1 引言

數(shù)據(jù)安全如今在全球受到極大的關(guān)注，大家都在討論這個(gè)話題。但對于什么是數(shù)據(jù)安全、該如何做數(shù)據(jù)安全等基本問題，大家還存在很多混亂甚至誤解。本文圍繞與當(dāng)前數(shù)據(jù)安全相關(guān)的一些基本概念進(jìn)行探討。

2 為何強(qiáng)調(diào)“數(shù)據(jù)安全”，而非“大數(shù)據(jù)安全”

很多人在討論大數(shù)據(jù)安全這個(gè)話題的時(shí)候，會(huì)糾結(jié)于“這是不是大數(shù)據(jù)”或者“這是不是大數(shù)據(jù)系統(tǒng)”。這會(huì)讓人們忽略現(xiàn)在面臨的真正問題：在數(shù)據(jù)無處不在、無處不用的情況下，如何保證數(shù)據(jù)安全。如果用大數(shù)據(jù)的定義限定大數(shù)據(jù)安全的范圍，而忽略非大數(shù)據(jù)系統(tǒng)更加容易成為壞人得手的重災(zāi)區(qū)這一現(xiàn)實(shí)，那么就不會(huì)讓數(shù)據(jù)安全的現(xiàn)狀有任何改善。例如讓全社會(huì)開始高度重視數(shù)據(jù)安全的“徐玉玉”案件，顯然和大數(shù)據(jù)以及大數(shù)據(jù)系統(tǒng)都無關(guān)系。如果大家搞了半天所謂“大數(shù)據(jù)安全”，卻不能降低下一個(gè)“徐玉玉”事件的發(fā)生概率，那么這樣的“大數(shù)據(jù)安全”并沒有什么意義。因此當(dāng)前全社會(huì)需要關(guān)注的其實(shí)是“大數(shù)據(jù)時(shí)代下的數(shù)據(jù)安全”。當(dāng)人們今天討論數(shù)據(jù)安全問題的時(shí)候，不能用是否是“大數(shù)據(jù)”或“大數(shù)據(jù)系統(tǒng)”來限定范圍。而且，大數(shù)據(jù)時(shí)代下數(shù)據(jù)的存在形式、使用方式、流轉(zhuǎn)共享模式等都和原來極為不同，因此大數(shù)據(jù)時(shí)代下的數(shù)據(jù)安全是個(gè)新問題，而不是傳統(tǒng)的數(shù)據(jù)安全概念。

3 “數(shù)據(jù)安全”不僅僅是防竊取

現(xiàn)在很多人說的數(shù)據(jù)安全問題僅僅是實(shí)際要解決的問題的一小部分。從用戶的角度來看，當(dāng)前數(shù)據(jù)安全至少包括以下三方面問題。

一是數(shù)據(jù)被竊取，即擔(dān)心自己的數(shù)據(jù)被壞人偷走。實(shí)際上壞人可能從外面偷數(shù)據(jù)，也可能從內(nèi)部偷數(shù)據(jù)。按照以往安全行業(yè)的基本共識(shí)，來自外界的安全威脅只占三分之一左右，三分之二的安全威脅是從組織內(nèi)部發(fā)起的。根據(jù)筆者團(tuán)隊(duì)的調(diào)查，在一些特定行業(yè)中，內(nèi)鬼竊取數(shù)據(jù)的比例比外界竊取數(shù)據(jù)的比例更高。然而迄今依然有很多人把防范外部數(shù)據(jù)竊取作為數(shù)據(jù)防竊取的全部內(nèi)容，而忽視對內(nèi)部攻擊的應(yīng)對。僅僅強(qiáng)調(diào)用戶側(cè)應(yīng)用軟件的安全、數(shù)據(jù)通信過程加密、防火墻設(shè)個(gè)大門等，以為門外管好就行了，這是遠(yuǎn)遠(yuǎn)不夠的。

