说一说数据安全

从事数据安全行业快五年了，即将离开这个行业，说一说自己对数据安全领域的个人理解吧。

自2021年《数据安全法》《个人信息保护法》正式发布实施开始，国家正在逐步建立数据安全相关的法规及标准体系，法律层面出台《数据安全法》《个人信息保护法》等基础性法律，法规条例出台了《关键信息基础设施安全保护条例》《数据出境安全评估办法》《网络数据安全管理条例》等配套规范，国标方面陆续出台了以“数据安全技术”为主题的标准规范，如GB/-2024《数据安全技术 数据分类分级规则》、GB/T 45574-2025《数据安全技术 敏感个人信息处理安全要求》、GB/-2025《数据安全技术 数据安全风险评估方法》等。

近年来，个人感受最深的是数据安全已从单纯的技术问题上升为国家战略层面的重要议题，重要行业已在国标基础上出台了本行业的监管条例及行业标注，如金融、运营商、能源等。数据安全体系的建设，相对于网络安全等级保护建设等合规性建立而言，更强调业务与技术的深度融合，需贯穿数据全生命周期管理，涉及到多个部门、角色、场景，实施难度上更复杂、更难，且对组织的协同能力有着更高的要求，因此短期内很难建立起一套完整有效的数据安全治理体系，需要不断探索实践并持续优化。

本人在从事金融行业数据安全项目近五年时间，从刚开始金融机构探索式的实践到如今基于监管要求的合规建设已逐步形成体系，已陆续开展数据安全管理体系建设、数据安全监测体系的建设，依托行业标准建立各机构自身的分类分级规则，开展场景化的数据安全管理与技术措施落地，逐步覆盖数据采集、存储、传输、使用、共享和销毁等全生命周期环节。个人认为金融行业在数据安全合规方面多数处于建立管理制度体系、机构内数据分类分级规则及数据安全风险监测机制，数据安全风险监测机制的

建立是各机构首选原因在于其业务系统免改造，且能快速识别敏感数据流转与异常访问行为，是目前可最快看到成效的落地路径。