企业内部数据安全建设阻力重重？双管齐下提升落地效率

不同于传统的网络安全建设，以数据为中心的数据安全建设与企业内部业务模式、数据属性、服务方式更加密切相关，安全与数据背靠背的特征非常明显，富有强烈的业务特性，即与组织内部的业务部门、数据管理相关部门、安全部门的实际工作联系异常紧密。为了建设企业内部数据安全体系，甚至要改变现有的工作模式、流程、机制等，这都给相关部门带来各种无形的压力。不难看出，数据安全体系建设起来是个痛苦的过程。但是对于企业来说，业务发展的底线就是安全合规，如若能在持续的安全建设中防范安全风险，提升数据价值，从而给业务带来正向影响才是企业真正想要达到的目标。

在配合安全部门的角度来看，业务总是面临着经营目标、资源限制、合规要求等多方压力，想要改变其常规的安全策略来解决安全难题往往会触及到业务部门的“逆鳞”。例如，数据使用时，为保障核心数据不被泄漏进行层层技术加码，却降低了业务操作便捷性；数据服务上线时，为遵守“最小化”原则减少数据采集范围，却增加了业务分析客户画像的难度等，这些矛盾都给数据安全体系建设带来严重阻碍。

如何妥善处理企业组织内部数据安全建设阻力，提高数据安全落地实践的效率，确保安全服务于业务、安全保障数据安全的基本原则，是企业数据安全建设过程中必须解决的难题。

针对企业属性，基于国家、行业数据安全相关法律法规与标准要求建立数据安全合规图谱。依据各行业下合规性要求，厘清哪些是必须落实的，梳理面临的风险与威胁。借力数据安全合规要求，将安全任务传递至企业内部各相关部门以及领导层，既是安全部门的基本职责，也是业务部门建立数据安全底线思维，是关乎企业数据与业务存亡的根本。

数据安全建设，在某种程度上属于“一把手”工程，立足数据安全相关标准要求，建立有公司领导班子参与，并广泛覆盖各部门的数据安全治理组织，划分决策、管理、执行、监督等不同角色。既背靠领导班子的向下推动力进行工作支持，又吸纳企业各部门角色，压实企业内部责任，共同参与推动数据安全建设。

制度先行的作用，是为技术的引入与应用提供支撑，也是基于企业业务与数据场景，为安全活动的介入提供制度化的保障。数据安全战略方针为企业奠定数据安全治理的基调和明确目标，管理办法提供场景下的基准要求，指南、表单等为实际数据安全活动提供必要支撑。建立符合企业自身的且完善的体系制度有助于规范各业务部门数据安全管理各环节中的流程机制。

根据外部数据安全监管部门的要求，依据组织、制度保障，制定企业内部数据安全管理考核绩效，帮助企业内部各部门数据安全执行过程与结果进行监督检查，有效督促数据安全治理进展，也是对各部门工作质量的重要衡量指标，助力数据安全工作的持续迭代与正确导向。

数据安全部门要充分认识到，意识的改变，才是真正从根源上解决数据安全问题的基础，单一迷信于数据安全防护技术工具，或是等到数据安全问题到眼前了才考虑应对并不适用于数据安全这一系统性工程。通过安全意识宣贯、定期演练等一切适合的措施，逐渐形成一个良性的、广泛的内部数据安全意识氛围，才能在外部监管合规的大环境压力和紧迫的数据保护需求下，在内部获得最广泛的支持。

企业要充分理解安全风险与业务回报之间的关系，也要充分了解业务部门的顾虑，客观评估业务流程变化带来的直接或间接影响，安全部门需要通过客观的访谈沟通，全面理解安全问题给业务部门所带来的实际建设顾虑，给出具有取得最大共识的解决方案，哪些是可以缓一缓的，哪些是有替代方案的，哪些是不能妥协的。既是取得业务部门支持的必要动作，也是体现安全服务于业务的核心目标。

完善的数据安全体系建设，需要基于业务视角为诸多数据资产排优先级，再给重要的数据资产提供差异化防护措施。安全部门需要深入业务一线，协助业务部门共同梳理，识别场景、上下游、现有措施、数据类型等等。尽可能掌握当前的业务与数据现状，是针对性方案设计的前提，在企业内部，也是数据安全建设执行力度和决心的体现。

安全不是孤立的岛屿，也不是附加的硬壳，而是需要共同努力的结果。业务部门和安全部门都需要有共同的目标，而业务战略与数据安全战略之间关系的定义、双向支撑是最合适的语言，也是打破业务部门认为“安全是安全、数据是数据、业务是业务”的固有思维的最佳方式。

企业在数据安全建设推动过程中，前期必然会因各种原因在内部存在一定的阻碍，可能会出现安全部门制定的数据安全策略难以下沉的情况，甚至有些业务部门会对安全策略导致业务操作收紧难以理解。在合规要求与安全需求之间，在企业现状与安全目标之间，在刚与柔之间，需要安全部门考量与平衡，克服企业内部存在的障碍，才能保障数据安全体系建设的顺利进行。