二是數(shù)據(jù)被濫用，即用戶對擁有數(shù)據(jù)的服務(wù)方不放心，擔(dān)心他們會(huì)濫用自己的數(shù)據(jù)。用戶的數(shù)據(jù)在服務(wù)提供方那里，他們的員工會(huì)不會(huì)濫用權(quán)限、隨便訪問用戶數(shù)據(jù)？他們會(huì)不會(huì)因?yàn)楹闷婊蛘吲笥岩蟛榭茨硞€(gè)用戶的個(gè)人信息？他們會(huì)不會(huì)把用戶的個(gè)人信息倒賣出去？與通過內(nèi)部網(wǎng)絡(luò)攻擊竊取數(shù)據(jù)的行為不同，這里說的是服務(wù)方工作人員在授權(quán)范圍內(nèi)從事了不符合業(yè)務(wù)場景的數(shù)據(jù)訪問。例如，用戶要求客服幫忙，客服人員在這種場景下訪問該用戶的數(shù)據(jù)解決其問題，這是正常的業(yè)務(wù)場景。但是如果沒有用戶請求，客服人員擅自訪問用戶數(shù)據(jù)，就屬于濫用行為。在大數(shù)據(jù)時(shí)代，數(shù)據(jù)和業(yè)務(wù)都在高頻率地產(chǎn)生和變化，若對每一次數(shù)據(jù)訪問行為都重新進(jìn)行權(quán)限申請與審核，將直接扼殺業(yè)務(wù)，用戶也無法接受這樣的效率。因此數(shù)據(jù)安全的工作需要包括對數(shù)據(jù)濫用行為的識(shí)別、報(bào)警甚至阻止，并且應(yīng)建立制度，保障對實(shí)施濫用行為的員工進(jìn)行嚴(yán)厲制裁。從目前曝光的數(shù)據(jù)“黑灰產(chǎn)”案件中可以看到，大量案件是通過買通內(nèi)部人員濫用數(shù)據(jù)權(quán)限，從而進(jìn)行數(shù)據(jù)倒賣的。而這些情況都是案發(fā)之后才被調(diào)查發(fā)現(xiàn)的，說明這方面能力比較欠缺。

三是數(shù)據(jù)被誤用，即在大數(shù)據(jù)加工使用的過程中會(huì)不會(huì)侵犯用戶利益，也就是很多人談之色變的“用戶畫像”“精準(zhǔn)營銷”等。在各種描繪大數(shù)據(jù)給人類帶來美好機(jī)會(huì)的故事中，實(shí)際上都離不開精準(zhǔn)的個(gè)性化服務(wù)。而這些故事已經(jīng)在金融、健康、醫(yī)療、教育等很多領(lǐng)域中開始切實(shí)發(fā)生，甚至在制造領(lǐng)域也在快馬加鞭地發(fā)展，未來所有的領(lǐng)域都會(huì)走到這一天。這種精準(zhǔn)的個(gè)性化服務(wù)的背后其實(shí)就是“用戶畫像”“精準(zhǔn)營銷”這些大數(shù)據(jù)加工技術(shù)。技術(shù)本身是中立的，關(guān)鍵在于技術(shù)被如何應(yīng)用。“精準(zhǔn)營銷”是被用來“殺熟”還是被用來更好地滿足用戶的個(gè)性化需求？“用戶畫像”是用在支持個(gè)性化服務(wù)或者保護(hù)用戶安全，還是用在滿足其他不良動(dòng)機(jī)？在大數(shù)據(jù)分析加工的過程中，有沒有人能夠從中窺探到某個(gè)特定人的個(gè)人信息或者隱私？這些是防誤用的內(nèi)容。當(dāng)前的技術(shù)和管理總體上能夠控制大數(shù)據(jù)加工過程中的誤用，使人們在享受大數(shù)據(jù)帶來的好處的同時(shí)，把危險(xiǎn)“關(guān)在籠子里”。但是現(xiàn)實(shí)中，還有很多企業(yè)和組織在發(fā)展的過程中忽略了這個(gè)問題，讓用戶感到大數(shù)據(jù)是個(gè)“恐怖的惡魔”。數(shù)據(jù)防誤用的問題，現(xiàn)在被關(guān)注得更少。

