当今企业生成和掌握的个人敏感数据量超过以往任何时候。伴随着数据量的增加，数据安全事件也在更频繁地发生。数据安全与隐私保护挑战日益严峻。云计算、软件即服务等新应用延伸了数据保存的物理站点，随着企业需要保密的数据在不同组织和地点之间流动，风险也随之增加。埃森哲日前发布的最新研究结果显示，数据和隐私安全保护已成为所有企业面临的主要挑战。企业亟需采取更加积极的措施避免敏感数据泄露，尽可能减少违规的风险和处罚，防止客户流失、企业品牌和信誉受损。
　　埃森哲针对全球19个国家和地区的5500位商业领袖和15000名个人进行了调查，最终形成《数据和隐私安全保护研究报告》。报告显示：企业和组织关于数据隐私保护的想法和做法之间差异明显，信任度参差不齐；大多数企业或组织都丢失过敏感的信息，并且最主要的原因都来自其自身内部管控缺失；大多数企业和组织仅仅满足于合规遵从；对企业来说，了解第三方机构对数据隐私及其保护的想法和做法是至关重要的；那些通过尊重数据隐私及其保护来体现人文关怀的组织出现安全漏洞的可能性更小。
　　面对日益严峻的数据安全挑战，企业又该从何处着手进行防范呢？“企业应当在数据安全保护成本高涨之前，尽快重新审视数据安全和合规框架，发现问题，明确目标，并制定具体的改进举措，譬如开展企业数据分析和安全风险评估、建立企业的数据安全标准、实施合规治理解决方案、评估选择和实施数据丢失保护方案。此外，企业还应当制定切实可行的实施路线图，以期有条不紊地完善企业数据安全保护能力，为企业在追逐卓越绩效的旅程中保驾护航。”埃森哲大中华区技术咨询部副总裁应向荣认为。
　　首先，企业应该重新审视数据安全和合规框架。“企业的数据安全和合规框架常常滞后于数据产生、使用和共享的保护需求。企业在各应用系统的项目建设阶段中，往往容易陷于从割裂的视角去看待信息系统的数据保护需求。因为缺乏全面的数据安全和合规框架，包括没有定义统一的数据保护部门和岗位、没有制定及执行数据保护流程、以及缺失相应的数据保护技术工具，所以企业常无法及时有效地响应其数据保护需求。”应向荣指出。
　　其次，企业应该选择和实施适当的数据安全控制措施。开展针对企业数据的安全风险评估是保护企业数据的第一步，通过安全风险评估，可以有效识别企业中需要保护的数据和存在的安全风险，从而有效地制定风险控制计划，并为企业下一步有效对企业核心数据进行安全防护提供依据。“对数据进行分类和安全分级，并对用户权限进行分级，是保证有效访问控制的基础。企业数据安全标准定义了数据分类和安全分级的标准、用户对数据的访问权限分类和分级标准、数据访问授权和管理的标准、数据安全绩效考核标准等。”
　　“最后，企业还应当持续改进控制措施，包括持续开展对数据保护措施的有效性测量，并根据测量结果进行改进，从而保持企业的数据安全和合规框架的完整性、适宜性和有效性。”应向荣表示。