過去，企業只有發生了重大數據泄露事件或勒索軟件事件等造成數據丟失或不可用，才會考慮投資數據安全。而隨著國家層面發布的《數據安全法》以及《個人信息保護法》，國內企業開始采用有序的方式滿足監管需求，從事件型驅動的投資轉變成為合規驅動型的投資。

但是Gartner認為，滿足合規要求是數據安全工作的底線，最終數據安全的投資需要反映到對業務產生的價值。比如經常會有CIO或者數字化轉型部門負責人被高層問道，“我們做的這些數據安全投資，究竟能替企業帶來多少業務的價值？”

的確，數據安全投資也是為了保護業務不受風險，于是，Gartner提出數據安全治理理念，幫助企業從合規驅動型的數據安全投資，轉向業務驅動型的安全投資。

Gartner研究總監陳延全表示，Gartner總結了六大影響數據安全發展和治理的驅動力，包括監管合規要求、業務需求、IT戰略、碎片化產品、數據可見度和安全威脅。Gartner認為，數據安全發展的六大驅動力是相關關聯的，企業需要綜合考慮，從而實現業務驅動型的數據安全投資。

安全投資評估排序 為業務產生價值

數據安全的投資要貼近業務需求，對業務產生價值。Gartner預測，到2025年，國內60%以上企業機構的董事會，將把網絡安全風險視為一種業務風險。這個趨勢，會幫助企業把網絡安全投資以及數據安全投資從合規型驅動轉換成業務型驅動。

但是要達到這一步，需要安全部門和業務數據使用方建立統一的共識。畢竟數據使用方和數據安全方的出發點不同，看待數據的視角不同，因此在數據的分類、管理以及風險評估方面就會產生不同的想法。

Gartner將使用數據過程中涉及的風險分為三類，即數據/隱私風險，業務風險，以及最終業務風險會對企業帶來的財務風險。過去，企業在處置安全風險時，常常先考慮合規要求以及業務要求，往往忽視了其帶來的財務風險。因此，Gartner建議，無論是數據風險評估或者時風險處置優先級排序時，除了考慮數據/隱私風險外，企業還需要同時考慮業務風險和財務風險。

比如：企業在做風險評估時，識別出一系列數據/隱私風險，通過相關工具、方法、流程，將這些數據的風險映射到對于業務的影響，再基于這些業務影響來量化財務風險。因此，企業在設置風險處置優先級排序時，可以采用由上而下的思路，挑選最大程度影響企業財務風險的安全事件優先處置。

采用平臺型數據安全產品戰略

Gartner預測，到2025年30%的企業將采用通用型數據安全平臺，相比2021年不到10%有所上升，這是由于更高級別的數據安全性需求和產品能力的快速增長。

針對中國科技高管2023年的技術投資調研結果顯示，中國科技高管會在2023年加大投資的科技項目前五項技術包括商業智能/數據分析，網絡/信息安全，云平臺，人工智能/機器學習，集成技術/APIs/API架構。這五項技術中，都與數據安全有相關的交集，包括企業在使用商業智能、數據分析時，需要保護數據使用情況同時平衡業務需求，以及大數據平臺的安全防護；部署云平臺后所衍生的云工作負載中的數據保護工作；在使用人工智能、機器學習時所涉及的訓練數據和模型參數的保護；以及調用API時的集成安全。

在面對如此多類型的數據安全相關技術和產品時，企業該如何選擇呢？Gartner建議，企業先了解自身數據資產的使用情況，針對不同類型的數據資產管理，選擇數據管理框架、最佳實踐等內容來保護新型類型的數據資產。

此外，Gartner觀察到，單一功能的數據安全產品正在向平臺化產品轉變，并且傳統咨詢公司提供的安全咨詢服務業務逐漸向平臺化、自動化產品進行交付服務。因此，Gartner建議企業在選擇數據安全產品時，盡量選擇平臺型的數據安全產品，以防止企業需要花費過多精力來維護。

Gartner將平臺型數據保護產品分為四類，包括通用型數據安全平臺，專門保護云端數據庫的結構化數據；數據安全態勢管理，可以保護跨平臺、跨云端的不同結構數據；數據訪問治理和數據防泄漏，專注保護本地部署的非結構化數據。

開展數據安全治理的四個步驟

那么，企業該如何開展數據安全治理呢？Gartner提出開展數據安全治理的四個步驟。

第一步，設置數據安全與管理職能。涉及企業的角色分工以及企業內部數據安全管理體系建設，日常運營的流程以及操作等標準模板。

Gartner預測，到2025年，在國內開展業務的大型跨國機構將近有半數以上會開始設置專職的數據安全負責人。數據安全負責人必須具備一定程度本地的法律專業知識以及語言技能，才能夠更好幫助服務的企業來滿足中國本地相關的數據安全保護需求。

第二步，落實數據發現與分級分類。包括數據的類型以及存儲的位置，根據數據使用的敏感性和數據的業務屬性進行分類分級。

第三步，開展數據安全與合規評估。《數據安全法》要求：“涉及重要數據處理，定期要開展一次數據安全風險評估。涉及數據出境，需要做數據出境安全評估。涉及處理個人信息，也要做個人影響評估。”因此，企業需要長期持續運營投入成本，來進行評估工作。

第四步，選擇并整合數據安全產品。Gartner推薦企業在選擇數據安全產品時，盡量采用整合型的數據安全產品，而不用花費大量精力來長期操作、維護單一功能的數據安全產品。

此外，Gartner還觀察到監管合規趨勢，就是數據安全與隱私的交集程度越來越大。傳統層面上，數據安全由安全部門來負責，隱私保護由合規部門來負責，因此在管理方面是分工明確的。但是隨著國家立法的頒布，數據安全事件頻發，使得兩者之間的交集越來越多。Gartner建議，網絡安全和隱私領導者必須關注數據安全和隱私的交集關系，以減少數據泄露，并同時利用新興技術如隱私計算，支持隱私數據的創新使用并獲得競爭優勢。