4 數(shù)據(jù)安全為何必須“以組織為單位”

目前有一個(gè)比較常見的誤區(qū)是把手機(jī)上的移動(dòng)應(yīng)用軟件（App）安全等同于數(shù)據(jù)安全，例如通過評估手機(jī)上的移動(dòng)應(yīng)用軟件安全來判斷個(gè)人數(shù)據(jù)是否得到保護(hù)。手機(jī)App一直都是安全的重災(zāi)區(qū)之一，很多App確實(shí)存在不經(jīng)用戶許可秘密采集用戶數(shù)據(jù)、植入廣告、秘密產(chǎn)生費(fèi)用或者自身安全做得不好導(dǎo)致其數(shù)據(jù)被竊取等情況。但是App就算不存在這些問題，也不等于用戶的數(shù)據(jù)就是安全的。

如今，用戶的數(shù)據(jù)并不都是沉淀在移動(dòng)應(yīng)用軟件內(nèi)部、存在用戶終端上的。移動(dòng)應(yīng)用軟件背后連接的是云端，而且可能連接不同業(yè)務(wù)。因此即便是在“知情同意”“最小夠用”等原則下取得了用戶的授權(quán)，用戶數(shù)據(jù)還是會(huì)存在后端，并且在今天的社會(huì)化大協(xié)作的模式下共享使用。因此，大數(shù)據(jù)時(shí)代下數(shù)據(jù)的邊界是在產(chǎn)品、設(shè)備、業(yè)務(wù)、人員還是系統(tǒng)？顯然都不是。數(shù)據(jù)至少會(huì)在提供服務(wù)的組織內(nèi)部的不同產(chǎn)品、業(yè)務(wù)、設(shè)備、系統(tǒng)、人員中流動(dòng)，甚至為了完成用戶的一個(gè)服務(wù)需求，數(shù)據(jù)還必須在產(chǎn)業(yè)鏈上的不同組織之間流動(dòng)。例如，為了完成用戶的一個(gè)購物需求，數(shù)據(jù)就必須在商家、平臺(tái)、物流、獨(dú)立軟件供應(yīng)商、金融等多個(gè)環(huán)節(jié)中流動(dòng)。

因此，更合理的方式是以一個(gè)組織為單位來衡量數(shù)據(jù)安全的情況。這里的“組織”指的是擁有數(shù)據(jù)、提供服務(wù)的企業(yè)或者機(jī)構(gòu)，其具有相對獨(dú)立和完整的管理，也能夠?qū)I(yè)務(wù)和安全負(fù)責(zé)。數(shù)據(jù)在一個(gè)組織內(nèi)的不同產(chǎn)品業(yè)務(wù)中形成流轉(zhuǎn)閉環(huán)，組織是數(shù)據(jù)流動(dòng)的最小邊界。組織與組織之間通過可控的制度程序或者接口實(shí)現(xiàn)數(shù)據(jù)的跨組織流動(dòng)、共享、交易等，這時(shí)候也可以以單個(gè)組織的數(shù)據(jù)安全能力為基礎(chǔ)，進(jìn)行責(zé)任的劃分或者數(shù)據(jù)流動(dòng)風(fēng)險(xiǎn)的控制。

如今，政府在大力推動(dòng)多部門數(shù)據(jù)打通和共享利用，很多企業(yè)也在進(jìn)行組織變革，建立更強(qiáng)大的平臺(tái)能力，其原因是數(shù)據(jù)只有打通和流動(dòng)起來，才能更好地發(fā)揮價(jià)值。在這個(gè)過程中，單個(gè)產(chǎn)品或者技術(shù)平臺(tái)的安全都不代表數(shù)據(jù)本身就是安全的。只有以組織為單位，才可以跳出頻繁變化的產(chǎn)品、業(yè)務(wù)、人員等帶來的困惑，尋找到支撐今天數(shù)據(jù)安全需求的方法。

