企业管理者缺少数据安全治理全局思想：由于数据安全涉及安全问题很多，企业用户在数据安全建设的过程难以制定合适的数据安全战略及总体框架，容易产生无效投入。

数据安全合规压力大：在过去的几年里，国家密集出台《数据安全法》、《个人信息保护法》、《网络数据安全管理条例》(征求意见稿)以及《数据出境安全评估办法》，再加上行业相关政策和标准，使得企业在数据安全建设过程中面临巨大合规压力。

数据安全建设独立且分散：业务数据流转部门众多，容易造成数据管理分散且独立的情况。

数据安全治理落地难：部分企业在做数据咨询规划时，没有充分考虑清楚数据安全治理落地施行问题，导致规划无法有效执行，使得数据安全治理难以取得效果。

数据安全治理永远不是从零开始的，它一定是基于企业现有的安全能力建设现状，通过以数据为中心的视角，对现有的体系进行扩展以实现对数据的安全治理管控。大多数企业在此前或多或少已有了一定的安全体系，基本上都是围绕着网络环境和信息系统开展的安全防护工作，主要聚焦在了网络安全和信息安全方面。而数据安全是以数据为中心，围绕着数据全生命周期进行建设以提高企业数据安全保障能力，所以通过企业对数据安全愿景的制定，由数据安全管理层根据企业的战略目标以及实际业务情况具体讨论建设方式。

“人机共治”的理念是希望通过引入零信任的思维，将通常数据安全治理中考虑较少的人员、应用系统、设备、资源等方向都进一步纳入到整体治理过程的考量范围中。其中，“人治”的核心思路就是从身份的角度出发，对每一次人员访问的身份、权限以及数据操作行为进行监测使得企业能够更加科学有效的防范内部或外部人员发起的攻击。在“机治”的过程中一方面通过零信任体系将整体数据安全防护能力与业务系统更加紧密的结合，同时通过AI赋能对流转在系统中的数据做到更加精准和智能地研判，进而使“机治”的过程更智能，提高管理人员的效率，实现“人机共治”的有机结合。

山石提出了以“制度规范体系”“技术防护体系”“运营管理体系”为核心，“监督审计体系”“应急响应体系”为支撑的数据安全治理五大体系架构。并通过引入零信任理念，进一步的对数据安全的防护能力进行了提升。

其中通过制度规范体系建设，指引企业在技术防护体系中的构建方向，也指引着运营管理体系中的组织建设和人员能力建设的方向；同时，运营管理体系的建立也确保了制度规范体系的落地执行，和技术防护体系发挥实际作用；而技术防护体系作为关键工具，为制度规范体系和运营管理体系提供了实际的工具抓手。

除此之外，人员也是数据安全风险频发的主要因素，因此在数据安全治理体系框架充分考虑人员对整体数据安全防护的影响，主要针对人员从网络和终端侧进行持续动态分析和策略调整，结合数据确权和零信任理念，进一步保障整体数据安全治理体系的稳定运行。

目前来看，数据安全治理主要是基于企业现有的安全能力建设现状，通过以数据为中心的视角，对现有的体系进行扩展以实现对数据的安全治理管控的有效措施。构建数据安全治理体系是一个包含了目标、组织、流程、技术等多个维度的系统工程。对于企业来说，未来数据安全治理不是一个可选项，而是一个必选项。不是单个技术突破问题，而是一套完整的治理体系问题。不是仅限于技术单一思考维度，而是多维视角的立体建构能力。不是单一防护点堆砌，而是建立数据全生命周期的多维立体主动防护体系。

因此，相对于传统网络安全规划建设，数据安全治理对“科学性”、“系统性”提出更高要求。基于这一现状，山石网科发布了以数据为中心的数据治理体系，并通过组织建设、现状摸底、数据分类分级、风险评估、数据安全核心体系建设、数据安全支撑体系建设、持续面向全员的培训等七个步骤（如下图）有序、科学地完成企业数据安全治理建设工作。

第一步组织建设：无论是数据安全法还是Gartner-DSG框架，都要求数据安全治理要有专门的组织和人员负责，并定岗定责。在企业数据安全治理的过程中，成立专门的数据安全治理机构是首要条件。该组织需结合企业自身情况，拉通各部门之间的人力资源，制定数据安全战略方针以及符合自身的数据安全治理的政策，并落实和监督政策有效执行。

第二步现状摸底：为了对企业数据进行综合安全治理，首要任务便是对数据资产现状进行清查摸底。通过多种方式来发现数据所有者、存储位置、整体业务架构等信息。因此首先需要对企业用户进行前期摸底调研：了解关于数据安全治理的目标，相应的业务系统，业务系统开放形式、访问方式、交互方式，业务系统相关数据是否涉及个人隐私信息，数据存储的形式、位置及访问的方式，数据的重要性、影响范围和影响程度，现有信息系统建设及数据安全建设情况等等，将企业数据安全现状了解清楚。

第三步分类分级：基于行业标准与安全实践经验制定合理、有效的数据分类分级规则，对企业相关数据资产进行全盘梳理，为实现“核心数据安全优先，其余效率优先”的差异化防护打下基础。通过访谈方式、文件审核、查看系统、查看数据库等方式，梳理现有企业数据覆盖的数据范围及预测未来可能覆盖的数据范围，形成数据目录结构；依据国家相关的法律法规及行业规范，考虑数据对国家安全、社会稳定和公民安全的重要程度，结合以往项目实践经验及相关标准，完成对企业的数据分类分级规范设计；依据相关数据分类分级规范，通过分类分级工具结合人工的方式，对企业的数据进行标签管理，明确数据的类别级别；同时随着政策变化和日常实际运营情况，及时对数据的分类分级规范、工具内策略及时调整更新。

第四步风险评估：完成分级分类过程后，结合风险评估和相应数据安全标准发现企业数据安全管控能力方面的技术与管理的脆弱性及威胁性，从而发现自身数据安全问题和短板，明确数据安全保护需求，为数据安全治理的建设指明方向。

第五步核心能力建设：为遵循同步规划、同步建设、同步运行的思想，有序落地数据安全防护措施，需在理解合规要求以及紧贴业务场景的前提下，构建制度规范、运营管理、技术防护三个核心体系。

第六步监督应急体系建设：构建监审和应急两套相辅相成的支撑体系，一方面通过预警通报机制形成PDCA闭环 保证整套框架持续完善。另一方面 通过应急机制和演练机制，不断保证全套体系框架的活性，保障数据安全治理可持续健康运转。

第七步数据安全培训： 数据安全治理是一项持续的、需要全员参与、全民维护的工程，所以需要提升全民关于数据安全的意识，定期开展相关培训，增强包括数据安全委员会相关人员在内的数据安全知识和能力。

科学布局，构建数据安全能力：山石网科立足于安全行业和实际需求两端，创见性的提炼了一套基于“双维驱动，人机共治”的数据安全治理思路，目的是将复杂问题结构化，结构化的问题简单化，让企业用户在数据安全建设过程中有章可循。

对标合规政策，确保企业数据安全管理合法合规：山石数据安全治理工作充分考虑当前数据安全合规要求，确保企业数据安全建设满足相应数据安全相关政策、法规要求。

统一规划，解决数据安全管理孤岛：山石数据安全治理体系通过统一的组织、管理及规划，形成合力，使得数据安全战略、策略及措施的高度统一，杜绝数据安全管理孤岛问题。

易于落地，按图索骥完成数据安全建设落地：对正在发愁如何开展部署数据安全治理的企业和组织，提供了一套完整的数据安全认知理论的同时给出关键落地路径（七步法），帮助企业轻松完成数据安全治理项目落地