2020年度互联网企业信息科技风险治理现状调研报告

2020年度 互联网企业 信息科技风险治理 现状调研报告 中国互联网协会信息技术（IT）风险治理工作委员会 2021年2月 2020年度互联网企业信息科技风险治理现状调研报告 | 2 版权声明 本调研报告版权属于中国互联网协会信息技术（IT）风险治理工作委员会，并受法律保护。转载、摘编或利用其它方式使用本调研报告文字或者观点的，应注明“来源：中国互联网协会信息技术（IT）风险治理工作委员会”。违反上述声明者，将追究其相关法律责任。 2020年度互联网企业信息科技风险治理现状调研报告 | 3 目录 P4 调研背景 P7 现状概述 P11 重点领域分析 P16总结与展望 2020年度互联网企业信息科技风险治理现状调研报告 | 4 01 调研背景 为深入洞察互联网企业信息科技风险治理面临的主要风险、治理现状以及存在的痛点和挑战，中国互联网协会信息技术（IT）风险治理工作委员会发起了《互联网企业信息科技风险治理现状调查问卷》。本报告由问卷调查结果汇总整理而成，旨在协助互联网企业掌握行业信息科技风险治理动态，对标行业最佳实践，为企业建立有效的信息科技风险治理体系奠定基础。 本次调研共收回62份有效的问卷样本，覆盖了超过三十种业务类型的互联网企业。问卷参与者主要来自互联网企业信息技术部门（29%），安全部门（16%）和业务部门（10%），其余包括内控部门、法律合规部门、政府公共事务部门等。 2020年度互联网企业信息科技风险治理现状调研报告 | 5 本次调研的受访者来自运营不同类型业务的互联网企业，主要涵盖生活服务类、设备设施类、大众消费类、商业服务类等业务领域，调研范围具有广泛性（见表1）。 贵公司开展的主营业务包括以下哪些？ 选项 小计 比例 即时通讯 6 9.68% 搜索引擎 7 11.29% 网络新闻 10 16.13% 网络视频 13 20.97% 网络购物 10 16.13% 第三方支付 12 19.35% 电子商务 15 24.19% 互联网金融 16 25.81% 网络零售 8 12.90% 网络广告 16 25.81% 网络教育 8 12.90% 网络游戏 10 16.13% 社区 8 12.90% 传统媒体网络版 4 6.45% 自媒体平台 4 6.45% 共享经济 3 4.84% 其他 22 35.48% 表1 互联网企业业务分布统计 本次调研从员工数量和营业收入两个方面对不同规模的互联网企业进行统计，调研样本较为全面（见图1和图2）。 24.19%8.06%16.13%17.74%20.97%8.06%4.84%1000亿以上500亿至1000亿100亿至500亿10亿至100亿1亿至10亿1000万至1亿1000万以下图1. 互联网企业人员规模统计 图2. 企业营业规模（年营业收入：人民币）统计 50000人以上5000-50000人500-5000人50-500人50人以下 2020年度互联网企业信息科技风险治理现状调研报告 | 6 根据调研结果显示，超过88.7%的受访者所在企业的主营业务受工业和信息化部监管（见图3）。此外，受经营范围影响，部分互联网企业还同时受到国家广播电视总局、中国人民银行、银行保险监督管理委员会、国家广播总局等机构监管。 图3. 互联网企业主营业务的监管机构分布 在受访者所在企业中，占比最大的是非上市公司，约为54%。此外，美股上市公司占比19.35%，港股上市公司占比12.9%，国内上市公司占比17.74%。 参与本次调研的互联网企业中约43.5%已开展出海业务，涉及全球多个国家和地区（见图4）。其中，在欧盟成员国开城的企业占比最多，超过了66%。其次是美国（62.96%）和俄罗斯（55.56%）。除此之外，还有部分互联网企业选择在日本、印度、新加坡、马来西亚、澳大利亚等国家开城。 图4. 跨境业务涉及的主要国家或地区统计 14.52%24.19%11.29%22.58%4.84%22.58%88.71%其他银行保险监督管理委员会证券监督管理委员会中国人民银行国家卫生健康委员会国家广播电视总局工业和信息化部59.26%66.67%62.96%55.56%其他欧盟成员国美国俄罗斯 2020年度互联网企业信息科技风险治理现状调研报告 | 7 治理组织架构 治理组织架构是企业开展信息科技风险治理工作的基础。根据调研我们发现，参与调研的大部分互联网企业设立了信息科技风险治理责任部门，其中，68%的受访企业已明确信息科技风险治理的实体责任部门，主要由风险、安全、合规、内控、法务等部门承担。18%的受访企业以跨部门的工作委员会形式开展工作。此外，14%的受访企业反馈尚未设立明确的责任部门，根据统计分析我们发现，尚未设立明确的责任部门的企业普遍规模较小，且非上市公司。 调研结果显示，仅有29.03%的企业设置了首席风险官（CRO）。而在信息科技风险治理责任人方面（见图5），由首席信息官（CIO）、首席信息安全官（CISO）承担企业信息科技风险治理责任的情况较多（18.18%），此外，部分企业由公司法人（13.64%）、首席执行官（CEO）（15.91%）、业务条线负责人（15.91%）承担信息科技风险治理责任，首席风险官（CRO）、首席技术官(CTO)占比较少，另外少数企业尚未明确信息科技风险治理责任人。这体现出部分互联网企业仍未形成职责明确、相互制衡的信息科技治理组织架构，风险管理责任人同时承担经营管理和决策，对风险管理工作的独立性有一定影响。 图5. 