01、研究背景 
當前我國經濟處于數字化轉型的關鍵時期，為了保持數字經濟健康可持續發展，國家進行頂層設計，一方面從安全合規的視角指導各項數據安全工作，另一方面要求對數據進行分類，重要行業和省市地方也陸續出臺數據分類分級的制度，各行各業再根據自身情況出臺相應的數據分類分級管理辦法進行落地。
數據分類已成為對數據進行管制的核心，對數據重要性的界定將對企業組織如何收集和使用消費者數據產生巨大影響，重要數據的范圍包括并不限于經濟運行、人口和健康、自然資源及環境、科學技術、安全保護、應用服務、政務活動相關以及其他數據，數據安全工作主要是保護重要數據生命周期使用過程的安全。
因此，數據治理安全理論既要滿足安全合規，又要匹配業務系統數據安全，未來還將滿足數據共享開放安全等泛業務場景，從而有助于企業組織更好地落地。
 
02、傳統數據安全治理的理論難以落地 
由于傳統數據安全治理的理論是在數據治理的“數據價值論”理論上提出，主要是對數據治理框架中的管理制度、框架體系和技術工具增加安全屬性，進行數據安全能力的提升，實現業務需求與數據安全（風險/威脅/合規性）之間平衡。其中典型理論代表有：Gartner 數據安全治理 DSG ，微軟的專門強調隱私、保密和合規的數據安全治理框架 DGPC，國內數據安全治理委員會的數據安全建設方法論，以及2019年8月30日正式發布的《信息安全技術 數據安全能力成熟度模型》（GB/T 37988-2019）國家標準，提出DSMM數據安全能力成熟度模型。
 
傳統理論雖然將數據安全拔高到治理維度，從政策制度、企業架構及技術手段等多維度入手，推動數據安全技術的實施，但在實際的治理過程中總會遇到種種阻礙，整體效果也差強人意，最終“雷聲大，雨點小”，實施人員也陷入難以改變現狀的焦慮和困惑之中，數據安全事件仍層出不窮，數據泄漏頻發，危害和影響范圍難管控。究其原因在于傳統數據安全治理理論落地實踐難以快速復制。
考慮到我國國情以及數據安全商業市場現狀，主要是圍繞著解決企業組織數字化轉型過程中有關數據流轉使用的核心需求，應從數據的安全合規驅動，聚焦于數據的分類分級、合規條款匹配和數據安全能力的對接與調度，更好幫助解決企業組織建立起數據安全保障體系。
對企業組織而言，更多的是關注數據流動過程中釋放價值，同時保障數據處理過程中的安全基線，以及數據共享開放的安全使用場景。簡言之，企業組織對數據安全工作的要求是“量體裁衣，持續提升，高效務實，釋放價值”，源自數據的數據治理安全理論更適合企業組織解決業務數據治理和安全的同步建設。
1.源自數據的數據治理安全理論對比源自安全的傳統理論
1）以安全工具能力為主的先安全再治理
始于數據安全風險評估的“木桶”理論建設，主要關注的是數據在整個生命周期過程中可用性、完整性與機密性的安全防護，進而構建安全體系架構，以數據安全為核心，往往依靠投入大量的人力和成本，采購和掌握安全工具，進行安全能力建設，反而忽略業務的原生訴求，業務部門難以滿意，數據安全建設的周期長，見效慢，未必能充分釋放數據價值。
2）以數據治理業務維度的先治理再安全
優先厘清自身擁有數據資源的價值，對數據資產要素進行分類和定級保護，依托對自有數據、安全能力以及對開放運營的支撐，將不同來源的數據進行整合、疊加，引入多維度智能分析，更好地完善數據安全防護體系，并通過更多合作伙伴一起做創新應用，業務部門也能可視化看到成果收益，“金山銀山都藏在數據湖倉里”，真正發揮海量數據的商業價值。
 
   
3）大數據流轉共享業務場景下的數據安全新挑戰
大數據時代，數據呈現出前所未有的爆炸式增長，海量的數據規模、快速的數據流轉、動態的數據體系和多樣的數據類型賦予數據前所未有的價值。在這樣的時代背景下，快速高效地實現數據流轉共享，釋放價值的同時還面臨數據安全新挑戰。例如金融行業雖然已經使用大數據分析工具，提升自身風險識別能力并降低信用風險，但金融行業的業務鏈條大部分過長，其中任何一個環節出現數據安全的問題，都會對金融數據資產安全造成嚴重的威脅。
 
