信息安全≠数据安全，山石网科发布2021《数据安全治理白皮书》

完整的数据安全治理体系，是一个包含了目标、组织、流程、技术等多维度的复杂系统工程。数据安全治理应该侧重四点：数据安全治理是必选项；是一套完整的治理体系问题；是多维视角的立体建构能力；是建立数据全生命周期的多维立体主动防护体系。

编辑 | 宋慧

出品 | CSDN 云计算

11月24日，山石网科面向全行业首家推出2021 版《数据安全治理白皮书》（下称“白皮书”），并面向企业和组织正式发布，全新的数据安全治理体系和全生命周期的数据安全治理平台。

2020年，全球数字经济规模达到32.6万亿美元，同比名义增长3.0%，占GDP比重为43.7%。我国数字经济规模近5.4万亿美元，居世界第二位；同比增长9.6%，增速位居全球第一位。数字经济越发展，安全问题就越突出。白皮书指出，数字产业正面临着数字经济快速发展，但数据安全治理却混沌无序的现实难题。

在面向企业的数据安全治理问题上，山石网科董事长兼CEO罗东平谈到：完整的数据安全治理体系，是一个包含了目标、组织、流程、技术等多维度的复杂系统工程。数据安全治理应该侧重“四个而是”：对于广大企业而言，数据安全治理不是一个可选项，而是一个必选项；不是单个技术突破问题，而是一套完整的治理体系问题；不是仅限于技术单一思考维度，而是多维视角的立体建构能力；不是单一防护点堆砌，而是建立数据全生命周期的多维立体主动防护体系。

山石网科数据治理体系：一维到多维混沌到有序

伴随《数据安全法》、《个人信息保护法》的相继实施，信息安全已从“互联网大蛮荒时代”“网安法时代”走向“大合规时代”。

大多数企业在此前或多或少已有了一定的安全体系，基本上都是围绕着网络环境和信息系统开展的安全防护工作，主要聚焦在了网络安全和信息安全方面。

而数据安全是以数据为中心，围绕着数据全生命周期进行建设以提高企业数据安全保障能力。山石网科认为，数据安全治理永远不是从零开始的，它一定是基于企业现有的安全能力建设现状，通过以数据为中心的视角，对现有的体系进行扩展以实现对数据的安全治理管控。

山石网科立足于安全行业和实际需求两端，创见性的提炼了一套基于“一维到多维混沌到有序”的数据安全治理体系方法论，目的是将复杂问题结构化，结构化的问题简单化。希望为正在发愁如何开展部署数据安全治理的企业和组织，提供一套完整的数据安全认知理论，和关键落地路径。

这套山石网科多维治理体系的主要价值在于，帮助企业和组织，摆脱了头疼医头，脚疼医脚的传统治理方式，将数据安全治理建设的思考着力点调整到从单维到多维进行驱动，锁定企业的数据安全治理战略。在具体实施上，首先以安全技术为核心抓手，对数据安全战略目标、制度、运营、以及服务提供多维度的有力支撑；建立立体主动的多维防护体系；以安全服务为企业在应急响应、监督审查、安全培训等方面提供多维度保障，最终建设出匹配企业自身特点和发展阶段的可持续数据安全运营能力。

另一方面，山石网科的数据安全治理体系可以协调推进，帮助企业数据安全战略落地做到有的放矢，快速理清数据安全与企业现状之间的关系。厘清如何通过合规需求、企业自身业务需求、行业要求等，多个维度来定义一套成本最优、方向正确的数据安全治理体系。

信息安全≠数据安全企业需要崭新对待

数字经济时代数据已成为发展的核心生产要素，是重要资产和基础战略资源。

与此同时，网络安全、数据安全建设却远落后于企业技术转型速度的现实，也给企业和组织带来了沉重的代价。很多企业由于疏漏或行动紧迫性而未将网络安全、数字安全纳入决策流程，导致新的漏洞进入快速变化的环境，并持续威胁当下的企业。

从互联网平台企业滥用个人信息，到数据跨境流动带来国家安全隐患，作为数字化安全的重中之重，数据安全治理正成为重大难题。白皮书指出，产业目前普遍面临着“数据泄露、数据信息滥用、数据跨境流动风险、数据安全技术零散、数据权属争议、数据监管效能低下、数据安全管理制度缺失”等多项数据安全问题。

数据安全治理的前提是对当前数据资产状况有清晰的了解。但如今很多企业在进行数据安全治理时，注意力依然更多的集中在对外管理上，造成了“对外铁桶一块，对内千疮百孔”。针对这种情况，山石网科在设计整个数据治理体系的过程中，参考了两个维度来解困目前的局面：第一个大维度是参考DSMM（数据安全成熟度模型），对企业在数据安全建设中的所有控制点进行评估。第二个大维度，是结合企业实际业务，根据企业战略方针，更多的从场景层面出发，通过有效的数据分级分类，制定安全策略，打通技术能力基座与安全政策的对应关系，通过可持续的安全运营不断提高数据安全治理能力。