9月11日，由中国网络空间安全协会主办的“2024国家网络安全宣传周——互联网政务应用安全分论坛”在广州市顺利召开。本次论坛也是“数字政府安全建设大会暨关键信息基础设施安全防护专家认证培训（第4期）”开班仪式。

在9月13日上午开展的“关键信息基础设施安全防护专家认证培训课程”上，明朝万达技术专家发表了题为《数字经济当下数据安全治理实践》的演讲，从数字经济发展趋势、数据安全治理背景、数据安全治理体系、数据安全治理展望四个方面深入探讨数据要素下的数据安全治理方案，以期为数据安全建设提供有益的参考。

随着信息技术的飞速发展，我们正迎来数字时代，建设数字中国已成为国家的重要战略目标。《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》提出，要加快数字化发展，建设数字经济、数字社会、数字政府，以数字化转型整体驱动生产方式、生活方式和治理方式变革。党中央、国务院也对数据要素市场培育作出相关部署要求，明确提出要推进政府数据开放共享，提升社会数据资源价值，加强数据资源整合和安全保护。在这个时代背景下，数据资产成为组织发展的重要要素，企业需要积累数据、盘活数据、交易数据，以提升核心竞争能力，重新定义财富公式。

然而，数字经济的高速发展也带来了数据安全治理的挑战。在DT时代，数据安全呈现出更加复杂的态势，数据风险通过流转形成难以分割的动态风险整体。因此，新形势下的数据安全工作需要从数据安全治理开始。同时，国家对数据安全的监管愈加严格，出台了大量法律法规和行业规范，对数据安全提出了更高的合规要求。

为了应对这些挑战，我们需要建立数据安全治理体系。Gartner数据安全治理框架包括数据摸底、组织构建、策略制定、数据管控和行为稽核等方面，通过平衡业务需求与风险容忍度，实现数据安全的持续改善。在建设数据安全治理体系时，我们可以按照以下思路进行：

1. 组织构建：建立数据安全组织架构，明确各层级人员的职责和能力，包括决策层、管理层、执行层和配合层，以协同管理数据安全事务。

2. 数据摸底：发现和梳理敏感数据，了解数据安全现状，为后续的数据保护措施提供依据。

3. 策略制定：制定数据安全策略和相关制度，包括数据分类分级规范、数据安全采集、传输、存储、处理等各环节的规范，以及安全风险评估和操作监管稽核指南等。

4. 数据管控：实施全数据生命周期的数据管控，运用数据安全技术工具，如数据加密、数据脱敏、数据防泄漏、访问控制等，确保数据的安全。

5. 行为稽核：通过行为稽核，对数据行为链进行稽核，监测操作行为和权限变化，及时发现异常行为和安全事件，确保数据保护效果。

6. 持续改善：对数据安全体系进行持续评估和改进，根据数据安全能力成熟度模型，确定安全能力级别和组织机构整体级别，不断优化数据安全防护体系。

在数据安全体系建设中，分类分级实践是重要的一环。我们可以将任务分解为需求定义、系统建设和系统控制三个阶段，明确敏感数据的定义和分类分级标准，优化数据安全制度，实现数据资产的自动化梳理、调研及差异分析，并参考相关标准进行数据安全分类分级，同时对数据安全定级流程进行管控，制定数据安全分类分级目录。

此外，数据安全风险评估实践也不可或缺。我们可以通过对数据安全治理能力的评估，总结风险问题，依据成熟度评估模型，对数据安全规划、机构人员能力、数据采集安全等多个方面进行评估，形成风险问题清单和风险评估报告，并对风险评估流程进行管理。

展望未来，数据安全治理需要建立生态圈，实现组织管理循环和产业商业循环的双循环，同时受到监管合规和数字经济的双驱动。数据安全治理还需要更加智能，利用大语言模型、自然语言处理和语义分析等技术，智能识别敏感信息，提高策略应用的规范性、针对性和合理性。数据安全治理应指导数据安全分级管控，依据数据分类分级的输出进行安全策略设计。数据安全风险评估应更加关注数据视角，从数据在每个阶段的风险进行分析，以指导数据安全规划。数据安全治理建设需要持续运营，先在小范围进行试点，形成基础安全策略和管理规范，然后逐步升级和完善数据安全管理体系。