数据安全评估服务规划--探索和思考

【关于作者】*陈年“产品市场经理”一枚，近几年聚焦在网络安全SaaS和服务产品化~

*做过投研，多次参与了“某互联网大厂”的对外投资，目前研究聚焦在网络安全领域~

【正文】一、引：“此数据安全”和“彼数据安全”
数据安全不是新概念，但是，很多人没有意识到：《数据安全法》、《数字中国整体布局规划》、“国家数据局成立”这些动作之后的“数据安全”，概念隐隐发生了扩展，不只是“常规信息系统的数据安全保障”，更是“数据业务的安全保障”，甚至深度嵌入“数据业务”的整个业务流程里。所以，数据安全相关服务的设计，也应该重点围绕着“数据业务”进行。这部分，参见我之前的文章：【原创】数据安全投资、创业的几大赛道。另外，我把数据安全相关的文章做了一个合集：回顾：数据安全研究系列。二、评估服务的战略价值数据安全评估服务，虽然不大，但是撬动“数据安全市场”的核心抓手之一，原因有几个：1、数据安全的核心需求之一是合规，合规是数据“合法变现”的前提和基础，没有这个保驾护航，“雷”有点大啊，参见滴滴事件~2、数据安全的另一个核心需求是保障“数据资产”的安全（属于业务安全）。由于数据可交易、数据资产可入财报，这就历史上第一次让数据直接和钱挂上了钩，数据资产的安全，提升到了前所未有的重要地步。3、无论是合规需求还是业务安全需求，技术测试和综合评估（技术+管理），卡位在一头一尾：

一头：发现问题才能解决问题，治病的前置性工作是检查和确诊。翻译成行业语言就是：确诊“数据资产”的合规问题、安全隐患，为客户数据安全管理和数据安全建设提供依据。“确诊”特别重要，这是人和专业服务的核心价值，也是很难被纯产品完全替代的痛点。
一尾：数据安全评估–>数据安全规划–>数据安全建设和治理–>数据安全运营，这个过程完成后，又回到不断地“数据安全评估”，来评估“数据安全建设和治理”的效果，形成PDCA的改进飞轮。

4、还有一条很关键，“数据安全评估”在监管侧就是“数据安全检查”，这是监管的核心抓手之一。你的数据安全建设做得再好，过不了监管的检查也是枉然，从这个角度，数据安全评估就是合规的“牛鼻子”。三、评估服务设计初探

我们调研了一些友商，发现友商很多聚焦于数据安全的“合规性评估”，这肯定是基础且必须的。

同时，我们也深刻认识到：数据安全评估的技术难度，比基础架构安全、应用系统安全要高，需求迫切性也更高。

数据安全评估的技术高度，是我们服务产品的核心亮点之一，相信也会逐渐被市场认可。

我们把数据安全评估类服务，分为两大类：

1）咨询类评估：

即综合评估，融合了技术和管理，根据用户的需求，又细分为：