不同视角的企业文件数据销毁安全工作，如何做好？|通用

从事IT技术近20年，做过数据运营和数据分析，再到后来的数据安全管理、项目系统的安全建设和运营，最近聚焦“数据业务新形态的安全合规”，所接触的信息系统超过500+个，从中看到了大量IT共性问题不断重复上演，既有基础安全问题也有像数据安全的新型问题。结合个人经历，整理“企业数据安全工作的开展思路”，给大家提供一些启发。

关于数据安全工作开展，可从个人和企业两个维度进行理解。个人学习数据安全，需要掌握基础知识和配套的工作技能，在企业的具体工作中发挥价值。企业投入资源开展安全工作，目的是通过一系列的工作和流程，建立安全组织，寻找专业人才落实具体工作，最终满足合规、控制风险和支撑业务，这是大部分甲方企业的安全工作路径。

个人视角的数据安全

从个人角度，该如何入门数据安全，有哪些可靠的路径，如何快速高效的学习、获取数据安全相关知识？拥有一定的基础知识后，如何在企业安全工作中落地实施，在具体工作经历中，总结出可复用的“模式”，当再次面对同类工作时，能否比较熟练和高效的完成工作，并把这些模式传递给新同事。

再往前一步，从这些“模式”中抽炼出一些通用的“框架体系”，能够覆盖并解决不同场景下的问题，形成不同行业也能复用的方法论，值得深入研究。

企业视角的数据安全

从企业角度，为什么要花费资源开展安全工作，主要是内/外部的合规驱动，比如法律法规要求、外部监管要求、业务合同约束、行业主管要求和企业内部管理要求等等。因此，企业内产生安全合规需求时，通过组建安全部门，明确部门的职责和工作范围，配备安全岗位，并通过招聘获取专业人员，推进完成工作。

企业满足安全合规只是基本前提，需要进一步控制主要安全风险。开展具体的安全工作时，通常以“时间线”方式进行组织，时间频率包括“年、半年、月、周”。

首先需要明确安全工作包括哪些大的工作内容？比如安全制度体系的建立、安全技术能力的建设、内外部合规监管的支持、安全应急响应与处置、重要节假日活动的保障和安全技术工作支持等等。
其次需要确定企业安全年度目标是什么？制定企业考核的关键指标进行量化评估，思考每年常态化的基本工作有哪些？想要重点突破的专项工作是什么？再细化成每个月的工作项，也需要包括一些日常事务性的工作任务。
最后采用“周维度”工作思路，跟踪每个大条块工作的进展和相关问题。

简要总结，安全部门梳理出有常态化的工作内容，在日常工作中开展落实，最终串联成整个“年度安全工作成效”，总体上属于偏管理类工作。涉及安全技术类工作时，通常启动项目方式进行安全能力建设，或配套搭建开源技术进行补充，这是大部分企业安全工作的共性路径。

早期的数据安全是“纯安全类工作”

在2019年，数据安全工作是一项“纯安全类工作”，是网络安全的另一个分支。个人信息因为个人信息保护监管动作较多，APP与用户直接接触，工作比内容比较显性化，往往单独成为另一个分支。

作为“纯安全类”的数据安全，主要包括安全管理和安全技术。安全管理方面，涉及组织架构、教育培训、制度体系、应急管理、重要保障等内容，安全技术方面，通过建立数据安全的专有能力，比如防泄漏、加密、数据脱敏、数据水印、数据备份恢复等等。

想起2019年，需要从零编写集团的《数据安全管理办法》，基本没有可参考的范本，从最后完成的定稿内容看，包括“安全原则”“组织与职责”“工作机制”“数据安全全生命周期管理”“分类分级”“三同步”“日志管理与审计”“账号与权限”“举报投诉处理”“应急响应”等，确实属于“纯安全类”工作。

现在的数据安全融合“业务、合规和安全”

2024年的数据安全工作扩展迅速，增加了很多非技术性内容，包括“数据处理活动的安全要求、数据业务合规引入、数据合作方的管理、数据合规安全”等。此外，“数据投融资、数据分类分级、数据安全运营”也作为重要研究内容之一。

