域為個人信息保護81.4877.7855.5655.5640.7455.5655.5637.0437.0451.8529.6329.6333.3337.0437.0422.2225.9318.5218.5214.81迫切需求資源投入 圖 9. 互聯(lián)網(wǎng)企業(yè)信息科技風(fēng)險治理存在迫切需求的領(lǐng)域和資源投入情況統(tǒng)計分析85.1951.8540.7440.7433.3333.3337.0437.0425.9325.93同時，我們對各風(fēng)險

15、治理領(lǐng)域涉及的監(jiān)管要求、行業(yè)規(guī)范以及管理標(biāo)準進行了調(diào)研（見圖 10）。根據(jù)調(diào)研結(jié)果我們發(fā)現(xiàn)，互聯(lián)網(wǎng)企業(yè)普遍反饋在生態(tài)建設(shè)，以及人工智能、區(qū)塊鏈、大數(shù)據(jù)等新技術(shù)應(yīng)用領(lǐng)域較為空白，缺少指引和規(guī)范。因此可能導(dǎo)致互聯(lián)網(wǎng)企業(yè)難以有效地實施可落地的風(fēng)險治理措施防范行業(yè)生態(tài)和新技術(shù)帶來的新風(fēng)險。除以上各領(lǐng)域風(fēng)險治理活動的開展情況外，我們還統(tǒng)計了目前互聯(lián)網(wǎng)企業(yè)獲得的資質(zhì)認證情況。調(diào)研結(jié)果顯示，監(jiān)管合規(guī)仍是互聯(lián)網(wǎng)企業(yè)獲取資質(zhì)認證的主要驅(qū)動力，已有約 70的受訪企業(yè)通過了網(wǎng)絡(luò)安全等級保護測評。在其他國內(nèi)外認證中，ISO/IEC 27001 成為目前互聯(lián)網(wǎng)企業(yè)獲得最多的資質(zhì)認證，占比超過 65。而其他類型的資質(zhì)認證

16、在受訪的互聯(lián)網(wǎng)企業(yè)中并不具備普遍性。圖 10. 互聯(lián)網(wǎng)企業(yè)信息科技風(fēng)險治理缺少指引和規(guī)范的領(lǐng)域統(tǒng)計03重點領(lǐng)域分析比均超過了 70。為了進一步掌握互聯(lián)網(wǎng)企業(yè)在各個重點領(lǐng)域的風(fēng)險治理現(xiàn)狀，我們通過問卷對重點領(lǐng)域進行了詳細調(diào)研，并對反饋結(jié)果進行了統(tǒng)計分析，希望能夠發(fā)現(xiàn)互聯(lián)網(wǎng)企業(yè)在各重點領(lǐng)域的發(fā)展特征和共性問題，為后續(xù)開展風(fēng)險治理工作指導(dǎo)方向。法律合規(guī)管理領(lǐng)域近年來，我國網(wǎng)絡(luò)空間法治不斷推進，互聯(lián)網(wǎng)企業(yè) 所面臨的信息科技法律體系日趨完善，以網(wǎng)絡(luò)安 全法為代表的網(wǎng)絡(luò)安全立法頂層設(shè)計已基本完成，隨著數(shù)據(jù)安全法（草案）、個人信息保護法（草 案）的陸續(xù)發(fā)布，即將填補了我國數(shù)據(jù)安全管理方 面的空白，也進一步構(gòu)

17、建了網(wǎng)絡(luò)安全管理框架。網(wǎng) 絡(luò)信息內(nèi)容生態(tài)治理規(guī)定的出臺、未成年保護法新增“網(wǎng)絡(luò)保護”章節(jié)，標(biāo)志著互聯(lián)網(wǎng)執(zhí)法、司法體 系不斷提高。另一方面，個人信息保護一直是全球的熱點話題，已有超過140 個國家和地區(qū)正在開展個人信息保護立法工作，大幅度提升了互聯(lián)網(wǎng)企業(yè)出海的合規(guī)門檻。因此，法律合規(guī)工作是互聯(lián)網(wǎng)企業(yè)不可或缺的重要組成部分。調(diào)研結(jié)果顯示，93.48的受訪企業(yè)已設(shè)立獨立的部門承擔(dān)法律合規(guī)工作。而剩余 6.52尚未設(shè)立法律合規(guī)部門的企業(yè)均為員工數(shù)量小于 500的規(guī)模較小的企業(yè)。從調(diào)研結(jié)果來看，個人信息保護與數(shù)據(jù)安全方面的法律合規(guī)已經(jīng)引起了互聯(lián)網(wǎng)企業(yè)的高度重視，其中93.48的互聯(lián)網(wǎng)企業(yè)已將個人信息保護

