隨著數字經濟悄然來臨，數字化轉型迫在眉睫。在數字化轉型過程中，數據已成為數字經濟發展的核心生產要素，是國家重要資產和基礎戰略資源，其重要性不言而喻。隨著數據價值的愈發凸顯，數據濫用、數據泄露、數據竊取、數據偽造、數據破壞等數據安全風險與日俱增，日益成為影響產業發展、網絡空間安全甚至國家安全的重要因素。

當前，加強數據安全治理不僅是社會經濟數字化轉型中的痛點問題，更是維護國家安全和國家競爭力的戰略需要。面對數據安全威脅日益嚴峻的態勢，亟需探索數據安全治理體系，著力解決數據安全領域的突出問題，有效提升數據安全治理能力，防范和化解風險挑戰，有效實現數據安全與經濟發展的統籌協調。

作為國內知名的信息安全產品、服務及解決方案的提供商，長春吉大正元信息技術股份有限公司（以下簡稱“吉大正元”，股票代碼：003029）結合多年來在密碼技術領域、身份與信任領域積累的技術優勢，研發了具有自主知識產權的數據安全產品，打造出“一體兩翼”數據安全合規智能管控平臺的整體解決方案，助力政府及企事業單位在數字化轉型過程中數據安全合規建設和快速發展。

近日，記者與吉大正元數據安全事業部總經理張念彬圍繞數據安全治理思路、數據安全治理效果、數據安全體系建設、未來數據安全治理常態等內容進行了詳細的溝通和探討。

張念彬：首先，我們來探討一下對數據治理和數據安全治理的理解，數據治理和數據安全治理經常被混為一談。事實上，數據治理和數據安全治理有一定的關聯，但從本質上來說并沒有直接的從屬關系。數據治理重點是關注數據本身，本質是建立一套企業的“數據法規”，由這些法規來規范企業所有人員的數據活動。而數據安全治理則以人和數據為中心，專注于數據的全生命周期安全，在側重數據的業務屬性基礎上，重點對數據進行分級分類，建立以數據為中心的安全架構體系。

其次，從數據安全治理現狀來講，一是提升數據安全能力的培訓市場不斷興起。隨著《中華人民共和國數據安全法》的施行，數據安全及治理的基本框架隨之確立，明確規定相關機構與企業要開展的數據開發利用技術，以及與數據安全相關的教育和培訓。不管是從事信息化安全的生產廠商，還是作為甲方的政企單位，在數據安全領域始終缺少一個完整的知識脈絡來幫助企業和從業者梳理數據安全建設的內在邏輯、數據安全風險的控制方式，以及數據安全能力建設的演進路線，進而催生出繁榮的、可提升數據安全能力的培訓市場。二是基于Gartner DSG 數據安全治理框架得到業界的廣泛認可。DSG 數據安全治理框架，強調根據企業的業務戰略、監管合規等訴求，制定數據安全治理戰略。在此基礎上，中國信通院推出了具有中國特色的、國內首個市場化數據安全治理能力評估標準，涵蓋了數據安全戰略、數據全生命周期安全和基礎安全 3 個層面的共 18 個數據安全能力項，對當前業內關于數據安全治理應該涵蓋的組織機構、管理制度、安全技術及專業人員幾個方面的認識進行了統一規劃，為企業建設、度量、改進自身的數據安全治理體系提供了方法論和操作指南。三是行業性數據安全合規體系正在不斷建設與完善?；凇吨腥A人民共和國數據安全法》的數據安全治理框架是以數據的合規安全應用為目標，引導行業提升數據合規意識，加強數據合規管理，提高企業的抗風險能力，同時也彰顯出各行業數據合規建設的緊迫性，數據合規一躍成為各行業合規體系建設的重中之重。鑒于此，各行業積極推出了基于自身業務特性且與數據安全治理有關的意見、規范、白皮書等，不斷加快對構建數據合規管理體系，提升數據合規風險識別和應對能力的探索。

張念彬：數據安全治理可以從 3 個維度來理解，一是戰略維度。對企業而言，大數據是重要的商業資源和生產要素，數據安全治理能力已成為企業的重要競爭力，需要企業對數據安全治理進行統一的戰略規劃和資源協調。二是組織保障維度。數據安全治理不僅僅是一套用工具組合的產品級解決方案，而是從決策層到技術層，從制度到工具支撐，自上而下貫穿整個組織架構的完整鏈條。三是制度保障維度。通過對數據安全組織架構、策略規范、技術保障、人員建設、風險控制等過程和能力的建設，最終達成整個數據安全治理有效運行。

在進行數據安全治理時，結合治理與防護兩方面內容，從數據的全生命周期角度來進行數據安全治理。一是進行數據清洗，對數據進行重新審查和校驗，刪除重復信息，糾正錯誤信息，以保證數據的真實、準確。二是進行分類分級，找準數據保護和利用之間的平衡點。三是與業務結合起來，平衡數字化業務發展與數據安全綜合治理的思路，是數據安全治理的精髓所在，即“安全貫穿發展”。四是以數據安全戰略的視角去執行，這就需要在數據安全組織保障的基礎上，嚴格按照數據安全制度去落地實施。

