文章总结： ISACA调查显示多数组织虽认知量子计算对加密体系的威胁，但仅5%已制定量子安全路线图，55%未采取任何措施。长期数据暴露风险使量子威胁现实化，迁移面临密码资产不可视、供应链复杂等挑战。ISACA建议分阶段推进认知提升、资产盘点和持续审计。 综合评分： 85 文章分类： 政策法规,安全建设,数据安全,漏洞预警,解决方案

寰球密码简报（2026年乙本第14期）丨ISACA调查揭示：多数组织量子安全准备滞后

原创

唐梦晨 唐梦晨

苏州信息安全法学所

2026年6月18日 15:35 江苏

在小说阅读器读本章

去阅读

本期简报围绕国际信息系统审计和控制协会（ISACA）于2025年4月28日发布的量子计算民意调查结果展开，一并梳理其同期发布的评论文章、路线图等相关分析内容。调查结果显示，尽管量子计算对现有加密体系的潜在威胁已受到广泛关注，但多数组织仍未建立正式量子计算路线图，也尚未启动系统性后量子密码（PQC）迁移准备工作。围绕长期数据暴露风险、密码治理以及迁移复杂性的讨论，正逐渐推动后量子密码问题从技术层面延伸至长期治理层面。

一、调查结果概述：量子安全认知与行动脱节

2025年4月，ISACA发布首个“量子计算脉搏调查（Quantum Computing Pulse Poll）”结果。该调查覆盖2600余名涉及数字信任、网络安全、IT审计、治理与风险管理的从业者，重点评估受访者及组织对量子计算风险的认知及准备情况。

调查显示，多数受访者已将量子计算视为未来网络安全的重要风险来源之一。62%的受访者对量子计算未来可能破解当前互联网使用的加密体系表示担忧，56%的受访者对攻击者正在实施“先收集、后解密”（harvest now，decrypt later，HNDL）策略表示担忧。

与此同时，受访者普遍认为量子计算不仅会改变现有网络安全格局，也可能对商业运营、监管合规以及企业技术能力结构产生长期影响。

然而，与较高的风险认知形成鲜明对照的是，组织实际准备情况明显滞后。调查显示，仅有5%的受访者已建立正式量子计算路线图，也仅有5%的受访者将量子计算视为近期高优先级事项。55%的受访者尚未采取任何量子安全准备措施，37%的受访者甚至从未讨论过量子计算问题。此外，组织对后量子密码标准的认知仍较有限。44%的受访者从未听说过美国国家标准与技术研究院（NIST）后量子密码标准，仅有7%的受访者表示“非常了解”相关内容——尽管NIST已持续推进PQC迁移相关工作超过十年。

调查呈现出明显的“认知与行动脱节”现象：一方面，企业普遍担忧量子计算对加密体系和业务安全产生的潜在影响；另一方面，大多数组织尚未将量子安全正式纳入其长期技术规划与治理体系。

值得关注的是，不同组织对量子计算产生现实影响的时间判断也存在较大差异。部分受访者认为行业级影响可能在未来五年内出现，也有相当比例得受访者认为时间窗口仍在十年左右。ISACA指出，这种时间预期的不确定性，已成为企业普遍推迟PQC迁移准备的重要原因之一。

二、长期数据暴露风险正推动量子威胁提前现实化

在同日发布的《No More Excuses for Procrastinating on Quantum Preparation》一文中，ISACA前董事会主席Rob Clyde对“先收集、后解密”风险进行了进一步分析。

他指出，即使当前量子计算能力尚不足以破解主流加密算法，攻击者仍可能已经开始大规模收集和储存加密数据，待未来量子计算能力成熟后再统一解密。这意味着，量子风险并非单纯的“未来问题”，而已成为与当前数据生命周期直接相关的紧迫议题。

Rob Clyde认为，过去安全行业长期处于观望状态，一个重要原因是等待明确的技术标准落地。但随着NIST于2024年正式发布首批后量子密码标准，这一“等待标准明确”的理由已经不再成立。

他强调，当前问题已不只是未来更换加密算法，而是组织是否已经开始盘点自身加密资产，并规划长期迁移工程。由于后量子密码迁移并非“一键切换”，而是涉及历史数据重新加密、数字签名体系更新、浏览器与网站协议升级以及IoT设备改造等复杂任务，因此拖延只会进一步扩大未来迁移压力。

Rob Clyde指出，与传统具有明确时间节点的IT风险不同，量子时代并不存在明确的“Q-Day”——即量子计算机真正具备破解现有互联网加密能力的时间点。这种不确定性意味着组织更难等到最后阶段再统一完成迁移。如果量子计算技术突破速度快于当前预测，时间窗口可能会迅速压缩。既然迁移工作终究需要完成，那么越晚启动，就意味着越多敏感数据将暴露在未来风险之下。

三、后量子密码迁移为何推进缓慢

ISACA还进一步分析了后量子密码迁移推进缓慢的深层原因。在《Preparing Our Stakeholders to Navigate Quantum Computing》一文中，来自Thales的高级网络安全顾问Donavan Cheah指出，许多组织实际上并不清楚自身“在哪里使用了密码”。