18、作為企業(yè)法律合規(guī)重點，其次是業(yè)務(wù)安全管理與數(shù)據(jù)管理，占在開展法律合規(guī)工作中，對法律、行業(yè)規(guī)范和準則的追蹤不及時（32.61）、解讀不準確（32.61）并不是互聯(lián)網(wǎng)公司面臨的主要困難。根據(jù)調(diào)研結(jié)果顯示，50的受訪者所在企業(yè)認為難以根據(jù)法律法規(guī)準確評估企業(yè)運營現(xiàn)狀是否符合合規(guī)要求才是現(xiàn)階段最大的痛點。除此之外，與信息科技風(fēng)險治理整體情況相同，互聯(lián)網(wǎng)企業(yè)法律合規(guī)工作過程存在的困難仍以人員因素為主，認為“法律合規(guī)專業(yè)人員缺少信息科技相關(guān)專業(yè)知識”的受訪者占比為 50。在合規(guī)工具方面，超過 60的互聯(lián)網(wǎng)企業(yè)部署的合規(guī)工具僅用于收集匯總法律合規(guī)文件，39.13的企業(yè)形成了法律知識合規(guī)知識庫。僅有 21.7

19、4的企業(yè)運用了智能化合規(guī)風(fēng)險監(jiān)測工具。這表明互聯(lián)網(wǎng)企業(yè)法律合規(guī)工具普遍停留在基礎(chǔ)法律文件的收集和管理層面，距離自動化、智能化地監(jiān)測、評估和處置企業(yè)合規(guī)風(fēng)險還有一定發(fā)展空間。業(yè)務(wù)安全管理領(lǐng)域在需要開展業(yè)務(wù)安全風(fēng)險治理的企業(yè)中，由安全部門開展業(yè)務(wù)安全管理的占比最高（60.98 ），其次是法律合規(guī)部門（58.54 ）與業(yè)務(wù)部門（51.22 ），風(fēng)險管理部門、內(nèi)控部門和審計部門也都涉及業(yè)務(wù)安全管理。在業(yè)務(wù)安全管理工作開展過程中，大部分的受訪者 認為企業(yè)的主要挑戰(zhàn)為難以有效地識別和防范業(yè) 務(wù)策略漏洞，而在技術(shù)漏洞和管理漏洞的識別方面，受訪者普遍認為企業(yè)表現(xiàn)較為良好。此外，業(yè)務(wù)安全管理通常依賴于業(yè)務(wù)風(fēng)控平

20、臺，根據(jù)調(diào)研結(jié)果顯示，73.17 的受訪企業(yè)自行研發(fā)了風(fēng)控平臺， 17.07 的企業(yè)采用外購的服務(wù)平臺，另外還有 9.76 的企業(yè)尚未應(yīng)用平臺技術(shù)來管控業(yè)務(wù)安全。這說明互聯(lián)網(wǎng)企業(yè)擁有較強的研發(fā)能力，其業(yè)務(wù)風(fēng)控平臺多以自開發(fā)為主。通過自動化、智能化技術(shù)手段開展業(yè)務(wù)安全風(fēng)控是互聯(lián)網(wǎng)企業(yè)的主要趨勢。個人信息保護領(lǐng)域在關(guān)注個人信息保護領(lǐng)域的企業(yè)中，90.48的受訪者認為其所在公司已經(jīng)明確了個人信息保護責(zé)任人。其中，26.19的企業(yè)明確個人信息保護責(zé)任部門為法律合規(guī)部門，28.57的企業(yè)為信息安全部門，14.29為數(shù)據(jù)管理部門，跨條線的工作委員會占比16.67。從企業(yè)開展個人信息保護活動來看，超過 90