經過多年與專家和客戶的溝通交流，對于數據安全治理，主要圍繞以下幾方面進行：一是以人和數據為中心。依據法律要求和國家規范，搭建數據安全管理與監控技術框架體系，保障數據的全生命周期安全。二是平衡業務與數據風險。要把數據安全作為一個整體來考慮，考慮數據在每個系統中流轉時的性能，每份數據的適用范圍和群體，每個系統的特點，每個節點可能產生的風險，以及系統運行的便捷性等。三是使管理技術與流程實現融合。綜合業務、安全、網絡等多部門多角色的訴求，總結歸納為系統化的思路和方法，建立自動化、持續性、自適應的安全體系。四是提升數據安全技術與平臺保障能力。數據安全治理是一個體系，不是一個產品，數據安全技術與平臺保障能力也非單一能力，而是體系化、協同性、綜合性能力。五是建設好數據安全運營管控。無論是數據安全治理，還是數據安全防護，最終都要以運營為核心，持續提高數據安全保護能力。

通過數據安全治理，一方面，能夠符合法律法規以及監管的合規要求，對于企業而言，合規是安全防護中最重要的基礎工作，合規基線是信息系統必須滿足的最低安全要求，否則會帶來巨大的安全風險；另一方面，對于中小企業來講，能夠協助其構建起數據安全治理的整體防線。一般來講，中小企業業務架構簡潔，網絡復雜性低，缺少網絡安全的整體性思考，在面對惡意攻擊時，較短的攻擊路徑使得核心數據更容易暴露和失竊。此外，還能夠幫助數據敏感型企業，增強用戶對其數據安全防護能力的信心；幫助大型企業和機構，梳理數據資產狀況并規劃安全使用方式。

張念彬：長期以來，吉大正元專注拓展網絡安全、數據安全市場，在深研數據安全法律法規的基礎上，研發了具有自主知識產權的數據安全產品和解決方案，保障客戶的數據安全合規，并成立了專門的數據安全事業部，打造了以“數據安全合規智控平臺”技術支撐為主體，以“數據安全培訓基地”服務和“數據安全治理咨詢及數據全生命周期安全防護”服務為支撐的“一體兩翼”創新項目服務平臺。

吉大正元數據安全事業部將圍繞數據采集、處理、應用、傳輸、開放、共享、運維等關鍵業務場景，打造數據安全合規智控平臺，打通數據安全管理和技術措施，提供數據采集、數據梳理、敏感數據識別、分類分級、風險評估、數據脫敏、數據加密、數據防泄露和水印溯源等統一的數據安全服務能力，建立數據全生命周期的安全合規管控流程，以流程管控數據安全，實現敏感數據可視化，數據流轉可視化，有效防控數據安全風險。

此外，數據安全事業部組織建設數據安全培訓基地，開設相關培訓課程，包括《數據管理能力成熟度模型》《數據安全能力成熟度模型》《數據安全治理》《云數據安全》《基于密碼的數據安全》和《零信任下的數據安全》等內容，數據安全事業部還建設了數據安全治理咨詢和數據全生命周期安全防護體系。將結合人工智能技術，打造以敏感數據發現、分類分級和風險評估為基礎的智能數據安全治理平臺，基于數據全生命周期，分別從數據采集、存儲、傳輸、處理、交換和銷毀等方面，自研相關的技術產品，確保數據全流程安全并形成閉環。

吉大正元的數據安全治理策略以數據處理、數據治理、數據分析、數據挖掘等技術為核心，通過對政務及行業現狀與問題分析，整合業務數據，以綜合利用和共享為目標，進行統一規劃、制定數據標準、規范數據處理、構建數據模型，實現數據整合、交換、共享和分析，為用戶提供全方位的、多角度的數據展現，為領導的輔助決策提供數據支撐。

張念彬：成立 20 余年來，吉大正元長期聚焦于數據安全，以體系化、智能化和實戰化的思路為指引，以大數據、人工智能、密碼技術為支撐，構建面向政務、金融、能源等行業場景，覆蓋數據采集、傳輸、存儲、處理、交換和銷毀等數據全生命周期的安全產品和服務體系，從數據安全治理和數據安全防護方面進行服務，制定數據安全策略，對數據分級分類，從技術到產品、從策略到管理，提供完整的產品與服務支撐。

作為行業領先廠商，吉大正元幫助政府、企事業單位提升數據安全合規意識和數據安全保障能力。多年來，其產品和服務深受政府部門和央企的信賴，已經為 40 個以上中央國家機關及部委提供了信息安全解決方案或服務，客戶包括國家醫保局、應急管理部、中石化等眾多部委和央企客戶。此外，在 2022 年的北京冬奧會上，吉大正元的網安產品也經受住了考驗，取得了零事故的優異表現。公司的交付團隊在中國銀行北京中心和內蒙古中心的后端賽場，用連續 56 天的 7×24 現場值守服務和精湛的技術保障了用戶系統的安全。

憑借雄厚的技術實力，自成立以來，吉大正元已經先后參與建設了 1 000 多個國內知名的大中型信息安全項目，為國家“金盾工程”“金財工程”等眾多“金”字工程及北京奧運會、載人航天工程等多項具有重大社會影響的大型項目提供過信息安全解決方案及保障。未來，吉大正元將不斷發揮自身在密碼領域的技術、服務及資源優勢，持續提高技術的創新研發能力，為各個行業提供成熟的數據安全解決方案，護航企業數字化轉型，為建設數據安全產業新生態貢獻力量。

記者：王 超