5 為何傳統(tǒng)安全方法不適用于大數(shù)據(jù)時(shí)代下的數(shù)據(jù)安全

大數(shù)據(jù)時(shí)代下的數(shù)據(jù)安全是一個(gè)全新的問題，無法簡單地用原來的安全方法解決。這主要體現(xiàn)在以下兩個(gè)層面。

一是不能用“以系統(tǒng)為中心的安全”思路解決問題。以系統(tǒng)為中心的安全是大家熟悉的安全方法，例如看某個(gè)軟件、某個(gè)服務(wù)器或某個(gè)手機(jī)終端安全與否。這主要是看這些系統(tǒng)在各種人為干預(yù)下是否會(huì)出現(xiàn)與預(yù)期設(shè)計(jì)不符合的功能，從而導(dǎo)致運(yùn)行狀態(tài)失控。如今，數(shù)據(jù)要在不同的系統(tǒng)之間流動(dòng)，若某個(gè)系統(tǒng)出了問題，可能影響到當(dāng)時(shí)在這個(gè)系統(tǒng)中的數(shù)據(jù)（包括被竊取），但這些數(shù)據(jù)也可能在別的系統(tǒng)中出問題。數(shù)據(jù)本身并不存在運(yùn)行狀態(tài)，數(shù)據(jù)出問題的概念和系統(tǒng)出問題的概念也不同。這兩者的關(guān)系，有點(diǎn)像醫(yī)院里“心血管科”和“血液科”一樣，前者解決的是血液循環(huán)系統(tǒng)本身的安全（運(yùn)轉(zhuǎn)正常），后者則是要保障血液自己的安全。兩者顯然有關(guān)系，但又有很大不同。單個(gè)系統(tǒng)的安全并不等價(jià)于數(shù)據(jù)的安全，系統(tǒng)被入侵也不等于數(shù)據(jù)一定會(huì)被偷走，每個(gè)系統(tǒng)都固若金湯也不等于數(shù)據(jù)就不會(huì)被濫用或誤用。解決數(shù)據(jù)自身的安全問題，需要切換到“以數(shù)據(jù)為中心”的安全思路上來。

二是不能用傳統(tǒng)的“數(shù)據(jù)安全”方法解決問題。數(shù)據(jù)安全是最古老的安全概念。從古代戰(zhàn)場上就產(chǎn)生了數(shù)據(jù)安全的需求，并推動(dòng)了相關(guān)技術(shù)的不斷發(fā)展。對一個(gè)文件、一個(gè)數(shù)據(jù)庫的記錄的保護(hù)等都是數(shù)據(jù)安全的概念。但是，如今的數(shù)據(jù)安全的概念和方法已經(jīng)和過去完全不一樣了，數(shù)據(jù)的存在形式、使用方式和共享模式與過去有了極大的變化，數(shù)據(jù)的權(quán)屬也不都是數(shù)據(jù)處理者的。數(shù)據(jù)可能以文件、記錄、字段等方式在不同的環(huán)節(jié)中被快速打散、重組、流動(dòng)，在這個(gè)過程中還會(huì)源源不斷地產(chǎn)生新的數(shù)據(jù)。在一個(gè)業(yè)務(wù)里，數(shù)據(jù)可能涉及很多設(shè)備、服務(wù)器、產(chǎn)品、用戶和不同部門的人的信息，然而真正需要回答的是數(shù)據(jù)在這么復(fù)雜的全過程中，從用戶的角度來說安全不安全？顯然，這和傳統(tǒng)的“數(shù)據(jù)安全”概念有很大區(qū)別。

6 數(shù)據(jù)安全為什么需要強(qiáng)調(diào)治理而非管理

這里說的管理，指的是根據(jù)事務(wù)的規(guī)律制定一整套規(guī)則，然后自上而下地進(jìn)行規(guī)則的執(zhí)行落地，控制系統(tǒng)達(dá)到預(yù)期狀態(tài)。而治理指的是找到若干關(guān)鍵抓手和基本邏輯，調(diào)動(dòng)多方力量和資源形成某種協(xié)同或者生態(tài)，通過社會(huì)協(xié)同引導(dǎo)整個(gè)系統(tǒng)達(dá)到預(yù)期狀態(tài)。大數(shù)據(jù)時(shí)代下的數(shù)據(jù)安全治理無法使用傳統(tǒng)的管理模式達(dá)到目標(biāo)，必須走協(xié)同治理的道路。