21、的企業(yè)已對個人信息處理活動進行了記錄，然而其中約23的受訪者認為企業(yè)在定期維護和更新記錄方面存在困難。此外，超過 80的企業(yè)已建立個人信息保護政策和個人信息泄露應(yīng)急處置預(yù)案，76.19的受訪者表示企業(yè)已開展個人信息安全影響評估。相較以上活動，受訪者反饋的信息顯示企業(yè)在個人信息保護自動化合規(guī)檢查（40.48）和個人信息保護審計（54.76）方面開展的活動較少。整體來看，大多數(shù)互聯(lián)網(wǎng)企業(yè)已積極采取活動開展個人信息保護。在組織架構(gòu)、管理政策和流程方面已建立較為完善的解決方案，而在搭建自動化的工具平臺和審計活動方面相對滯后。數(shù)據(jù)管理領(lǐng)域根據(jù)調(diào)研結(jié)果顯示，在數(shù)據(jù)質(zhì)量管理方面已有超過 50的企業(yè)制定了企業(yè)

22、級數(shù)據(jù)標(biāo)準，實現(xiàn)了采集階段的數(shù)據(jù)校驗，并認為對于發(fā)現(xiàn)的數(shù)據(jù)質(zhì)量問題能夠及時整改。然而，僅有約 35的受訪者認為其所涉及企業(yè)的數(shù)據(jù)質(zhì)量足夠支持數(shù)據(jù)價值實現(xiàn)。這表明雖然大部分企業(yè)已認識到數(shù)據(jù)管理的重要性，采取了積極的應(yīng)對措施，然而目前企業(yè)數(shù)據(jù)質(zhì)量對于支撐數(shù)據(jù)價值的充分實現(xiàn)仍有進一步提升空間。在數(shù)據(jù)安全管理方面，超過 80的企業(yè)已開展數(shù)據(jù)生命周期安全管理。約 90的企業(yè)已制定數(shù)據(jù)分類分級方法，然而 24.44的企業(yè)尚未根據(jù)分類分級方法對數(shù)據(jù)進行標(biāo)識。在數(shù)據(jù)安全技術(shù)工具方面，數(shù)據(jù)防泄漏工具、全站加密傳輸、敏感信息加密存儲、運維堡壘機以及密鑰管理系統(tǒng)等數(shù)據(jù)安全解決方案在互聯(lián)網(wǎng)企業(yè)應(yīng)用較多。內(nèi)容治理領(lǐng)域在

23、開展網(wǎng)絡(luò)內(nèi)容服務(wù)的企業(yè)中，74.19已設(shè)立網(wǎng)絡(luò) 內(nèi)容生態(tài)治理負責(zé)人。在網(wǎng)絡(luò)信息內(nèi)容審查人員規(guī) 模方面，大部分企業(yè)審查人員團隊維持在千人以下，但也有 6.45的企業(yè)配置了超過萬人的審查團隊， 這體現(xiàn)出網(wǎng)絡(luò)信息內(nèi)容服務(wù)平臺在內(nèi)容管理方面 非常重視，資源投入高。調(diào)研結(jié)果顯示，在內(nèi)容治理措施方面，建立用戶賬號管理體系（占比 90.32）、實時巡查平臺內(nèi)容（占比 87.1）等方式較為普及，多級人員審核和技術(shù)審核也是目前企業(yè)普遍采取的內(nèi)容審核機制（占比77.4）。同時，超過 90的受訪者反饋企業(yè)已在網(wǎng)絡(luò)信息內(nèi)容服務(wù)平臺設(shè)立了投訴舉報渠道。但是，針對未成年人的保護措施目前仍比較欠缺（ 僅48.39）。應(yīng)用管

24、理領(lǐng)域目前敏捷開發(fā)已成為互聯(lián)網(wǎng)企業(yè)應(yīng)用開發(fā)的主要模式。在涉及應(yīng)用管理領(lǐng)域的企業(yè)中，30.30的企業(yè)已由公司統(tǒng)一制定敏捷開發(fā)政策和細則。此外，45.45的企業(yè)已在公司層面制定政策，由各事業(yè)部基于政策制定可落地的管理細則。然而約有 25的受訪者認為企業(yè)敏捷開發(fā)管理制度方面存在不足。根據(jù)調(diào)研結(jié)果顯示，分別有超過90.91和超過75.76的受訪者認為其所在企業(yè)已在軟件開發(fā)需求階段考慮到隱私和安全方面的要求。這表明互聯(lián)網(wǎng)企業(yè)已逐步落實 Privacy by Design 和 Security by Design 的管理思路。平臺管理領(lǐng)域隨著互聯(lián)網(wǎng)企業(yè)管理架構(gòu)不斷地發(fā)展和調(diào)整，實現(xiàn)內(nèi)部資源共享或集中化管理