  2. 源自數據的數據治理安全理論對比等保2.0的數據安全建設要求
數據治理安全理論的數據安全是指以數據為中心的全生命周期的數據安全，構建企業組織整個數據安全體系，對數據分類分級及敏感數據全生命周期的保護。而網絡安全是按邊界劃分的網絡，數據相對是個無邊界的狀態，從數據產生到數據銷毀的生命周期六個階段通過不同的技術手段去做數據安全防護，網絡安全等級保護2.0的數據安全建設主要是從四個方面展開：用戶行為鑒權（加強對用戶行為的鑒權）、數據訪問控制（有效地建立起對數據訪問控制機制）、敏感數據脫敏（對數據本身的使用和落盤數據脫敏和加密）、業務或重要數據加密，網絡安全的數據更多側重于用戶合法使用數據行為的安全控制，業務的耦合度低。
業務數據是流動的，并伴隨業務進行流轉，數據安全應和業務有更多的交互形成內生安全或內置安全，嵌入到整個業務過程中對業務數據保護，從數據安全體系設計上梳理業務數據的脈絡，嵌入安全能力和工具，源自數據的數據治理安全理論才能真正實現數據資產化的目標。
 
03、源自數據的共享開放驅動業務治理的發展與創新 
數據治理安全理論的核心是數據，數據承載著業務、驅動著業務，因此數據安全與業務融合、數據安全驅動業務是未來發展趨勢；數據治理安全應源自數據，將數據安全建設的防護主體定位在數據層面，以數據為中心構建安全體系，并將數據生命周期作為一個閉環，進行更為細粒度的安全防護，確保數據在各環節都能被有效地、動態地保護和檢測。
針對數據全生命周期安全的全量發現、全鏈路管理、全景控制的數據安全閉環，通過AI引擎發現敏感信息位置、血緣分析、分類分級、法規遵從匹配，根據業務、合規等因素界定、判斷、標定及保護重要敏感數據。AI引擎和動態知識庫是核心，只有建立常態化治理、持續性改進的數據安全閉環，才能提升組織整體數據治理和數據安全能力，釋放數據價值，創造持續健康數據治理安全生態。
 
   
在數據安全閉環中，數據分類分級是底座。企業組織立足于數據安全的現狀，明確數據的分布和使用狀況，制定自身數據分類分級要求，實現數據結構化管理和利用，形成業務數據分類的標準化輸出。數據分類方便于業務數據管理，避免一刀切的控制方式，以便后續在數據安全管理上采用更加精細化控制的安全工具。
企業組織根據數據分類分級的結果，從管理、流程和技術等方面制定數據安全的全生命周期數據安全管控策略，讓業務數據在共享使用和安全使用之間獲得平衡，對不同敏感級別的數據設置相應訪問權限、加密、脫敏、數據防泄漏等的管控策略，大幅提升數據安全管控效率。
 
通過（CPI）² 框架做抓手，建立數據資產報告和目錄，在制度管理、技術防護、運行維護等多維度安全建設，最終實現數據分類分級的閉環管理。
 
04、基于（CPI）² 框架的數據治理安全理論 
（CPI）²是霍因科技聯合數世咨詢，對超百家企業CIO進行調研和咨詢發布的數據安全框架，結合霍因科技在數據安全與數據治理方面沉淀的技術和對行業數據的深度理解,匹配數據安全相關法律法規和地方、行業的安全要求，是以合規驅動的數據安全建設落地應用的最佳實踐。框架具體建設分為以下三個階段，供參考：
第一個階段是數據資產化：Consulting代表行業咨詢、Capitalization代表數據資產化，通過行業知識庫，輔以咨詢服務，用人工智能的方式為企業實現數據分類分級和資產化；
第二個階段是數據安全：Policy代表安全策略、Protection代表安全防護，為數據資產制定全面的安全策略，匹配法律法規和政策要求的安全控制能力；
第三個階段數據能力迭代：Iteration代表迭代調優、Improvement代表持續改善，通過持續跟進法律法規和政策變化、持續學習業務邏輯的特性與管理運作的流程，不斷調整分類分級的結果，使數據資產更加精確明晰，反復循環正向迭代的過程，實現可持續發展的數據治理安全。
 