在技术层面，更加重视“用户身份和权限管控”，包括统一的身份管理、识别、验证等。目标是管理“人、应用、系统”等主体对象访问数据的入口，更加关注多种类型的权限控制。例如：人的权限、设备权限、网络权限、数据权限、系统权限、应用权限、接口权限“等。此外，像大数据平台的安全、数据加工处理过程的内部安全，需要进行更加细致的整体设计。

数据要素兴起，促使数据安全渗透率极高

数据作为生产型要素，业务属性明显增强，数据资产逐渐成为了企业的核心议题，涉及数据应用或数据业务时，企业必然会提及“数据安全是怎么考虑的？”

如果说在2019年的数据安全是新鲜事物，到了2024年的数据安全渗透率变得极高。

在数据要素的影响下，像传统的数据安全管理、数据安全技术都比较成熟，数据安全开始往“业务属性和合规属性”方向延伸，不仅仅是一项纯技术工作，需要业务、合规、法务、安全、数据等多类角色参与，他们都需要储备数据安全知识。在具体的工作内容上，也延伸出很多其他重要事项，比如“数据梳理活动、数据产品开发、数据合法引入、第三方安全管理、数据安全风险评估”等。

数据安全工作内容扩充到了业务、数据、合规等多个层面，如文章开头所述，可以从个人和企业两个维度整体考虑。

由于数据安全工作往往比较抽象，想要比较好的落地与实施，需要全方位、多视角地整体设计，比如从甲方视角思考，也需要从监管视角和安全厂商视角等方面进行分析。

了解监管核心要求和新动向

从合规监管视角看，哪些是监管机构必须检查的标准动作，最新的监管动向是什么？例如在2024年比较明显的趋势之一是“全国推广数据安全风险评估工作”，现在提及数据安全，风险评估是无法绕过的话题，针对这个事情，个人有几个相对明确的认识，如下：

数据安全风险评估是重要的监管手段，它能全面的梳理和识别企业的数据资产情况和风险情况，但是耗费较多的企业资源（人力），需要逐步实施。
数据安全风险评估对象整体企业，具体落地实施的对象可选取一个业务条线，也可以是一些数据重要处理活动，采取“全面摸排、重点评估”工作思路。
目前不会像等保测评一样，成为一项强制性要求的工作。当前处于发展推广阶段，企业自评估、外部评估形式都可以，对第三方评估资质也没有明确的要求，鼓励企业建立评估机制。
宏观上国家目标是建立一套全国层面的数据安全的评价体系，整体降低数据类的安全风险。数据安全目标之一是“控制主要风险”，国家、行业、企业、安全部门对“主要风险”定义是不同的，国家层面考虑的是国家数据安全整体风险，类似我们法条和法律法规中的“国家安全、政治安全、社会公共秩序”等，防范数据带来的系统性安全风险。

安全厂商的新挑战：嵌入数据业务处理活动

数据安全作为一个复杂事项，尤其融合数据要素业务、数据合规内容后，增加了很多业务层面、流程层面工作，它变成了一个“细致”的工作。

个人认为数据安全颗粒度是“数据”，不像网络安全的颗粒度是“系统”，它需要结合数据处理多种活动去发挥数据安全产品的作用。像很多外挂式的安全产品，在不理解甲方业务和数据处理活动，很难嵌入业务生产流程中，无法实现安全防护想要的效果。

因此，现阶段的数据安全工作需要转变思路，以数据处理活动为核心流程，转变到以“风险”的视角，识别所有处理活动中可能出现的风险，需要使用哪些安全管理措施和技术措施去降低风险，再考虑需要哪些安全产品。

类似前几年大量建设的大数据平台，相关数据安全产品几乎全量配置，相关安全隐患凸现。从安全措施清单列表看，配置非常丰富，包含各式各样的安全功能，从合规层面看“非常安全”。

由于早期的安全检查比较粗，核对“安全措施清单”验证安全能力，但按最新的“数据安全风险评估”机制，需要进行详细的技术验证，这些技术措施的实际应用效果经不起检验。

造成数据安全产品“空置率”超级高的主要原因有两个，一是没有正确配置使用或者用1-2个“非生产场景应付式的配置”；二是从业务层面，没有具体的业务场景能让这些安全产品有用武之地，导致这些产品处于“沉睡”或者“未激活”状态。

