随着我国《数据安全法》和《个人信息保护法》的正式颁布施行，数据安全与隐私保护问题越来越引起国家、社会以及企业的重视。国内很多企业在数据安全方面的投资，逐渐从过去的事件驱动转换到当下的合规驱动。过去企业会因为发生了重大的数据泄漏或被勒索事件之后才会考虑采购安全产品及服务或者开展员工安全意识培训，到现在开始采用一种有组织、有序的方式进行合规建设从而满足国内的监管需求，然而，Gartner认为满足合规要求是数据安全工作的底线、不是最终目的，最终数据安全的投资需要反映到对业务产生的价值。中国数据安全的发展趋势，将从以事件与合规驱动投资发展成以业务驱动的安全投资。

现实中，CIO也经常会被公司内部的经营管理层或是董事会质疑：“我们做的这些数据安全投资，究竟能替企业带来多少业务的价值？”

如何让数据安全的投资更贴近业务的需求？针对这一问题，Gartner研究总监陈延全作出了如下解读。

Gartner预测：到2025年，国内60%以上企业机构的董事会，将把网络安全风险视为一种业务风险。这个趋势，会帮助我们把网络安全投资以及数据安全投资从合规性驱动转换成业务驱动。但是要达到这一步，首先安全部门需要跟业务数据使用的参与方建立一个共同理解，就是：数据对于安全部门以及业务部门是有不同意义的。因为大家看待数据的视角不同，导致安全部门和业务部门对于数据的分类、管理及风险评估采用不同的方法。

Gartner研究总监陈延全表示，现在国内有很多不同的数据风险评估合规要求，我们把使用数据过程中涉及到的风险分为三大类，自下而上包含：数据/隐私风险，业务风险，以及业务风险最终会给企业带来的财务风险。大部分企业在做“数据风险评估”通常最关注底层的数据/隐私风险，为了满足相关监管要求，把通过自评估的工作流程如数据安全风险自评估、数据出境自评估或者隐私影响评估发现的“不合规项”直接做处置。

Gartner认为企业不管是在做数据风险评估或者是做风险处置优先级排序的时候，除了考虑数据/隐私风险外，还需要同时考虑业务风险和财务风险。比如：企业在做风险评估时，识别出一系列数据/隐私风险，Gartner建议客户透过一些工具、方法、流程，将这些数据的风险映射到对于业务部门的影响，再基于这些业务影响去量化财务风险。这样，当企业在做风险处置优先级排序的时候，就可以采取由上至下的思路，挑选出能够最大程度降低企业的财务风险优先处治它，就不单只是考虑合规的需求、同时也考虑业务的需求。

在完成以上分析的基础上，企业可以通过风险、价值、成本的模型去优化未来的数据安全投资策略组合，让数据安全投资更贴近业务的诉求。

Gartner今年发布了一份报告，指导客户如何去采取这些步骤，去分析和调整企业的数据安全投资方向，以及和业务部门签订《数据保护等级协议》。业务部门作为数据的拥有者、使用方，即便数据安全成本不一定由他们承担，但是最终数据保护的级别应该是由数据资产的拥有方来决定。对于数据的安全保护，不只是安全部门，业务部门的参与也非常重要。