数据显示，目前企业组织每年在数据安全防护上投入的资金已经超过千亿美元，但数据泄露事件依然在持续增长。研究人员通过对大量数据安全事件的调查发现，其原因在于企业将更多资源投入到建立更高更厚的“城墙”，却忽视了这些工作本身的科学性与合理性。

因此，企业在实施数据安全保护工作之前，需要首先制定积极、有效的数据安全防护策略，并按策略要求指导数据安全防护能力建设，这对保障数据安全防护效果至关重要。一份高质量数据安全策略的价值，将会体现在以下两个方面：

1. 可以明确组织如何管理其数据资产的计划与规则，这确保所有员工清晰了解各自在访问和保护业务数据方面的责任和义务。

2. 可以证明组织符合政府监管部门的合规要求以及行业数据隐私及安全标准，比如ISO 27001、ISO 27002、《通用数据保护条例》（GDPR）以及我国的《网络安全法》等。

为了更好地保护企业数据安全投资，安全人员应该更好地理解和诊断自身数据安全盲点。在制定和实施数据安全策略之前，应重点关注以下几个关键要素是否已经具备：

01范围

要明确列出数据安全策略的关键性原则，以及策略实施后的适用对象和应用范围。

02责任

要明确划分各环节的人员与责任，列出谁来具体负责管理、升级和维护该策略的关键要素和应用准则。

03目标

要能够清晰展示这份策略的制定理念和实施目标。

04战略和重心

要阐明实现目标的主要战略以及所要遵守的相关IT安全法规、框架和标准。

05策略

要概述策略和任何相关流程，以及将如何解决策略违规和更新。

06附加策略

除了基础性要求，还应该列出可能适用于数据安全策略的其他策略及其适用条件，这可能包括数据分类、终端用户统计、访问管理和可接受使用策略等。

07执行管理和审查

要明确规定谁来负责执行策略，同时还要对策略执行情况进行审查，保证策略的有效实施。