2020 年度 m o c . 信息科技风险治理 5 b u 现状调研报告 h t i g 互联网企业 中国互联网协会信息技术(IT)风险治理工作委员会 2021 年 2 月 版权声明 本调研报告版权属于中国互联网协会信息技术(IT)风险治理工作委员会,并受法律保护。转载、摘 编或利用其它方式使用本调研报告文字或者观点的,应注明“来源:中国互联网协会信息技术(IT)风险治 理工作委员会”。违反上述声明者,将追究其相关法律责任。 m o c . 5 b u h t i g 2020 年度互联网企业信息科技风险治理现状调研报告 | 2 目录 P4 调研背景 m o c . 5 P7 现状概述 h t i g b u P11 重点领域分析 P16 总结与展望 2020 年度互联网企业信息科技风险治理现状调研报告 | 3 01 调研背景 为深入洞察互联网企业信息科技风险治理面临的 主要风险、治理现状以及存在的痛点和挑战,中国 互联网协会信息技术(IT)风险治理工作委员会发 起了《互联网企业信息科技风险治理现状调查问 卷》。本报告由问卷调查结果汇总整理而成,旨在协 助互联网企业掌握行业信息科技风险治理动态,对 标行业最佳实践,为企业建立有效的信息科技风险 治理体系奠定基础。 b u h t i g 本次调研共收回 62 份有效的问卷样本,覆盖了超 过三十种业务类型的互联网企业。问卷参与者主要 来自互联网企业信息技术部门(29%),安全部门 (16%)和业务部门(10%),其余包括内控部门、法 律合规部门、政府公共事务部门等。 m o c . 5 2020 年度互联网企业信息科技风险治理现状调研报告 | 4 本次调研的受访者来自运营不同类型业务的互联网企业,主要涵盖生活服务类、设备设施类、大众消费类、 商业服务类等业务领域,调研范围具有广泛性(见表 1) 。 贵公司开展的主营业务包括以下哪些? 选项 即时通讯 搜索引擎 网络新闻 网络视频 网络购物 第三方支付 电子商务 互联网金融 网络零售 网络广告 网络教育 网络游戏 社区 传统媒体网络版 自媒体平台 共享经济 其他 小计 6 7 10 13 10 12 15 16 8 16 8 10 8 4 4 3 22 比例 9.68% 11.29% 16.13% 20.97% 16.13% 19.35% 24.19% 25.81% 12.90% 25.81% 12.90% 16.13% 12.90% 6.45% 6.45% 4.84% 35.48% m o c . 5 b u h t i g 表 1 互联网企业业务分布统计 本次调研从员工数量和营业收入两个方面对不同规模的互联网企业进行统计,调研样本较为全面(见图 1 和图 2) 。 50人以下 50-500人 500-5000人 5000-50000人 1000万以下 1000万至1亿 图 1. 互联网企业人员规模统计 8.06% 1亿至10亿 20.97% 10亿至100亿 17.74% 100亿至500亿 500亿至1000亿 50000人以上 4.84% 1000亿以上 16.13% 8.06% 24.19% 图 2. 企业营业规模(年营业收入:人民币)统计 2020 年度互联网企业信息科技风险治理现状调研报告 | 5 根据调研结果显示,超过 88.7%的受访者所在企业 的主营业务受工业和信息化部监管(见图 3)。此外, 受经营范围影响,部分互联网企业还同时受到国家 广播电视总局、中国人民银行、银行保险监督管理 委员会、国家广播总局等机构监管。 88.71% 工业和信息化部 国家广播电视总局 国家卫生健康委员会 中国人民银行 证券监督管理委员会 银行保险监督管理委员会 其他 22.58% 4.84% 22.58% m o c . 5 11.29% 24.19% 14.52% b u 图 3. 互联网企业主营业务的监管机构分布 h t i g 在受访者所在企业中,占比最大的是非上市公司, 约为 54%。此外,美股上市公司占比 19.35%,港股 上市公司占比 12.9%,国内上市公司占比 17.74%。 参与本次调研的互联网企业中约 43.5%已开展出海 业务,涉及全球多个国家和地区(见图 4) 。其中, 在欧盟成员国开城的企业占比最多,超过了 66%。 其次是美国(62.96%)和俄罗斯(55.56%) 。除此之 外,还有部分互联网企业选择在日本、印度、新加 坡、马来西亚、澳大利亚等国家开城。 俄罗斯 55.56% 美国 62.96% 欧盟成员国 其他 66.67% 59.26% 图 4. 跨境业务涉及的主要国家或地区统计 2020 年度互联网企业信息科技风险治理现状调研报告 | 6 02 现状概述 治理组织架构 治理组织架构是企业开展信息科技风险治理工作 的基础。根据调研我们发现,参与调研的大部分互 联网企业设立了信息科技风险治理责任部门,其中, 68%的受访企业已明确信息科技风险治理的实体责 任部门,主要由风险、安全、合规、内控、法务等 部门承担。18%的受访企业以跨部门的工作委员会 形式开展工作。此外,14%的受访企业反馈尚未设立 明确的责任部门,根据统计分析我们发现,尚未设 立明确的责任部门的企业普遍规模较小,且非上市 公司。 g 13.64% 首席执行官(CEO) b u 15.91% 首席信息官(CIO) ti h 调研结果显示,仅有 29.03%的企业设置了首席风险 官(CRO) 。