随着数字化进程的加速，生产和收集的数据量也在与日俱增，隐私合规性旨在确保这些信息在每个阶段都得到妥善处理。通常情况下，合规框架划定了企业管理这些敏感数据的法律和道德界限。

在当前的数字环境中，全球各个国家、地区和特定行业的法规交织在一起，形成了一个动态的监管合规环境，企业需要一丝不苟地严格遵守数据保护和隐私标准。而随着网络威胁的增加以及各地区、行业数据安全标准的出台，监管环境也变得越来越错综复杂。

欧洲议会于 11 月通过了《数据法》，预计将于明年初生效，英国上议院目前正在辩论《数据保护和信息法案》是否实行。在美国，有12 个州已经签署了全面的隐私法，8 个州正在制定中。在联邦层面，《美国数据隐私与保护法案》（ADPPA）正在国会进行审议，该法案在 2022 年首次提出时获得了两党的广泛支持。我国在实行《数据安全保护法》和《个人信息保护法》之后，还在2023年发布了《规范和促进数据跨境流动规定（征求意见稿）》等政策，界定了数据安全范围的同时，还提供了数据跨境的指引。

这些地区性合规标准为数据采集实体编织了一个错综复杂的监管环境，此外，《健康保险便携与责任法案》（HIPAA）和支付卡行业（PCI）合规标准等行业标准的出现进一步增加了企业的数据合规压力。

无论是法律法规，还是行业标准，都具有双重目的。数据采集实体既要保护个人隐私和安全，又要为负责任的数据处理建立道德标准。因此，包括CISO在内的C级高管必须随时了解现有法规，并主动预测和适应即将发生的变化。

想要快速适应这一错综复杂的监管环境，不仅要做到合规，还必须有持续做出战略性调整的决心。赋予CISO数据监管人的职责就是调整之一。过去，CISO往往负责制定保障网络及数据安全的策略，监督这些策略的实施情况则往往由更高一级的高管或是内部监督小组负责。但现在，由于合规环境的快速变化以及攻击态势的复杂，企业需要摸索前行，CISO作为数据安全治理的关键，对掌握数据监管的基本要素，培养信任、责任和道德数据实践文化等方面起着不可忽视的作用。

因此，赋予其数据监管人的职责不仅可以让CISO更加积极主动地探索变化，还能够让企业在抵御复杂的网络威胁和确保遵守隐私法规等方面做得更好。当然，只凭CISO一人还远远不够，企业还需进一步建立全面的数据安全文化，推动CISO与法务等部门之间的合作，实现维护隐私和确保透明的数据安全策略，提高企业的应变能力。

在具体落地方面，CISO 需要做出哪些战略性调整？CISO需要意识到，合规不仅是必须完成的任务清单，也是帮助他们建立更强大、更有弹性的整体网络安全态势的重要指引。例如，《加州消费者隐私法案》（CCPA）要求企业每年至少更新一次在线隐私政策。因此，CISO不应将其视为每年一次的繁琐要求，而是要做到抓住机遇，保持活力。

目前，网络及数据安全正在成为企业整体业务战略的重要组成部分。过去，CISO 主要向IT主管或其他上级汇报工作。现在，CISO需要与IT主管并肩作战，与公司各个部门建立常态化的沟通渠道，保障业务运营线上化。

为了长期保持合规性和安全性，所有部门的人员，包括代码和云基础设施团队、管理平台访问的人力资源员工以及使用 SaaS 连接到敏感数据源的任何人，都必须确保他们所做的一切始终符合标准。此外，合规性理应成为公司持续优先考虑的事项，而不是由CISO或IT来决定。随着高层领导对网络安全的重视程度不断提高，CISO还需向其输送谨慎和合规的意识，推动其建立全面的安全文化。同时，这些高管可以支持 CISO，在整个组织内倡导强大的数据管理文化并树立榜样。

此外，由于经济环境的变化，企业角色开始呈现高流动性，为了让企业在人员流动中继续保障合规和对抗威胁，CISO需要坚持制定持续的网络安全培训工作，建立详细的记录和流程，保障问责制的有效性和可用性。

即便赋予CISO更多职责，也不能完全阻止安全事件的发生。一个安全事件的背后，往往涉及技术、流程、人等多个因素。例如，如果忽视了备份技术，企业数据没有物流或异地备份，一旦发生例如勒索攻击、物理事故等，就会对企业运营和生产带来不可忽视的影响；在制定和流程方面，如果某一个人的权限过高，潜在的误操作就可能威胁企业数据安全，更不用说恶意破坏和其他外部攻击。

因此，就像AI逐渐淘汰人工的态势一样，企业不能完全依赖CISO，CISO也需要更多工具来保障安全。对此，自建数据库已经成为企业实现数据安全的主要方式。企业自建数据库有三方面优势，第一是保障数据的安全性和保密性，建立数据库可以保障数据的安全性和保密性，只有授权人员才能够访问和管理数据库中的数据，从源头上防止数据泄露和外泄的风险。第二是保障数据的可控性和便捷性，企业可以根据需求和要求对数据进行分类、整理和管理，方便使用和查找。最后是数据的分析和决策，建立数据库可以提供数据的分析和决策支持，通过对数据的统计和分析，可以帮助企业更好地了解数据的趋势和规律，为决策提供重要的参考依据。

云数据库也成为很多企业的主要目标，和自建数据库不同的是，云数据库在成本方面的优势更大，更有助于中小企业实现数据安全。对于大型企业来说，云数据库最终会转换成私有云，利用云的能力更好地实现数据备份、转移、分析等。

对于企业数据安全职责和CISO数据安全责任，某安全从业者表示，我国的数据安全按照“谁管业务，谁管业务数据，谁管数据安全”的原则，各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。公安机关、国家安全机关等依照《中华人民共和国数据安全法》和有关法律，行政法规的规定，在各自职责范围内承担数据安全监管职责。国家网信部门依照《中华人民共和国数据安全法》和有关法律、行政法规的规定，负责统筹协调网络数据安全和相关监管工作。

诸子云南京分会会长宋士明表示，Gartner提出的数据安全治理框架认为数据安全治理不能仅是一套集成了各类数据安全工具的产品解决方案，还需从上而下贯穿整个组织架构，覆盖组织的全体人员，形成组织全员对数据安全治理目标的一致共识，并采取适当的管理和技术措施，有效地保护组织数据的全生命周期安全。数据安全治理是一种全面的管理过程，旨在确保组织数据的保密性、完整性和可用性。它涵盖了从数据的收集、存储、使用以及销毁的整个生命周期，涉及组织的各个部门和业务流程数据。数据安全治理的目标是降低数据泄露的风险，提高数据的质量和安全性，同时满足监管机构的要求。数据安全治理是组织数据安全的必由之路。

知乎用户“外事不决”表示，数据安全的问题无处不在，从人本身的意识到其认知，再到其知识结构，加之使用数据的一些基本状况，都可能导致风险的发生。针对这些风险，传统的应对方式已然不再适用。传统方式中，为了防止数据泄露，去做加密；为了减少数据暴露面积，去做脱敏，这些都是纯技术性的应对方式。这种方式来应对当前态势已经不再适用，想要做好数据安全建设，需要同时考虑组织、制度、技术、运营四个维度。

CISO成为数据监管人不仅仅有利于数据安全本身，其带来的主动性更能改变整个企业的安全思维。企业可以通过这种方式建立强大超越普通合规的安全架构，并在其中体现企业的数据道德文化。在这种环境下，整个组织都能制定并严格执行各项政策，并认识到数据从创建到处置的整个生命周期的重要性，最终形成企业数据安全文化。