数据安全建设的效益分析

       数据安全作为安全领域新的发力点，从外部政策到内部业务，从行业发展到安全方（建设方、应用方），都在过程中不断完善自身安全技术、安全管理和运维流程。数据安全与传统意义的网络安全主要从面向的对象有较大差别，数据安全更加关注结构化与非结构化数据，与组织内部业务粘合度高（数据来源与业务）。业务与数据安全更像是连续的交叉线，随着业务不断发展，数据安全与业务会在适当节点进行交叉，粗粒度交叉如项目建设时的数据安全防护建设，细粒度交叉如数据安全策略的变化。 由于与业务紧密结合的特性，所以组织应更加数据安全建设及其中的效益分析。效益分析，一般应用于项目可行性报告中，其主要目的是将成本（人、才、物等）与收益（社会、经济、技术等）进行直观比较，从而综合评判项目是否具有建设必要。安全类产品其本身不能产生直接效益（价值），而多是以辅助形式对组织内业务及责任等进行保障，所以在效益分析中，体现字眼更多是助力、保障、促进等。本篇文章，打算站在通用角度，分析数据安全建设对组织内社会、经济、技术所产生的效益，从而让组织可相对清晰了解数据安全建设的价值。

       数据安全建设效益分析，可分为社会效益、经济效益与技术效益分析。社会效益注重社会责任、社会价值、社会治理、社会认可等；经济效益注重保障业务安全运行，从而持续、稳定的产生价值。保护数据不被非法窃取或破坏，从而不被因数据产生经济损害。技术效益注重数据安全技术价值及技术风险防范等，如通过建立完整的数据安全防护体系，实现了组织内部数据全生命周期可视、可控、可管，如解决了新技术风险应用过程中的风险管控等问题。

随着AI、物联网等新兴技术的发展与应用，数据价值已越来越高，如何保障组织内部数据安全，避免因数据遭受迫害或泄露影响社会稳定的同时，充分利用数据实现企业社会价值应是组织努力追求的。

针对数据安全社会效益分析，可初步分为社会责任及价值、社会治理、社会认可等维度，具体内容如下。

社会责任及价值：建设全方位的数据安全体系，保障组织数据安全机密性、完整性、可用性，确保业务在安全的环境下稳定运行，避免因数据泄露或影响社会稳定。为组织内部数据扣上“安全带”，持续为社会产生带来价值。

社会治理：通过建设数据安全体系，让数据在社会治理过程中安全、持续、高效应用，支撑组织一系列的社会治理服务，对社会治理过程中供给侧结构性改革，解决传统社会治理发展不平衡、服务不到位、内容不精准等问题。

社会认可：通过持续性对业务保障，减少或避免数据安全泄露事件，持续支撑多场景的业务应用，增加组织服务能力，增强社会认可度。

数据安全建设产生效益分析，可分为间接辅助效益及直接效益；间接辅助效益主要是保障组织内部业务持续、安全、稳定运转，由业务产生效益，安全作为辅助保障。直接效益为以安全为业务进行市场化运作，如安全教育培训、安全产品等。本文讨论的为间接辅助效益。

数据已成为驱动业务、经济发展的核心要素，数据作为驱动业务进步的“发动机”，保障其安全是组织应重点关注的。数据安全以数据为核心，通过对业务或场景梳理，建设贴身的、动态的、可持续性的数据安全体系（技术、管理、运维），保障业务相对安全稳定运行，保障组织发展战略更好落地。通过对业务及战略的有效支撑，从而实现组织业务线可持续、稳定的产生价值。同时有了数据安全保驾护航，减少因数据破坏造成的经济损害，提升组织数字竞争力和拓展数字经济空间潜力。

数据安全建设技术效益主要为因进行了相关安全建设带来的技术能力提升及对业务发展过程中对新技术应用的安全保障，前者为当前价值，后者为预期技术价值。

组织通过建设数据安全体系，加强了业务保护能力、加大了数据防护范围、加深了数据保障能力，对组织原有以网络为中心的安全体系进行扩充完善，弥补传统防护技术短板，提升组织整体（可视、可控、可管）应对能力。

新技术的应用是为了更好支持业务不断发展，在应用过程中，如何解决新技术产生的新风险则尤为重要。以数据为核心的安全体系建设，在业务技术与数据之间建立“护城河”，有效解决新技术风险对数据的破坏行为，提升组织持续保障和管控能力。

本文数据安全建设的效益分析为通用型，所以针对性会有所不足的问题。文章整体可再次提升，但也基本起到理清数据安全建设价值和抛砖引玉的作用。