2020年度互联网企业信息科技风险治理现状调研报告

2020 年度 互联网企业 信息科技风险治理 现状调研报告 中国互联网协会信息技术（IT）风险治理工作委员会 2021 年 2 月 2020 年度互联网企业信息科技风险治理现状调研报告 | 2 版权声明 本调研报告版权属于中国互联网协会信息技术（IT）风险治理工作委员会，并受法律保护。转载、摘编或利用其它方式使用本调研报告文字或者观点的，应注明“来源：中国互联网协会信息技术（IT）风险治理工作委员会”。违反上述声明者，将追究其相关法律责任。 2020 年度互联网企业信息科技风险治理现状调研报告 | 3 目录 P4 调研背景 P7 现状概述 P11 重点领域分析 P16 总结与展望 2020 年度互联网企业信息科技风险治理现状调研报告 | 4 01 调研背景 为深入洞察互联网企业信息科技风险治理面临的主要风险、治理现状以及存在的痛点和挑战，中国互联网协会信息技术（IT）风险治理工作委员会发起了《互联网企业信息科技风险治理现状调查问卷》。本报告由问卷调查结果汇总整理而成，旨在协助互联网企业掌握行业信息科技风险治理动态，对标行业最佳实践，为企业建立有效的信息科技风险治理体系奠定基础。 本次调研共收回 62 份有效的问卷样本，覆盖了超过三十种业务类型的互联网企业。问卷参与者主要来自互联网企业信息技术部门（29%），安全部门（16%）和业务部门（10%），其余包括内控部门、法律合规部门、政府公共事务部门等。 2020 年度互联网企业信息科技风险治理现状调研报告 | 5 本次调研的受访者来自运营不同类型业务的互联网企业，主要涵盖生活服务类、设备设施类、大众消费类、商业服务类等业务领域，调研范围具有广泛性（见表 1）。 贵公司开展的主营业务包括以下哪些？ 选项 小计 比例 即时通讯 6 9.68% 搜索引擎 7 11.29% 网络新闻 10 16.13% 网络视频 13 20.97% 网络购物 10 16.13% 第三方支付 12 19.35% 电子商务 15 24.19% 互联网金融 16 25.81% 网络零售 8 12.90% 网络广告 16 25.81% 网络教育 8 12.90% 网络游戏 10 16.13% 社区 8 12.90% 传统媒体网络版 4 6.45% 自媒体平台 4 6.45% 共享经济 3 4.84% 其他 22 35.48% 表 1 互联网企业业务分布统计 本次调研从员工数量和营业收入两个方面对不同规模的互联网企业进行统计，调研样本较为全面（见图 1和图 2）。 24.19%8.06%16.13%17.74%20.97%8.06%4.84%1000亿以上500亿至1000亿100亿至500亿10亿至100亿1亿至10亿1000万至1亿1000万以下图 1. 互联网企业人员规模统计 图 2. 企业营业规模（年营业收入：人民币）统计 50000人以上5000-50000人500-5000人50-500人50人以下 2020 年度互联网企业信息科技风险治理现状调研报告 | 6 根据调研结果显示，超过 88.7%的受访者所在企业的主营业务受工业和信息化部监管（见图 3）。此外，受经营范围影响，部分互联网企业还同时受到国家广播电视总局、中国人民银行、银行保险监督管理委员会、国家广播总局等机构监管。 图 3. 互联网企业主营业务的监管机构分布 在受访者所在企业中，占比最大的是非上市公司，约为 54%。此外，美股上市公司占比 19.35%，港股上市公司占比 12.9%，国内上市公司占比 17.74%。 参与本次调研的互联网企业中约 43.5%已开展出海业务，涉及全球多个国家和地区（见图 4）。其中，在欧盟成员国开城的企业占比最多，超过了 66%。其次是美国（62.96%）和俄罗斯（55.56%）。除此之外，还有部分互联网企业选择在日本、印度、新加坡、马来西亚、澳大利亚等国家开城。 图 4. 跨境业务涉及的主要国家或地区统计 14.52%24.19%11.29%22.58%4.84%22.58%88.71%其他银行保险监督管理委员会证券监督管理委员会中国人民银行国家卫生健康委员会国家广播电视总局工业和信息化部59.26%66.67%62.96%55.56%其他欧盟成员国美国俄罗斯 2020 年度互联网企业信息科技风险治理现状调研报告 | 7 治理组织架构 治理组织架构是企业开展信息科技风险治理工作的基础。根据调研我们发现，参与调研的大部分互联网企业设立了信息科技风险治理责任部门，其中，68%的受访企业已明确信息科技风险治理的实体责任部门，主要由风险、安全、合规、内控、法务等部门承担。18%的受访企业以跨部门的工作委员会形式开展工作。此外，14%的受访企业反馈尚未设立明确的责任部门，根据统计分析我们发现，尚未设立明确的责任部门的企业普遍规模较小，且非上市公司。 调研结果显示，仅有 29.03%的企业设置了首席风险官（CRO）。而在信息科技风险治理责任人方面（见图5），由首席信息官（CIO）、首席信息安全官（CISO）承 担 企 业 信 息科 技 风 险治 理 责 任 的 情况 较 多（18.18%），此外，部分企业由公司法人（13.64%）、首席执行官（CEO）（15.91%）、业务条线负责人（15.91%）承担信息科技风险治理责任，首席风险官（CRO）、首席技术官(CTO)占比较少，另外少数企业尚未明确信息科技风险治理责任人。这体现出部分互联网企业仍未形成职责明确、相互制衡的信息科技治理组织架构，风险管理责任人同时承担经营管理和决策，对风险管理工作的独立性有一定影响。 图 5. 互联网企业信息科技风险治理的第一责任人统计 2.27%6.82%15.91%4.55%18.18%4.55%18.18%15.91%13.64%其他尚未明确业务条线负责人首席技术官（CTO）首席信息安全官（CISO）首席风险官（CRO）首席信息官（CIO）首席执行官（CEO）法人02 现状概述 2020 年度互联网企业信息科技风险治理现状调研报告 | 8 风险管理策略 问卷针对互联网企业信息科技风险治理目标进行了调研。调研结果显示互联网企业开展信息科技风险治理活动最主要的目标是为了保障业务正常运营（83.87%）和防范信息科技风险事件（85.48%），其次是为了符合监管合规要求（82.26%）。对比以上，较少企业将承担社会责任（64.52%）和获取资质（46.77%）作为主要的风险治理目标。 从面临的主要风险*来源来看（见图 6），受访者所在互联网企业普遍认为来自合作伙伴、软硬件供应商、外包服务商和同业企业的生态风险最高（61.13%）。其次是来自于人员有意或无意的违规操作（56.45%）与不符合法律法规和监管要求（41.