在介绍我们整体构思的“数据安全整套课程体系”前，先简要介绍个人对“学习”这件事情的理解，以及长期自我坚持的一些底层逻辑。

保持“对知识诚实”的严谨态度

李录的《文明、现代化、价值投资与中国》，书中提出个人学习时要保持“对知识诚实”的态度，对我影响很大。坚持“对知识诚实”的人，会努力去揭晓谜底，对知识的“真懂和不懂”做到心里有数。

不过，我理解这个“懂”是一个持续性的状态，现在的“不懂或半懂不懂”，通过不断的学习和持续的关注，原先的“不懂”会慢慢形成自己的一些见解，是一种典型的成长型思维模式。

简要总结，学习是培养对信息的理解力，理解力需要大量的知识作为铺垫，再寻找知识之间的关联关系，并在实际工作中实践应用，形成一定的框架体系。

通用知识的重要性

在教育领域，吴军的《大学之路》详细阐述了“纽曼式的大学的通才教育”和“洪堡教育体系的专才教育”的特点和区别，因历史时代的不同需求，各有优缺点。

个人更倾向于通识教育，它属于厚积薄发，后期有更强的持久力，拥有大量的基础知识作为铺垫，能更大的概率培养出优秀品质和综合才能。顺带提一句，查理芒格是通识教育的参照样本之一，有兴趣的可以扩展阅读我写的《吴军《大学之路》，探讨什么是最好的大学？》

不同视角看“同一件事情”更完整

最早在乙方大公司工作时，导师教会了我开展工作要逻辑清晰，做事情建议先列个“1，2，3，4”。作为乙方，始终以服务的心态做好事情，即使后来十几年的甲方履历，也是“理性优先、客气待人”。

另一方面，个人从事技术工作，后来做数据运营、安全管理，再到具体项目系统的安全建设，企业的整体数据安全管理，大量的内外部的监督检查经历，养成了从不同视角看同一件事情的思维。换句话说，比较清晰的知道不同视角下的“各方需要”，因此在整体构思和设计工作时，能比较简洁高效的相对匹配上各方的需求。

课程开发初衷：做一件有价值、有意义的事情

最近几年一直保持成长型的心态，在工作实践中积累沉淀，也一直坚持内容输出，把完成工作之后获取的经验和想法进行整理和总结。

大量的学习输入和总结输出，对“数据安全工作”的理解更加整体和宏观，会融合不同视角看待问题，把想法在具体工作中落地实践。

如何把一些工作经验和安全理解，比较通俗易懂地呈现出来，传递给需要的人，对个人而言变成一件非常有价值和重要意义的事情。

对于数据安全工作的理解和整体构思，一直在优化，比如最近把数据安全工作抽象成两大类，一类是数据安全所需要的基础知识和核心技术，它们是通用知识类。另一类是数据安全工作开展所需要熟悉的流程、事项和机制等，它们是工作实践类，能解决企业的实际问题，完成工作的落地实施。

课程设计思路：整体构思、严谨务实

在设计数据安全整体课程体系时，也是从实践开始，起步阶段更多是工作经验的总结与沉淀，逐步形成的体系化框架。

一方面，需要从甲方角度去考虑数据安全工作该如何开展，期间会可能遇到哪些大坑，有没有一些可落地参考的工具实践模版，个人理解这些实践的经验和内容非常重要，效果也很明显，也能直接在企业内开展工作。
另一方面，个人更推崇“纽曼式”通识学习方法，在快速掌握实践经验时，更需要大量积累数据安全通用知识。

在企业推进数据安全工作落地时，经常会遇到其他部门的挑战和质疑，处理不好容易失去信任。如果我们有较强的专业能力，在遇到困难时能专业讲清楚工作的来龙去脉和背后的技术原理，相信这类“质疑”反而成为其他部门和我们建立信任的机会。

打磨一套体系化的数据课程体系非常艰难和辛苦，尤其需要融合各类专业知识和各个需求方视角。我们本着对知识诚实的心态和持续成长型的心境，期待把对数据安全的经验和思考转化成一门有价值的课程，一同推动数据要素发展和数据安全管理落地。

在整体设计上，以务实实用为原则，从实践出发，此次数据安全管理课程系列包括六大模块，分别是安全通识模块、合规管理模块、制度体系模块、安全管理模块、安全保障模块和监督管理模块。