CSA发布 | 理解数据安全风险调查报告 - 新鲜讯息

在当今数字化转型浪潮下，数据安全风险已成为各组织面临的重大挑战。云安全联盟（CSA）近期发布的《理解数据安全风险调查报告（2025）》深入剖析了当前组织在数据安全管理方面的现状、痛点与发展趋势。

本次调研揭示了组织面对的多重困境——包括风险认知缺口、战略优先级错位及工具效能低下等问题，更指明了强化安全防御体系的转型契机。通过深化对数据风险的认知，企业能够弥合信心差距、优化运营流程，从而在持续演变的威胁环境中抢占先机。

左右滑动查看更多

文末附报告获取方式

《理解数据安全风险调查报告（2025）》

关键发现：聚焦风险评估与管理策略

关键发现 1：

风险认知存在差距，限制有效风险管理

报告指出，当前组织在数据安全风险认知方面存在显著差距，这直接阻碍了有效风险管理的实施。具体表现为：

· 工具与信心的缺失：31% 的受访者缺乏识别高风险数据源的工具，12% 的受访者不确定此类工具是否存在。更令人担忧的是，80% 的受访者对自身识别高风险数据源的能力并不高度自信。这表明，即使组织拥有一定的风险识别工具，也可能因风险管理实践的不成熟，难以将工具提供的洞察有效转化为实际行动。

· 复杂环境加剧挑战：大型组织由于系统多样，风险分布更加分散，不一致的管理实践进一步增加了未被发现风险的可能性。

为应对这些挑战，报告建议组织投资能够提供数据风险及其影响的可操作洞察的解决方案，并加强风险管理策略，以更好地保护复杂环境中的敏感资产。

关键发现 2：

管理层与员工的错位，影响风险和合规策略

管理层与员工在数据安全风险管理和合规策略上的优先级错位，削弱了组织的风险应对能力：

· 战略与运营优先事项的差异：高管更关注高层次目标，如量化安全态势、与业务优先事项对齐；而员工则侧重于获取资源以实施策略。

· 感知与信心的错位：20% 的员工认为首席信息安全官不优先考虑安全方面的高管投资，而 34% 的管理层则认为这是优先事项。此外，员工对识别高风险数据源的信心较管理层低（10% 对比 3%）。

· 运营挑战凸显：48% 的受访者提及人力不足，46% 指出缺乏自动化，54% 依赖半自动化流程，22% 仍使用手动方法。

报告建议组织改进管理层与员工之间的沟通与协作，优先投资资源、自动化和流程改进，以弥合执行差距，确保战略目标与运营现实相一致。

关键发现 3：

现有工具难以跟上现代风险管理需求的演变

现有工具在应对现代数据安全风险管理需求时暴露出诸多不足：

· 工具过载与低效：54% 的受访者使用 4 个或更多工具来管理数据风险，导致低效和信息冲突。26% 的受访者认为工具孤岛是有效风险管理的障碍。

· 工具局限性明显：传统工具缺乏集成和可见性，无法满足主动的数据风险管理需求。脱节的工具妨碍了组织识别和管理相互关联的风险。

· 复杂环境放大挑战：混合和多云环境要求工具具备可扩展性、集成性和实时洞察力，以适应动态变化的风险态势。

报告建议组织采用整合合规、安全和风险管理的统一平台，简化流程，提高可见性，从而主动识别和应对风险。

关键发现 4：法规和合规推动风险降低，

但在主动数据安全策略上存在不足

合规虽然是风险降低的重要驱动力，但在主动数据安全策略方面存在明显不足：

· 合规驱动风险策略：59% 的受访者优先考虑合规（如 ISO、GDPR、PCI DSS）以降低风险，合规有助于确保运营连续性并避免处罚。

· 对新兴风险的被动应对：仅 11% 的受访者优先关注风险用户行为，12% 关注适应变化的攻击面，15% 进行实时风险评估，31% 花费超过一周时间评估风险。

· 应对动态威胁的差距：仅靠合规无法解决不断演变的威胁和扩大的攻击面，风险评估的延迟导致漏洞未被及时解决。

报告建议组织在合规基础上，平衡主动策略，如实时监控、高级检测和动态风险评估，以增强数据安全防护能力。

关键发现 5：

向基于风险的策略转变至关重要

报告强调，组织正逐步从合规驱动转向基于风险的安全策略，这一转变对于提升组织的安全韧性至关重要：

· 优先事项的转变：在优先事项方面，识别（7.06）和优先处理（6.15）漏洞远超政策变更（3.62）。

· 关键绩效指标的侧重：组织优先考虑漏洞修复率（36%）和安全违规（35%），而非合规违规（29%）。

· 投资重点明确：未来 12 - 18 个月，组织计划优先培训员工（65%）、简化流程（51%）、整合工具（47%）。

基于风险的策略不仅能提升组织的弹性与运营效率，增强主动应对风险的能力，还有助于简化合规流程。报告呼吁组织加速向基于风险的安全管理模式转型，以实现更优的风险管理效果、安全防护成果和运营效率提升。

对数据安全风险现状的总结思考

调查结果显示，组织可以通过以下清晰路径强化数据安全与风险管理能力。

1.深化风险认知

组织需借助工具与流程，获取高风险数据源的可操作洞察，以此增强对混合环境及云环境中风险的理解。这一步骤将缩小可见性和决策信心的差距，更精准地对风险进行优先级排序和针对性化解。

2.搭建统一管理平台

投资整合合规、安全与风险管理工具的统一平台，可有效解决因系统孤立、工具冗余导致的效率低下问题。理想的平台应具备评估结果、专用仪表盘和动态风险评分等功能，既能简化工作流程、提升扩展能力，又能推动安全工作与整体业务目标深度协同。

3.强化团队协同

管理层与运营团队需加强沟通协作，确保战略目标与执行实际相契合，使组织对新兴威胁保持敏锐警觉。同时，通过解决资源限制问题，充分保障运营需求，可弥合现有管理缺口，提高风险策略的执行效能。

4.转向主动风险管理

组织必须摒弃被动应对模式，转向以风险为核心的主动管理策略，重点聚焦动态风险评估、漏洞全生命周期管理和适应性能力建设，从而从容应对不断演变的安全威胁。通过转型，组织不仅能增强抗风险韧性，还能将合规要求自然融入数据保护与安全实践中，实现合规目标。

关注公众号，回复关键词 “数据安全风险”

即可获取报告完整版

致谢

本文作者：

中国联通研究院主任研究员曹咪

报告支持单位

当今企业依赖云、数据和软件来做出果断决策。因此，全球最受尊崇的品牌和大型组织依靠 Thales 来保护和确保其最敏感信息和软件的安全，无论这些信息和软件是在云、数据中心、设备还是网络中创建、共享或存储的。作为以应用、数据、身份和软件驱动的世界的全球安全领导者，我们的解决方案助力组织安全地迁移到云，充满信心地实现合规，从软件中创造更多价值，并为数百万消费者提供无缝的数字体验。

阅读推荐