中小微企业在安全建设中存在哪些主要问题 ？

我来概括一下：中小微企业对数字安全认知不足、资金缺乏、 缺乏适合的安全措施、以及员工安全意识和素养不 到位，成为其开展数字安全建设的重要障碍，造成 了中小微企业数字安全能力的普遍不足。如果想要了解更多的话，可以前往原报告查看。

（一）认知不足

很多人认为中小微企业不是网络攻击的主要对 象，从而忽视中小微企业的安全能力建设，未能系 统性的持续开展数字安全建设。认知不足主要体现在以下方面：

1.企业缺乏数字安全文化、专家和知识，企业 高级管理人员往往依赖于自身对问题的理 解，对所面临的数字安全威胁的认识不足， 影响企业对数字安全相关策略、程序、资源 和措施的决策和支持。

2.企业往往不能将数字安全纳入业务发展目 标，将数字安全视为一种成本，而不是对其业务的投资。

3.企业存在忽视规范企业数字安全管理和开 展员工数字安全培训的问题，将影响数字安 全措施效果的发挥。

4.企业通常不能定期开展网络安全自查工作 和风险评估，不了解企业信息系统的风险 状况，错过了有效发现和处置高危风险的机会。

（二）资金缺乏

数字安全建设需要从各个方面进行投资，包括 实施网络安全和数据安全控制机制、构建应急响应机制、开展意识培训、聘请外部专家、以及对安全 人员进行专门培训等，需要专项资金的支持。然而， 预算限制正在成为中小企业开展数字安全建设的关 键障碍。随着安全需求与有限预算之间差距的拉大， 也将加剧中小微企业的数字安全风险。

（三）市场关注和供给不足

中小微企业面临的一个挑战是数字安全的解决 方案、标准、指导方针的可得性和适用性。当前市 场上的安全产品和服务通常针对更大规模的企业组 织，专业门槛高，中小微企业面临不会用和没人用 的问题。同时，现有数字安全的框架、技术措施和 管理机制需要非常高的专业基础，例如等保、风险 评估、攻防演练等，对于大部分中小微企业来说， 需要外部专家/安全供应商的协助才能理解和实施。

（四）员工安全意识和素养不足

中小微企业员工的安全意识和素养不足严重影 响企业数字安全建设。一方面，中小微企业安全防御 措施无法有效的避免数字安全事件，很大程度与企业 员工安全意识不足有关。据相关机构数据统计，在所 有安全事件中，只有 20%-30%是由于黑客入侵造成的， 而 70%-80%是由于员工的疏忽或失误造成的。2017 年 《中国网民网络安全意识调研报告》统计显示，82.6% 的网民没有接受过任何形式的网络安全培训。另一方 面，由于数字安全建设的专业性，人们往往认为数字安全只与 IT 相关人员有关，但实践中需要将数字安 全作为组织文化的一部分，需要企业全体人员的参与。

此外，中小微企业也缺乏数字安全方面的专业知 识和人员，很少能够雇佣专业的安全人员，通常由非 专业人员来负责日常数字安全运营和相关流程。