互联网企业信息科技风险治理的第一责任人统计 2.27%6.82%15.91%4.55%18.18%4.55%18.18%15.91%13.64%其他尚未明确业务条线负责人首席技术官（CTO）首席信息安全官（CISO）首席风险官（CRO）首席信息官（CIO）首席执行官（CEO）法人02 现状概述 2020年度互联网企业信息科技风险治理现状调研报告 | 8 风险管理策略 问卷针对互联网企业信息科技风险治理目标进行了调研。调研结果显示互联网企业开展信息科技风险治理活动最主要的目标是为了保障业务正常运营（83.87%）和防范信息科技风险事件（85.48%），其次是为了符合监管合规要求（82.26%）。对比以上，较少企业将承担社会责任（64.52%）和获取资质（46.77%）作为主要的风险治理目标。 从面临的主要风险*来源来看（见图6），受访者所在互联网企业普遍认为来自合作伙伴、软硬件供应商、外包服务商和同业企业的生态风险最高（61.13%）。其次是来自于人员有意或无意的违规操作（56.45%）与不符合法律法规和监管要求（41.94%）的风险。来自信息系统软硬件缺陷和管理制度流程缺失的风险相对较少，分别为32.26%和35.48%。生态风险 图6. 互联网企业风险来源分布 和操作风险是受访互联网企业面临主要的风险来源。 互联网企业开展信息科技风险治理活动的过程中存在各种各样的痛点和挑战，在本次调研中，我们 发现企业开展信息科技风险治理活动最主要的挑战是员工风险意识不足。除此之外，缺少风险管理框架、风险管理边界不清晰也是普遍存在的问题（38.71%）。部分企业还存在缺少预算、人员专业知识技能不足的问题，业务部门配合度低也成为企业开展风险治理活动的困难和挑战。 同时，通过统计分析和对比，我们发现规模不同的企业存在的痛点和挑战也有所不同。规模较大的企业更加倾向于认为业务部门的配合度不高和员工意识不足是推动信息科技风险治理工作的主要挑战。而规模较小的企业的痛点更加集中表现为缺少预算和风险管理框架（见图7）。 图7. 互联网企业风险治理痛点和挑战 61.36%56.82%45.45%38.64%36.36%9.09%备注：本文中所称信息科技风险是指在互联网企业的业务运营、内部管理等方面，信息技术的运用由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等方面的风险，主要涵盖系统风险、生态风险、合规风险、操作风险以及管理缺陷导致的风险等。 50.00%28.57%50.00%35.71%35.71%42.86%35.71%45.45%18.18%27.27%18.18%27.27%18.18%36.36%21.05%26.32%21.05%15.79%26.32%47.37%57.89%30.77%23.08%30.77%15.38%23.08%23.08%61.54%未明确风险管理领域和框架未建立IT风险管理流程缺少预算缺少管理层支持人员专业知识和技能不足业务部门配合程度低员工风险意识不足50-500人500-5000人5000-50000人50000人以上 2020年度互联网企业信息科技风险治理现状调研报告 | 9 4.073.743.853.73.633.523.633.673.113.1533.23.43.63.844.2管理现状概述 我们从互联网行业普遍关注的十个治理领域*开展调研，涵盖了法律合规、业务安全管理、个人信息保护、数据管理、内容治理、应用管理、平台管理、基础设施运行、生态建设、新技术应用。 在本次调研中，我们邀请受访者为其所在企业在各个领域开展风险治理活动的成熟度进行评分（见图8）。从自评结果来看，受访者普遍认为其风险治理水平能够满足基本管理需求，但距离目标还存在一定差距。其中，法律合规、个人信息保护、数据管理、基础设施运行等领域的风险治理成熟度较高，生态建设和新技术应用领域的成熟度较低。 从迫切程度来看（见图9），互联网企业认为最急迫需要开展风险治理活动的领域为个人信息保护 （51.61%）和数据管理（46.77%）。其次为新技术应用（38.71%）、业务安全管理（35.48%）和法律合规（33.87%）。优先级较低的领域包含应用管理和基础设施运行，分别为22.58%和19.35%。 从资源投入来看，互联网企业在数据管理（61.29%）、个人信息保护（59.68）、法律合规（58.06%）和业务安全管理（48.39%）领域的高投入最为普遍。然而，目前企业在生态建设（8.06%）和新技术应用领域（16.13%）的投入普遍较低。 图9. 互联网企业信息科技风险治理存在迫切需求的领域和资源投入情况统计分析 备注：在本次调研中将互联网信息科技风险治理活动分为十个主要领域： ① 法律合规领域涵盖了法律、行政法规、行业准则的符合情况； ② 数据管理领域涵盖了数据质量管理，数据安全管理等内容； ③ 个人信息保护领域涵盖了数据隐私影响分析，数据主体权力，告知同意等内容； ④ 业务安全管理领域涵盖了对网络欺诈、作弊套利等业务安全的防控； ⑤ 内容治理领域涵盖了内容审查、用户管理、不良信息管理等内容； ⑥ 应用管理领域涵盖应用安全、接口管理、开发运维等内容； ⑦ 基础设施运行涵盖了IT基础设施、网络安全、业务连续性等内容； ⑧ 平台管理领域涵盖了数据平台、运维服务等跨业务条线提供服务的企业中台； ⑨ 生态建设领域涵盖了供应商管理、合作伙伴管理、外包服务管理 、开源组件管理等内容； ⑩ 新技术应用领域涵盖了对新技术引入所带来的技术风险及衍生风险的影响评估和管控等。 40.74%37.04%55.56%55.56%37.04%22.22%25.93%18.52%29.63%33.33%81.48%55.56%