近日，在第二届数据安全治理峰会上，《数据安全治理实践指南(2.0)》（以下简称《指南2.0》）正式发布。《指南2.0》提炼出3项治理目标、3层治理体系、4项治理维度、4步实践路线，用以描绘数据安全治理的建设蓝图和实践路线。

展望数据安全治理的发展，政策引领与战略自驱齐头并进，推进数据安全治理不断深入；数据驱动的业务发展，激励数据安全治理组织从“有型”到“有效”；数据安全风险治理能力的建设与提升，成为数据安全治理的重要组成；第三方数据安全评估认证作为提升数据安全治理能力的主要抓手，帮助企业发现数据安全治理能力不足，促进行业数据安全治理能力发展，实现治理体系的优化改进。

《指南2.0》依据大量行业调研和企业实践，在《指南1.0》的基础上优化了数据安全治理总体视图，并针对数据分类分级难落地、管理与技术易脱钩等焦点问题的建设方案进行了初步探索，进一步细化了数据安全治理实践路线。

一是提出3344数据安全治理总体视图，即3项治理目标、3层治理体系、4项治理维度、4步实践路线。

二是提出全新数据安全治理理念，优化规划-建设-运营-优化的数据安全治理实践路。

三是提出数据分类分级建立组织保障、明确数据资源梳理、明确分类分级方法策略、完成数据分类、逐类完成定级、形成分类分级目录、制定数据安全策略等7步建设路线。

随着我们国家数据要素的发展，数据要素市场建设步入了快车道。根据相关统计，2022年，数据泄露事件的平均成本高达435万美元，83%的受访组织已经不是第一次发生数据泄露事件。道普信息数据安全风险评估专家指出，2021年《数据安全治理实践指南(1.0)》版本发布之后，企业数据安全治理取得了有效进展，同时也面临新的挑战。

目前的行业分类分级标准更多是指引性的内容，有宏观和中观指导的作用，但具体落地层面，企业则需要直接回答这是什么数据、是什么等级的问题，没有一个权威性的标准。

当前大部分企业的数据安全管理制度聚焦在原则、管理规定等较粗颗粒度的层面，对数据业务的下沉指导不充分，导致具体业务场景下的技术落地仍然缺乏实践指引，容易与管理要求脱节等。

新的数据安全产品技术不成熟，原有的安全产品功能单一且比较割裂未形成完整链条。

如何评价数据安全治理成效，并实现治理体系的优化改进是组织在数据安全治理能力建设过程中面临的重要问题。道普信息风险保障专家建议，可以借助专业的第三方数据安全评估机构，以数据资产为评估对象，提供一套可落地可指导实践的数据安全评估方法，帮助企业实现数据安全治理体系的优化。