光明网讯（记者 李政葳 雷渺鑫）经过多年发展，国内大部分企业在网络安全能力建设方面都取得了长足的进步，但又面临一个新的议题——数据安全保障体系建设、合规体系建设。日前，在绿盟科技TechWorld 2022技术嘉年华上，中国信息通信研究院安全研究所、数据安全事业部主任陈湉表示，随着数据安全与国家安全的关系越发紧密，同时也随着国家对于数据安全高度重视，数据安全相关的法律法规政策逐渐完善，监管逐渐趋严。

　　陈湉介绍，在这样的大背景下，企业数据安全保障工作、合规工作面临很多新挑战，包括数据本身价值不断提升，相应的数据安全事件对于企业影响就会愈加严重，数据泄露的成本也在不断攀升。同时，因为合规问题而可能面临的监管处罚也愈加严厉，这对于企业来说合规的工作来讲形成了很大挑战，特别是在组织、管理、技术等维度上面。

　　应对这些挑战，需要企业加快建设一套覆盖全面的、上下联动的、协调统一的内部数据安全合规体系。体系如何建设？陈湉表示，首先，要明确数据安全合规体系建设的目标是什么，它是以企业数据安全合规体系规划和建设为主线，帮助企业分析机构人员、管理制度、数据安全防护能力等各个维度上目前存在的安全风险和合规问题。

　　近年来，中国信息通信研究院安全研究所已发布一些参考框架，同时汇集行业内安全专家意见，提出了一套数据安全合规体系建设框架。陈湉表示，从建设思路讲，数据安全体系建设的思路是传承于网络安全或信息安全的体系建设思路方法论，涉及到安全三同步问题，也需要跟整个企业内部业务运营体系实现同步规划、同步建设、同步运营。从合规体系建设流程来讲，分成五个阶段：

　　准备阶段。包括要明确建立内部一套治理体系团队，确定企业合规目标，定制需要遵守的数据安全合规清单计划，制定工作范围等，为后续调研阶段开展提供支持。调研阶段。通过问卷调研、现场访谈、文件核查等方式，了解企业目前数据安全相关工作基本情况，同时形成过程文件记录，为做差距分析、整改提升相关工作做准备。差距分析阶段。在明确合规体系建设目标，了解企业现状后，要通过评估评价的方式手段来做差距分析。总结阶段。回顾整个体系建设的总体工作，对体系建设工作做全貌展现，为下一步工作提供建议。

　　陈湉坦言，有了合规体系的建设思路之后，依托数据安全共同体计划，专门成立了数据安全合规治理推进小组，研究合规体系建设中面临的安全问题。下一步，推进小组将会继续持续拓展和深化一些关于政策、前沿技术的研究，同时推进标准研制，使合规体系建设的方法论更加规范，也希望通过固化研究成果为企业数据安全合规体系建设提供指引和参考。

　　“未来，我们也希望通过开展宣传培训、技术沙龙、案例征集、专项行动以及行业自律等活动，来帮助企业推进数据安全的合规体系建设。”陈湉说。