一方面，许多企业不仅不知道自身敏感数据的位置和体量，也不了解都有哪些员工拥有访问权限。企业重要的敏感数据暴露在这种“粗放式管理”下，产生问题是或早或晚的事。另一方面，企业也许制定了一些保障数据安全的制度，也建立了相应的安全体系。但制度执行并不严格，也并未实现数据安全的常态化管理。最终形成“看似什么都做了，但仿佛什么都没做”的局面。

　　三、维护数据安全的管控手段

　　企业数据安全的管控和治理，应该是“自上而下，由内而外”的。对于数据安全问题，企业上下应该形成统一的目标和认识，提升上下执行的合力。企业不仅要重视保障数据安全的管理和技术措施，还要注意培养员工意识、提升人员素质。最后，要根据环境变化，持续优化数据安全体系，形成对企业数据安全的长效防护。

　　为了从内部实现对企业数据安全的有效管控，中翰在实施数据治理过程中，设置了以下一些措施：

　　1.进行数据安全自查，帮助企业对自身数据安全现状产生较为准确的把握。

　　1）数据生产安全：指数据设计、录入、加工过程中的安全。重点要了解数据生产过程中在工作组和业务单位层面对相应角色工作范围的界定以及岗位权限的划分。

　　2）数据存储安全：指数据存储过程中的安全，主要了解数据备份、恢复、归档、迁移、存储日志等情况。

　　3）数据交换安全：应重点了解数据过程中的加密、压缩等相应机制。

　　4）数据访问安全：重点了解数据密级的划分、数据库访问情况、用户查询数据权限的划分、打印下载权限的划分、敏感数据信息是否安要求脱敏、屏蔽等。

　　2.构建数据安全标准体系，全生命周期保障数据安全。

　　根据企业实际业务情况，结合企业数据全生命周期（包括数据的设计、维护、审核、验证、生成、分发、使用等）进行数据安全标准体系的规划设计。

　　3.构建数据管理组织、制度和流程，明确数据管理权限、方便认责到人。

　　1）充分调研，结合企业数据安全战略目标确立管理组织架构。

　　2）制定数据管理权限体系，明确不同数据视图的管控机制。

　　3）理清各类数据在相应单位的管理权限和应用权限，明确责任。

　　4）制定各数据的详细管理流程，明确流程中各环节对数据的操作权限、操作责任人、操作要求等内容。

　　4.对员工进行数据安全意识培养和技能培训。

　　为了增加员工对数据安全相关知识的了解、转变企业各级人员的数据安全管理观念、帮助员工规范行为和掌握技术、推动数据安全治理持久长效发展，我们应该对员工实施有针对性的培训。在实施培训时，根据企业实际情况，制定合理的培训策略，坚持理论与实践相结合，根据员工职责划分有侧重点地进行培训，并将细节内容落实到培训对象/时间/具体内容安排表上。