虽然核心系统中的RSA或ECC算法相对容易识别，但大量第三方组件、旧版软件库、嵌入式设备及供应链产品中的加密机制往往缺乏完整的可视性。这意味着即使组织已经意识到量子风险，也未必能够准确评估自身迁移范围和复杂程度。与此同时，现代企业对第三方供应链和云服务的依赖，也进一步增加了迁移的复杂性。尤其是在跨地区、多层级供应链场景下，统一推进PQC升级的协调成本极高。如果供应链厂商尚未完成兼容性升级，即使企业自身已启动迁移，也难以真正实现全面量子安全。

文章指出，统一密码治理机制的长期缺失、历史遗留系统中的加密算法缺少持续管理，以及密码资产盘点能力不足等问题，都可能在迁移过程中逐渐暴露。

量子风险的演进节奏加剧了迁移的紧迫性。Donavan Cheah提出，量子风险并非线性增长，而更接近“S曲线”模式：在技术突破公开前，风险可能长期停留在低概率区间；但一旦关键突破出现，国家级行为体及攻击组织可能在短时间内迅速复制相关能力，风险也将急速上升。而企业传统“事后响应”模式很难在短时间内完成大规模密码迁移。

在《Post-Quantum Cryptography：A Call to Action》一文中，ISACA还总结了企业迁移面临的多项现实挑战，包括PQC算法对性能与资源要求更高、现有系统兼容性不足、组织缺乏专业人才，以及大量IoT和嵌入式设备难以完成升级等。

文章指出，许多现有系统并非按后量子密码要求设计，迁移过程中往往需要重写密码库、更新协议并确保向后兼容，而这一过程本身也可能带来新的安全风险。与此同时，企业当前大量资源和管理注意力仍集中于AI等热点领域，量子安全议题在不少组织内部仍未真正成为核心优先级事项。

四、ISACA发布分阶段量子安全准备路线图

ISACA同步发布了《Prepare Now for Quantum Computing Threats：A Roadmap for Digital Trust Professionals》路线图，为组织当前可开展的量子安全准备工作提供了行动框架。

路线图强调，在长期数据暴露风险已经存在的背景下，组织不应等到量子计算真正具备现实攻击能力后再启动迁移。路线图明确提出，组织当前应重点围绕认知提升、密码资产盘点、分阶段迁移以及持续审计四个方面推进准备工作。

首先，组织需要提升内部管理层及业务部门对量子风险的认知，将量子安全纳入企业长期治理与风险讨论框架。其次，组织应尽快识别所有使用加密机制的数据、系统与设备，并根据数据敏感程度制定长期迁移计划。对于新增数据，尽可能直接采用后量子加密；对于历史数据，则需结合业务关键程度逐步完成重新加密。路线图特别指出，部分大型组织的数据规模已达到EB量级，重新加密不可能短时间内完成，因此应尽早启动迁移。最后，组织应当将量子安全风险纳入持续性的IT审计、网络安全评估及合规审查体系，并持续跟踪NIST等机构关于后量子密码的最新标准与实施指引。

五、结语

量子计算对现有加密体系的威胁已不再停留于理论层面，长期数据暴露风险正在推动这一问题从“未来风险”逐渐转变为现实安全议题。然而，调查结果显示绝大多数组织仍停留在风险认知阶段，尚未进入系统性准备阶段。密码资产不可视、供应链依赖复杂、关键基础设施升级困难以及组织优先级不足，共同构成了当前后量子密码迁移推进缓慢的重要原因。

ISACA通过此次调查与路线图所释放的信号非常明确：后量子密码迁移并不是一次性的技术升级，而是一项涉及治理、供应链、关键基础设施及长期数据管理的持续性系统工程。对于组织而言，后量子密码迁移正在逐渐从前沿技术问题转变为长期治理问题，其准备周期、实施复杂程度以及涉及范围，均可能超出传统安全升级项目。

编译：唐梦晨

审核：原浩  朱莉欣  方婷

完

作者编译观点仅代表个人

不代表密码法治实践创新基地

为方便排版，已略去脚注

如需转载或咨询，请联系谢老师

13771998064（微信）

报告预售

市场售价：1999元

                    (含发票)

转账备注：蓝皮书2025

购买报告（对公转账）

单位名称：西安交通大学苏州研究院

银行账号：325605000018010230038

开户银行：交通银行苏州科技支行

包含内容：报告纸质版精装+完整电子版

联系咨询：谢老师 13771998064（同微信）

已关注

关注

重播 分享 赞

关闭

观看更多

更多

退出全屏

切换到竖屏全屏退出全屏

苏州信息安全法学所已关注

分享视频

，时长01:21

0/0

00:00/01:21

切换到横屏模式

继续播放

[ ]

进度条，百分之0

播放

00:00

/

01:21

01:21

倍速

全屏

倍速播放中

0.5倍 0.75倍 1.0倍 1.5倍 2.0倍

流畅

继续观看

寰球密码简报（2026年乙本第14期）丨ISACA调查揭示：多数组织量子安全准备滞后

观看更多

原创

,

寰球密码简报（2026年乙本第14期）丨ISACA调查揭示：多数组织量子安全准备滞后

苏州信息安全法学所已关注

分享点赞在看

已同步到看一看写下你的评论

视频详情

征文启事

简报长期征稿，欢迎政府、科研、产业和学术同仁投稿，择优录用，以每千字100-300元标准支付稿酬。投稿请联系：谢老师13771998064（同微信）。

更多资讯 欢迎扫码关注

“苏州信息安全法学所”

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：苏州信息安全法学所 唐梦晨 唐梦晨《寰球密码简报（2026年乙本第14期）丨ISACA调查揭示：多数组织量子安全准备滞后》