25、的平臺服務(wù)也逐漸成為互聯(lián)網(wǎng)企業(yè)建設(shè)的重點。根據(jù)調(diào)研結(jié)果顯示，大部分受訪者所在企業(yè)均涉及對于數(shù)據(jù)平臺、風(fēng)控平臺、運維平臺、云平臺、開發(fā)平臺的管理活動?；A(chǔ)設(shè)施運行領(lǐng)域調(diào)研結(jié)果顯示，64.10的互聯(lián)網(wǎng)企業(yè)使用自建的數(shù)據(jù)中心，76.92的企業(yè)使用了 IDC 機房，38.46的企業(yè)使用了外部的云服務(wù)。這表明部分互聯(lián)網(wǎng)企業(yè)采用混合模式，既運營自己的 IT 基礎(chǔ)設(shè)施，也使用外部資源。根據(jù)統(tǒng)計，滲透測試和漏洞掃描是企業(yè)開展的最為普通的網(wǎng)絡(luò)安全活動（超過 94的企業(yè)均開展了上述活動）。相比之下，僅有 61.54的受訪者表示其所在企業(yè)開展了紅藍對抗等網(wǎng)絡(luò)安全活動。生態(tài)建設(shè)領(lǐng)域受訪者認為其所在企業(yè)在業(yè)務(wù)合作和軟硬

26、件供應(yīng)方面較依賴第三方資源，而在系統(tǒng)開發(fā)、運維和數(shù)據(jù)處理活動方面自主性較高。同時，調(diào)研結(jié)果顯示受訪者中僅有 35.48的互聯(lián)網(wǎng)企業(yè)在生態(tài)建設(shè)領(lǐng)域開展了風(fēng)險治理活動。從已開展生態(tài)建設(shè)風(fēng)險治理活動的企業(yè)來看，分別有 81.82和 77.27的互聯(lián)網(wǎng)企業(yè)已建立供應(yīng)商和外包服務(wù)管理機制，而對于合作伙伴（64.64）和開源組件（59.09）的管理較為薄弱?；ヂ?lián)網(wǎng)生態(tài)環(huán)境對于互聯(lián)網(wǎng)企業(yè)的健康發(fā)展有著重要影響，大多數(shù)企業(yè)在內(nèi)部信息科技風(fēng)險治理工作中對于生態(tài)風(fēng)險的管理和防范意識還有待加強提高。新技術(shù)應(yīng)用領(lǐng)域目前開展新技術(shù)應(yīng)用的企業(yè)中，大數(shù)據(jù)（89.66）、人工智能（72.41）、云計算（82.76）仍是互聯(lián)網(wǎng)

27、應(yīng)用較為普及的新技術(shù)，區(qū)塊鏈（52.72）、物聯(lián)網(wǎng)（41.38）等新技術(shù)應(yīng)用較少。根據(jù)調(diào)研結(jié)果顯示，96.55的受訪者認為其所在企業(yè)在引入新技術(shù)時開展了影響分析和風(fēng)險評估，然而在新技術(shù)引入的新風(fēng)險的應(yīng)對方面，目前較為欠缺體系化、標(biāo)準化的解決方案。2020 年度互聯(lián)網(wǎng)企業(yè)信息科技風(fēng)險治理現(xiàn)狀調(diào)研報告 | 1604總結(jié)與展望近年來，隨著中國互聯(lián)網(wǎng)行業(yè)的不斷創(chuàng)新和高速發(fā)展，互聯(lián)網(wǎng)企業(yè)對于國計民生的重要性也與日俱增。在面對巨大機遇的同時，互聯(lián)網(wǎng)企業(yè)也看到了越來越嚴峻的風(fēng)險形勢和治理需求。根據(jù)問卷調(diào)研結(jié)果顯示，參與調(diào)研的互聯(lián)網(wǎng)企業(yè)普遍已經(jīng)在法律合規(guī)、個人信息保護、數(shù)據(jù)管理、內(nèi)容治理、應(yīng)用管理、基礎(chǔ)設(shè)施運行等領(lǐng)域開展了信息科技風(fēng)險活動。同時，通過調(diào)研，我們也總結(jié)出互聯(lián)網(wǎng)企業(yè)在開展信息科技風(fēng)險治理