Gartner最新研究：洞察中国企业的数据安全

随着我国《数据安全法》和《个人信息保护法》的正式颁布施行，数据安全与隐私保护问题越来越引起国家、社会以及企业的重视。数字时代到来，面临越来越多的数据，许多企业都面临着这样一个问题：如何能够合规使用手里的数据让其发挥价值，又最大限度保护自身的数据的安全？

数据安全现状：

从事件+合规驱动到业务驱动

现如今，许多企业面临这样的数据使用情况：一方面，业务部门尝试用不同的方法挖掘数据的使用价值，对数据做分析、应用。比如在营销的场景中，许多互联网企业、金融企业，用客户的数据去做用户画像或精准营销。另一方面，数据安全和隐私合规部门持续对数据的使用情况进行沟通，担心违背数据保护与合规的要求。比如: 遵守相关的法律法规，保护客户数据隐私，核心业务数据不能随意的和第三方做共享。如此一来，使用数据时，企业如果不能找到一个比较有效的机制去平衡数据保护方和数据使用方之间的需求，就很难把有价值的数据资产在企业内部或外部之间流动起来，真正去发挥数据的价值。

据Gartner研究显示，过去的事件驱动型的投资在如今已经转换为合规驱动性的投资。研究总监陈延全曾说，“满足合规要求是数据安全工作的底线，不是最终目的，最终数据安全的投资需要反映到对业务产生的价值。” 因此他们对于数据安全治理提出新方法，既帮助企业平衡业务部门使用数据进行创新的需求，又能协助企业能够满足相关的监管合规要求。可以帮助企业从“合规驱动型”的数据安全投资，逐渐转向成“业务驱动型”的投资。

目前数据安全领域的产品市场呈现出碎片化的情况，数据安全产品的品类、品相非常多、厂商也非常多。这造成甲方企业客户在选购数据安全产品上，会有一定的困难。在此基础上，Gartner进一步分析了六个能够影响到数据安全发展和治理的驱动力，分别是监管合规要求、安全威胁、IT战略、数据可见度、碎片化产品和业务需求。

如魔方示意图所示，六个数据安全发展的驱动力互相关联，相互作用。因此企业要考虑从这六个方面综合考虑自身的数据安全治理。首先要考虑的就是合规，Gartner预测：2025年，在中国开展业务的大型跨国机构将近有半数以上会开始设置专职的数据安全负责人。这些数据安全负责人必须具备有一定程度本地的法律专业知识，还有语言技能，才能够更好帮助服务的企业来满足中国本地相关的数据安全保护需求。目前国内在数据安全方面主要以满足《网络安全法》《数据安全法》和《个人信息保护法》三部法律为基础，同时网信办及各个行业监管机构发布的相关规范，多项法律法规的颁布让企业在数据使用上如履薄冰，“数据使用是否符合规定”成为了企业不得不考虑的问题。

如何实现数据安全治理？四步走战略

根据Gartner最新发布的一系列“最佳实践”的分析报告和“企业如何去响应《数据出境安全评估办法》”的相关报告显示，大多数企业的数据安全治理会分为以下4个步骤：

一、设置数据安全治理与管理职能。

这一步主要是设定组织内部的角色分工，比如设置安全管理部门、建设企业内部的数据安全管理体系等。

二、落实数据发现与分级分类。

通常企业处理的数据类型涉及多种，有些数据是属于结构化数据，是传统数据库里面的表单数据，有些是非结构化数据。比如：办公文档，甚至图文件、视频、语音等都属于非结构化数据，这些数据一般放在公司内部本地部署的服务器或通过云上的SaaS服务来存储使用。

用户需要首先发现识别这些数据，识别之后根据数据的使用敏感性及数据本身的业务属性做分类分级。这也是目前大部分国内企业在数据治理方面的重点工作。

三、开展数据安全与合规评估。

现在国内相关法规里提到的需要进行的数据安全评估的项目非常多，比如：《数据安全法》要求企业在涉及到重要数据处理时，定期要开展一次数据安全风险评估；其他法规也提到，如涉及到数据出境，需要做数据出境安全评估；如若涉及到处理个人信息，也要做个人的影响评估.....因此，数据安全使用合规已成为了企业需要长期投入成本、持续运营的一项工作。

四、选择并整合数据安全产品。

Gartner建议企业如果在选择数据安全产品，尽量采用整合型的数据安全产品，也就是平台型的产品。因为平台型的产品能够整合单一功能的数据安全产品。如果长期去操作、运维、维护这些单一功能的数据安全产品，会给企业增加相当大的运维负担。

数据安全投资的本质：贴近业务的需求

据Gartner预测：2025年，中国60%以上企业机构的董事会将把网络安全风险视为一种业务风险。这个趋势会帮助我们把网络安全投资以及数据安全投资从合规性驱动转换成业务驱动。在此之前，首先需要安全部门与业务数据使用方建立一个共同理解。因为数据对于安全部门和业务部门是有不同意义的，看待数据的视角不同，导致安全部门和业务部门对于数据的分类、管理及风险评估采用的方法不同。

通常来讲，企业里的安全部门会以数据的机密性、敏感性来对数据做分类分级。通常把数据分为外部数据、内部数据、机密数据、绝密数据等。业务部门则更多的从数据实用性或者业务属性对数据分类，大多把数据分为“研发数据、财务数据、人事数据”等。有趣的是，两个部门管理数据的方式也不完全相同。比如：一个企业数据的使用期期限到了。你问业务部门：“这些业务数据该怎么处理？”业务部门倾向会说：我们就永久保存，说不定以后还会再用上。而安全部门则会说：“数据没用了就销毁掉，我们就只保存最少的期限，符合监管原则即可。”

这种不同的处理方式也会反映到对数据做风险评估、风险处治优先级的排序上。Gartner研究总监陈延全表示，现在国内有很多不同的数据风险评估合规要求，我们把使用数据过程中涉及到的风险分为三大类，自下而上包含：数据/隐私风险，业务风险，以及业务风险最终会给企业带来的财务风险。

大部分企业在做“数据风险评估”时，通常最关注底层的数据/隐私风险。为了满足相关监管要求，把通过自评估的工作流程如数据安全风险自评估、数据出境自评估或者隐私影响评估发现的“不合规项”直接做处置。

Gartner建议企业透过一些工具、方法、流程，将这些数据的风险映射到对于业务部门的影响上，再基于对这些业务影响去量化财务风险。这样，当企业在做风险处置优先级排序的时候，就可以采取由上至下的思路，挑选出能够最大程度降低企业的财务风险优先处治它，就不单只是考虑合规的需求、同时也考虑业务的需求。在完成以上分析的基础上，企业可以通过风险、价值、成本的模型去优化未来的数据安全投资策略组合，让数据安全投资更贴近业务的诉求。

文：木清漪 / 数据猿