Preface 前言 自2019年本书第1版出版以来，我收到众多同行及读者朋友的大力支持和鼓励，在这里向大家表示感谢。与此同时，随着《中华人民共和国数据安全法》《网络数据安全管理条例》等法律法规的出台，数据安全治理要求更趋完善，业界对数据安全的关注也在持续提升，有读者提出了一些困惑，小结一下，大概可以分为如下几类： •到底什么是数据安全？数据安全与通常所说的网络空间安全有什么区别？是否存在数据安全产品来解决企业的数据安全问题？ •数据安全的治理对象是什么？ •为什么先讲默认安全设计而不是通常的安全防御基础设施？ •数据安全落地是否存在系统化的方法？ 鉴于此，我根据最新的法律法规要求以及自身的治理实践经验重新审视了本书第1版的内容并对其进行了更新，以适应当前的数据安全需要。主要更新内容包括： •从价值视角出发，进一步厘清数据安全与传统网络安全的关系，强调“数据安全是设计出来的”这一理念，并在书中先讲默认安全设计，这是因为很多数据安全问题是在产品/IT系统投入使用后难以解决或补救的。需要说明的是，本书的第三部分“安全技术体系架构”与传统网络安全存在重叠，但为了确保数据安全视角的完整性，这部分内容将继续保留（从数据安全视角进行了进一步的审视），熟悉的读者可以跳过。 •明确数据安全的治理对象，包括重要数据、个人信息以及企业内部数据等。 •进一步总结隐私与数据安全治理方法，使之既能够适用于个人信息，也能够适用于重要数据和企业内部数据。这套方法通过战略规划和重点项目管理，不断完善流程系统和基础设施，建立起数据安全的长效机制；通过外规内化后的政策流程明确内部数据处理要求，并作为风险管理的依据来保障数据安全与合法利用；通过组织架构的设定、意识教育/专业培训活动和监督机制来提升企业整体意识和专业能力。 希望此次改版能够真正为读者带来价值，为保障数据安全贡献一份力量。 致谢 感谢我所任职过的…