全社會(huì)所有的行業(yè)都在進(jìn)行數(shù)字化轉(zhuǎn)型，一切都將步入數(shù)據(jù)驅(qū)動(dòng)，數(shù)據(jù)將成為所有領(lǐng)域的基本生產(chǎn)資料。因此數(shù)據(jù)安全問題也將涉及所有行業(yè)，并且涉及產(chǎn)品、業(yè)務(wù)、人員、共享機(jī)制等，并不是某個(gè)垂直領(lǐng)域的知識(shí)或者某個(gè)層面的單一方法就可以解決的。如果按照過去管理某個(gè)垂直特定行業(yè)的方式，設(shè)立若干部門，自上而下進(jìn)行管理，不但成本無法承擔(dān)，效率也無法適應(yīng)今天的實(shí)際情況。因此，政府、行業(yè)、企業(yè)、第三方機(jī)構(gòu)、安全等需要發(fā)揮各自的優(yōu)勢形成有效的配合，才能建立適應(yīng)當(dāng)今數(shù)字時(shí)代的協(xié)同治理模式，共同提升全社會(huì)的數(shù)據(jù)安全水平。

7 數(shù)據(jù)安全治理的關(guān)鍵目標(biāo)是讓安全成為競爭力

人們不希望數(shù)據(jù)安全工作堵住所有行業(yè)的“血管”，阻礙大數(shù)據(jù)時(shí)代的創(chuàng)新和發(fā)展。如果簡單化地看如何“消除數(shù)據(jù)安全問題”的話，那么不要有數(shù)據(jù)、不要有數(shù)據(jù)流動(dòng)和應(yīng)用是最安全的。數(shù)據(jù)安全治理的最終目標(biāo)是實(shí)現(xiàn)數(shù)據(jù)安全和數(shù)字經(jīng)濟(jì)發(fā)展之間的平衡，甚至是二者的相互促進(jìn)。人們通過法律法規(guī)、政策標(biāo)準(zhǔn)、技術(shù)產(chǎn)品、產(chǎn)業(yè)發(fā)展、測評培訓(xùn)、監(jiān)督機(jī)制等進(jìn)行綜合數(shù)據(jù)安全治理模式設(shè)計(jì)的時(shí)候，如果能夠瞄準(zhǔn)以下兩個(gè)關(guān)鍵目標(biāo)，就可以推動(dòng)數(shù)據(jù)安全治理最終目標(biāo)的實(shí)現(xiàn)。

一是讓數(shù)據(jù)安全成為組織的競爭力而不是成本，實(shí)現(xiàn)“能者多得”，即數(shù)據(jù)安全做得好，意味著有資格得到更多的業(yè)務(wù)機(jī)會(huì)。安全在過去一直是成本，因此幾乎毫無例外，每一個(gè)創(chuàng)新業(yè)務(wù)、每一個(gè)創(chuàng)業(yè)公司、每一個(gè)創(chuàng)新產(chǎn)品一開始都不愿意做安全，因?yàn)榇蠹沂紫瓤紤]的是活下來的問題，沒有精力和資源管活得好不好的問題，而且若對安全進(jìn)行投入，可能在競爭中由于開發(fā)速度更慢、開發(fā)成本更高而失敗。甚至很多大型項(xiàng)目系統(tǒng)的建設(shè)也不愿意做安全。于是等產(chǎn)品逐漸成熟、業(yè)務(wù)逐漸做大、工程項(xiàng)目投入運(yùn)行之后，慢慢發(fā)現(xiàn)很多安全的坑已經(jīng)難以填補(bǔ)了。

