在 ISC 2021 数据安全与隐私保护战略峰会上,360 集团副总裁杜跃进博士的演讲,让 “数据安全” 再次成为行业焦点。他直言:“数据安全是当前最恐慌、最混乱的新问题,企业不能假装看不见。”
随着数字经济的渗透,数据已成为核心生产要素,但数据滥用、隐私泄露等问题也随之爆发。本文将从 “什么是数据安全”“企业该如何应对”“人才缺口怎么补” 三个维度,为你拆解数据安全的核心逻辑。
一、重新理解数据安全:不止是 “防黑客”
很多企业对数据安全的认知还停留在 “防黑客、保数据库”,但杜跃进指出,大数据和智能化时代的数据安全,有更丰富的内涵:
核心目标:防窃取 / 破坏、防滥用、防误用,覆盖数据全生命周期;
典型场景:数据破坏:黑客加密、删除企业或用户数据,造成业务中断;数据滥用:大数据杀熟、未经授权售卖用户信息、过度采集隐私;数据误用:因合规意识不足或技术漏洞,导致数据泄露。
从不同视角看,数据安全的意义也不同:个人视角是隐私保护,企业视角是利益保障,监管视角则可能涉及国家安全。这意味着,数据安全不是单一企业的事,而是需要多方协同的系统工程。
二、企业破局:从 “技术防护” 到 “体系化治理”
传统的数据安全方案已经无法适配数字经济的需求,杜跃进提出了 “技术 + 管理 + 机制” 的三维解决方案:
1. 技术层面:转向 “以数据为中心”
过去的安全防护以系统为核心,重点防范外部攻击;现在要聚焦数据本身,从数据采集、存储、使用到销毁,全流程设置防护措施,比如数据加密、访问权限管控、异常行为监测等。
2. 管理层面:搭建 “多方治理” 生态
告别自上而下的单一管理模式,联合企业内部各部门、行业协会、监管机构、安全厂商,建立数据安全治理生态。比如企业内部明确责任分工,行业内共享安全经验,监管部门出台合规标准,形成合力。
3. 机制层面:从 “处罚” 到 “奖惩结合”
传统的监管方式多以处罚为主,但数据安全治理需要更多激励机制。比如对合规做得好的企业给予政策支持,对主动分享安全经验的企业提供资源倾斜,充分调动各方积极性。
关键原则:场景为王,持续迭代。数据安全方案不能停留在理论层面,要深入企业真实业务场景,根据安全威胁的变化快速优化,比如电商平台要重点防范交易数据滥用,医疗企业要聚焦患者隐私保护。
三、关键岗位:数据安全官的 “核心职责”
杜跃进强调,数据安全能力的落地,离不开专业的组织和人才,“每个企业都需要数据安全官”。这个岗位的核心职责的包括:
统筹数据安全战略:结合企业业务和合规要求,制定数据安全目标和规划;
搭建安全体系:协调技术、业务、法务等部门,建立数据全生命周期的安全防护体系;
风险管控:识别数据安全风险,制定应对预案,定期开展安全评估;
合规落地:确保企业数据处理符合《网络安全法》《数据安全法》等法规要求。
这一岗位对人才的要求极高,需要同时具备法律知识、业务理解能力、安全技术储备,而这正是当前行业的人才缺口所在。
四、人才培养:行业正在行动
为了填补数据安全人才缺口,相关机构和企业已经开始布局:
培训体系:大数据协同安全技术国家工程实验室推出注册数据安全官、数据安全工程师、DSMM 测评师三类培训,贴合企业实际需求;
以赛育才:360 集团联合 CCF-BDCI 组委会开设 “数字安全公开赛”,围绕数据安全、AI 安全等方向,通过竞赛挖掘和培养人才;
法规驱动:《数据安全法》等法规明确要求企业落实数据安全负责人制度,倒逼企业重视人才培养。
结尾:数据安全是数字经济的 “基石”
数字经济的发展离不开数据的自由流动,但自由流动的前提是安全可控。对企业而言,搭建数据安全体系、设立数据安全官、培养专业人才,不仅是合规要求,更是赢得市场信任的核心竞争力;对整个行业而言,只有形成 “技术 + 管理 + 人才” 的全方位防护,才能让数据真正成为驱动经济发展的核心动力。
CCRC-DSO数据安全官,
CCRC-DSA数据安全评估师,
CCRC-DCO数据合规官,
CCRC-CDO首席数据官,
CCRC-PIPP个人信息保护专业人员,
CCRC-PIPCA个人信息保护合规审计,
CCRC-PIPA个人信息保护评估师,
ITSS IT服务项目经理,
IT服务项目工程师,
ISO27001,CISP,软考,CISAW应急服务方向,安全运维方向,电子取证方向,个人信息安全方向 ,
CISP,CISSP,软考,工信教考中心人工智能应用工程师,信创,数据安全相关认
证办理青蓝智慧马老师
133 - 9150 - 9126 / 135 - 2173 - 0416
如果你是企业管理者,你认为数据安全官该优先具备哪些能力?欢迎在评论区交流~