而在信息科技风险治理责任人方面(见 图 5) , 由首席信息官 (CIO) 、 首席信息安全官 (CISO) 承担企业信息科技风险治理责任的情况较多 (18.18%) ,此外,部分企业由公司法人(13.64%) 、 首席执行官(CEO)(15.91%)、业务条线负责人 (15.91%)承担信息科技风险治理责任,首席风险 官(CRO) 、首席技术官(CTO)占比较少,另外少数 企业尚未明确信息科技风险治理责任人。这体现出 部分互联网企业仍未形成职责明确、相互制衡的信 息科技治理组织架构,风险管理责任人同时承担经 营管理和决策,对风险管理工作的独立性有一定影 响。 m o c . 5 法人 首席风险官(CRO) 18.18% 4.55% 首席信息安全官(CISO) 首席技术官(CTO) 18.18% 4.55% 业务条线负责人 15.91% 尚未明确 其他 6.82% 2.27% 图 5. 互联网企业信息科技风险治理的第一责任人统计 2020 年度互联网企业信息科技风险治理现状调研报告 | 7 风险管理策略 问卷针对互联网企业信息科技风险治理目标进行 了调研。调研结果显示互联网企业开展信息科技风 险治理活动最主要的目标是为了保障业务正常运 营(83.87%)和防范信息科技风险事件(85.48%) , 其次是为了符合监管合规要求(82.26%)。对比以上, 较少企业将承担社会责任(64.52%)和获取资质 (46.77%)作为主要的风险治理目标。 * 从面临的主要风险 来源来看(见图 6) ,受访者所在 互联网企业普遍认为来自合作伙伴、软硬件供应商、 外包服务商和同业企业的生态风险最高(61.13%)。 其次是来自于人员有意或无意的违规操作(56.45%) 与不符合法律法规和监管要求(41.94%)的风险。 来自信息系统软硬件缺陷和管理制度流程缺失的 风险相对较少,分别为 32.26%和 35.48%。生态风险 61.36% 56.82% 45.45% 和操作风险是受访互联网企业面临主要的风险来 源。 互联网企业开展信息科技风险治理活动的过程中 存在各种各样的痛点和挑战,在本次调研中,我们 发现企业开展信息科技风险治理活动最主要的挑 战是员工风险意识不足。除此之外,缺少风险管理 框架、风险管理边界不清晰也是普遍存在的问题 (38.71%) 。部分企业还存在缺少预算、人员专业知 识技能不足的问题,业务部门配合度低也成为企业 开展风险治理活动的困难和挑战。 m o c . 5 同时,通过统计分析和对比,我们发现规模不同 的企业存在的痛点和挑战也有所不同。规模较大 的企业更加倾向于认为业务部门的配合度不高和 员工意识不足是推动信息科技风险治理工作的主 要挑战。而规模较小的企业的痛点更加集中表现 为缺少预算和风险管理框架(见图 7) 。 b u 38.64% 36.36% 备注:本文中所称信息科技风险是指在互联网企业的业务运营、内部管理 9.09% h t i g 等方面,信息技术的运用由于自然因素、人为因素、技术漏洞和管理缺陷 产生的操作、法律和声誉等方面的风险,主要涵盖系统风险、生态风险、 合规风险、操作风险以及管理缺陷导致的风险等。 图 6. 互联网企业风险来源分布 员工风险意识不足 35.71% 36.36% 业务部门配合程度低 42.86% 人员专业知识和技能不足 35.71% 缺少管理层支持 18.18% 27.27% 28.57% 18.18% 50.00% 50-500人 15.79% 21.05% 26.32% 45.45% 500-5000人 23.08% 26.32% 18.18% 50.00% 未明确风险管理领域和框架 61.54% 47.37% 27.27% 35.71% 缺少预算 未建立IT风险管理流程 57.89% 5000-50000人 23.08% 15.38% 30.77% 23.08% 21.05% 30.77% 50000人以上 图 7. 互联网企业风险治理痛点和挑战 2020 年度互联网企业信息科技风险治理现状调研报告 | 8 管理现状概述 * 我们从互联网行业普遍关注的十个治理领域 开展 调研,涵盖了法律合规、业务安全管理、个人信息 保护、数据管理、内容治理、应用管理、平台管理、 基础设施运行、生态建设、新技术应用。 在本次调研中,我们邀请受访者为其所在企业在各 个领域开展风险治理活动的成熟度进行评分(见图 8)。从自评结果来看,受访者普遍认为其风险治理 水平能够满足基本管理需求,但距离目标还存在一 定差距。其中,法律合规、个人信息保护、数据管 理、基础设施运行等领域的风险治理成熟度较高, 生态建设和新技术应用领域的成熟度较低。 (51.61%)和数据管理(46.77%)。其次为新技术应 用(38.71%)、业务安全管理(35.48%)和法律合规 (33.87%)。优先级较低的领域包含应用管理和基础 设施运行,分别为

pdf文档 互联网协会 2020年度互联网企业信息科技风险治理现状调研报告

文档预览
中文文档 17 页 50 下载 1000 浏览 0 评论 0 收藏 3.0分
温馨提示:本文档共17页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
互联网协会 2020年度互联网企业信息科技风险治理现状调研报告 第 1 页 互联网协会 2020年度互联网企业信息科技风险治理现状调研报告 第 2 页 互联网协会 2020年度互联网企业信息科技风险治理现状调研报告 第 3 页
下载文档到电脑,方便使用
本文档由 路人甲2022-06-17 03:23:56上传分享
给文档打分
您好可以输入 255 个字符
网站域名是多少( 答案:github5.com )
评论列表
  • 暂时还没有评论,期待您的金玉良言