   
由于企業組織間的業務差異性和復雜性，要從組織級層面通盤考慮，既不能對當前業務的發展產生嚴重影響，也要考慮到業務長遠發展需要，通過（CPI）² 框架推動企業組織實現業務和數據治理達到合理的平衡性，建立數據安全合規文化和有效的合規風險預防、預警及監督機制，從而避免企業組織因違反相關的國內外法律、行業監管指引、制度、規范等而導致的風險，確定實際業務數據的處理是否符合合規管理要求，是否存在數據錯誤事偽造等情況，合規管理的實際覆蓋范圍是否全面，是否存在因業務人員自行更改數據安全策略而導致其失效等，并根據具體的業務場景和各生命周期環節，有針對性地識別并解決其中存在的數據安全問題，防范數據安全風險，實現數據安全能力的迭代，從而確保企業組織維持長久穩定運營。
 
05、（CPI）² 框架實現數據資產化 
 
 
“讓數據更有價值，讓數據產生價值，讓價值可以量化”，從而催生更加豐富的數據應用場景，推動數據資產建立生態，實現對數據資產的持續運營，推動企業組織數據資產的業務價值、經濟價值和社會價值顯性化，使數據真正成為企業資產的一部分，賦能業務發展，進一步推動企業數字化轉型。
數據資產是能夠為企業組織產生價值的數據資源，數據資產的形成需要對數據資源進行主動管理并形成有效控制，通過對數據資產進行分析能夠更好地細分用戶群體、制定銷售策略、服務客戶，清晰了解當前所服務客戶需求信息，從而更有針對性地介紹產品，提升企業組織的銷售。
在企業組織數字化轉型過程中，應按業務發展階段提供匹配業務需求的數據安全能力，根據業務運營的邏輯和流程去設計，更多的是利用通用性的安全控制匹配現有的業務流程、管理環節。源于數據的數據治理安全理論正是面向業務數據治理維度，從制度流程的層面，針對企業組織整體設計數據安全策略，并根據實際業務需求進行對應的合規管理、管理規劃和人員建設，對當前所面臨的數據安全風險現狀進行梳理，企業組織整體治理流程進行管控，夯實數據安全能力，進而結合流轉和隱私安全等安全工具實現數據安全共享開放。
數據安全合規管理是企業組織維持長期穩定運營的先決條件，也是數據安全能力最低要求，數據治理安全理論依據法律法規及相關標準對重要數據保護要求，為組織建立統一符合安全性的管理規范，包括但不限于個人信息保護、重要數據保護等方面的安全合規需求，以確保組織數據安全的合規性。
因為數據治理安全理論源自數據，是以數據為中心，保障數據安全、促進開發利用為原則，圍繞數據全生命周期構建相應安全體系，需要組織內部多利益相關方統一共識，協同工作，平衡數據安全與業務發展，必須依賴多個部門協作實施一系列活動集合才能落地，所以，企業組織在數據治理安全理論指導下，還需要（CPI）² 框架才能更好地落地。
結論：（CPI）² 框架是將原始數據轉變為數據資源、數據資產，逐步提高數據價值密度，轉化為可交易的數據要素，最終實現數據資產化。
  下期預告：AI 引擎的不斷自我迭代
當下數據生產要素已成為中國數字經濟轉型、工業智能化、實現高質量發展重要驅動力，數據共享使用無疑是正確發揮數據生產要素價值的最佳途徑，而人工智能則是加快數據共享使用的火箭推進器引擎。如果以人工智能為核心的AI 引擎的能夠不斷自我迭代的話，不僅能夠加快企業組織數據治理安全的效能，而且會對各行各業乃至中國數字經濟和整體社會發展都有著至關重要的戰略意義。
（本文作者：北京霍因科技有限公司 解決方案中心）
霍因科技介紹：
霍因科技是一家專注為客戶提供安全合規數據治理方案的雙高新企業，旗下海石數據治理安全平臺“以（CPI）²落地和實踐”為核心，基于AI深度學習、湖倉一體技術、自動發現及分類分級能力，幫助企業不斷提升自身全域全量數據治理的安全能力，建立數據安全體系底座，賦能數字化轉型。