誰不做安全或者少做安全，誰就更可能贏得競爭，從安全的角度來說，這就是“劣幣驅(qū)逐良幣”。在數(shù)據(jù)安全領(lǐng)域通過建立科學(xué)的治理模式可以改變這個(gè)現(xiàn)象，要點(diǎn)是讓一個(gè)組織能處理數(shù)據(jù)的類型和規(guī)模與其數(shù)據(jù)安全能力水平掛鉤。例如健康醫(yī)療行業(yè)迫切需要利用大數(shù)據(jù)技術(shù)大幅提升技術(shù)和業(yè)務(wù)水平，造福百姓，但是這類數(shù)據(jù)又非常敏感，那么行業(yè)主管部門可以規(guī)定：處理哪些類型或多大數(shù)量的數(shù)據(jù)的組織必須證明其達(dá)到相應(yīng)的數(shù)據(jù)安全能力級(jí)別要求。這樣，當(dāng)一個(gè)組織想要使用健康醫(yī)療數(shù)據(jù)開展研究或業(yè)務(wù)之前，就需要先具備足夠的數(shù)據(jù)安全能力。于是數(shù)據(jù)安全能力越高的企業(yè)，意味著有權(quán)處理更多類型和數(shù)量的數(shù)據(jù)。這樣企業(yè)才會(huì)積極而且認(rèn)真地提升自己的數(shù)據(jù)安全能力，實(shí)現(xiàn)業(yè)務(wù)競爭力與安全的正向掛鉤，這樣才會(huì)帶動(dòng)整個(gè)數(shù)據(jù)安全產(chǎn)業(yè)發(fā)展。

二是讓提升數(shù)據(jù)安全水平成為自發(fā)需求，而不是被動(dòng)合規(guī)。2015年講數(shù)據(jù)安全的人還不多，今天忽然全世界都在講數(shù)據(jù)安全了。這主要是由很多相關(guān)法律出臺(tái)帶來的合規(guī)要求導(dǎo)致的。滿足合規(guī)的要求是一種被動(dòng)需求，即便做到合規(guī)要求，也不代表一個(gè)組織能夠很好地應(yīng)對不斷變化的新風(fēng)險(xiǎn)。而真正從自身內(nèi)在需求出發(fā)，不斷提升數(shù)據(jù)安全能力的組織，才能夠更好地應(yīng)對不斷變化的風(fēng)險(xiǎn)。如今，越來越多的企業(yè)開始認(rèn)識(shí)到了數(shù)據(jù)安全的重要性，意識(shí)到這是數(shù)字經(jīng)濟(jì)時(shí)代保護(hù)企業(yè)自身利益以及建立用戶對企業(yè)信任的重要工作，從而形成了內(nèi)生需求。如果數(shù)據(jù)安全治理能讓更多組織產(chǎn)生內(nèi)生的、實(shí)實(shí)在在提升數(shù)據(jù)安全能力的動(dòng)力，而不僅僅是被動(dòng)滿足安全檢查時(shí)的合規(guī)要求，才會(huì)讓大家真正直面數(shù)據(jù)安全威脅，降低數(shù)據(jù)安全風(fēng)險(xiǎn)。

8 數(shù)據(jù)安全治理的基本抓手是數(shù)據(jù)安全能力成熟度

用數(shù)據(jù)安全的“能力成熟度”而不是安全風(fēng)險(xiǎn)衡量一個(gè)組織的數(shù)據(jù)安全能力，能夠更好地適應(yīng)風(fēng)險(xiǎn)的變化情況。如果能力不夠，即便今天做到了合規(guī)或解決了已知風(fēng)險(xiǎn)，若明天出現(xiàn)新規(guī)或者產(chǎn)品或威脅手段發(fā)生變化，還是會(huì)導(dǎo)致不合規(guī)或風(fēng)險(xiǎn)失控。因此，能力成熟度是更加內(nèi)在的指標(biāo)。通過科學(xué)的方法衡量一個(gè)組織的數(shù)據(jù)安全能力成熟度等級(jí)，用這個(gè)等級(jí)決定一個(gè)組織能夠做什么、不能夠做什么。當(dāng)用戶選擇一個(gè)服務(wù)的時(shí)候，可以根據(jù)服務(wù)方數(shù)據(jù)安全能力的等級(jí)，判斷把自己的數(shù)據(jù)給到對方的風(fēng)險(xiǎn)大小，在可以獲得同樣功能的情況下，用戶會(huì)更愿意選擇數(shù)據(jù)安全能力成熟度等級(jí)更高的服務(wù)方。在數(shù)據(jù)共享、交換、交易、流通的過程中，可以通過雙方數(shù)據(jù)安全能力成熟度等級(jí)的情況分析數(shù)據(jù)風(fēng)險(xiǎn)的變化，發(fā)起方可以據(jù)此決定是否要繼續(xù)與對方進(jìn)行數(shù)據(jù)流動(dòng)。政府建立多部門數(shù)據(jù)共享流通促進(jìn)大數(shù)據(jù)利用的機(jī)制時(shí)，可以通過組織的數(shù)據(jù)安全能力成熟度級(jí)別決定允許數(shù)據(jù)流動(dòng)的方向，從而實(shí)現(xiàn)總體數(shù)據(jù)安全風(fēng)險(xiǎn)可控。

能力成熟度的概念如今在很多領(lǐng)域中被使用，而數(shù)據(jù)安全能力成熟度模型（data security maturity model，DSMM）標(biāo)準(zhǔn)已經(jīng)是國家標(biāo)準(zhǔn)化管理委員會(huì)的報(bào)批稿，并且也在ITU、ISO等國際標(biāo)準(zhǔn)化組織中通過或者立項(xiàng)。

9 結(jié)束語

大數(shù)據(jù)時(shí)代的數(shù)據(jù)安全是“舊瓶裝新酒”?？瓷先ナ且粋€(gè)老的概念，但實(shí)際上是完全不同的東西。因此不能用過去的經(jīng)驗(yàn)解決今天的數(shù)據(jù)安全問題，需要?jiǎng)?chuàng)新。

今天數(shù)據(jù)安全的基本思想是，技術(shù)上以數(shù)據(jù)為中心，管理上以組織為單位，治理的基本抓手是能力成熟度。數(shù)據(jù)安全治理的關(guān)鍵是讓數(shù)據(jù)安全能力和組織所能處理的數(shù)據(jù)類型和規(guī)模掛鉤，讓數(shù)據(jù)安全成為競爭力而不是成本，讓數(shù)據(jù)安全成為內(nèi)生需求而不是被動(dòng)合規(guī)。

數(shù)據(jù)安全需要多方面工作的協(xié)同。僅僅靠法律法規(guī)解決不了數(shù)據(jù)安全問題，因?yàn)闊o論怎么樣都會(huì)有數(shù)據(jù)進(jìn)入服務(wù)方，法律能解決數(shù)據(jù)來源的合法性問題，但不能解決這些合法獲得的數(shù)據(jù)是否會(huì)被安全保存或安全使用的問題，過去的信息安全行業(yè)管理經(jīng)驗(yàn)不適用。今天的數(shù)據(jù)安全是全社會(huì)、全行業(yè)的事，過去把安全行業(yè)當(dāng)作特種行業(yè)進(jìn)行管理的思路是行不通的，很多數(shù)據(jù)安全前沿技術(shù)還有待突破。

數(shù)據(jù)安全需要政策、技術(shù)、學(xué)術(shù)的結(jié)合，需要多方參與，形成治理模式。另外，這個(gè)領(lǐng)域才剛起步，需要?jiǎng)?chuàng)新和持續(xù)改進(jìn)。在今天的發(fā)展速度下，沒有辦法在給出一個(gè)完美的方案以后再執(zhí)行，只能是小步快跑，不斷迭代。DSMM中最高能力級(jí)別要求的也是持續(xù)改進(jìn)的能力，即不斷發(fā)現(xiàn)新的問題，不斷調(diào)整自己的能力。