序一

当前全球新一轮科技和产业革命蓬勃发展，以云计算、人工智能、大数据等为代表的数字技术加速向各领域广泛渗透，与传统产业深度融合，新技术、新业态层出不穷，数字经济正在进行重大的时代转型，从而带动人类社会生产方式变革、生产关系再造、经济结构重组、生活方式巨变。数据是新一轮科技革命的重要基础，是数字经济和信息化社会的核心资源，被誉为“21世纪的石油和钻石矿”，如同农业社会的“土地”、工业社会的“资本”。谁掌握了数据所有权，谁就拥有了资源、财富，就能掌握未来。

因此，数据安全是关系国家安全、公共安全、公民个人隐私安全、国际社会安全，以及人类社会公平正义的重要事务。目前，数据泄露为数字技术的广泛应用带来了巨大威胁，而如何做好数据流通过程中的保护，是每家企业都需要面对的安全挑战。数据泄露对企业来说代价高昂。根据IBM公司的报告，每次数据泄露事件的平均成本为424万美元。从2020年到2021年，处理数据泄露事件的成本平均增加了10.3%，而2021年企业失去商业机会的平均总成本为159万美元。新型冠状病毒肺炎在世界范围的大流行，促进了企业向远程办公和混合办公的模式转型，导致网络犯罪有了更多的机会，进一步加剧了数据泄露的风险。IBM公司的调查表明，当远程工作是导致数据泄露的一个因素时，数据泄露的平均总成本要提高约80万美元，可能达到501万美元，而对于拥有超过60%的员工远程工作的组织，其数据泄露的平均总成本高于没有远程工作人员的组织。

2021年9月1日，《中华人民共和国数据安全法》（以下简称《数据安全法》）正式施行，这是数字时代的划时代里程碑。《数据安全法》贯彻落实总体国家安全观，聚焦数据安全领域的风险隐患，加强国家数据安全工作的统筹协调，确立了数据分类、分级管理，数据安全审查，数据安全风险评估、监测预警和应急处置等基本制度。数据安全在本质上是为了抵御数据的误用、滥用和非法使用。要达成这一目标，需要厘清数据主体、使用方、监管方等相关方的权利、权力、权益和责任义务，需要各方的共同参与和密切配合，需要在数据收集、存储、传输及使用各环节制定规则和标准，需要加大隐私保护力度，规范访问控制、身份认证、数据加密与脱敏、容灾备份与恢复、安全审计等各环节的行为。而2021年11月1日起正式施行的《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》），进一步加强了对隐私的保护。《中华人民共和国网络安全法》（以下简称《网络安全法》）、《数据安全法》和《个人信息保护法》这三部法律构成的基本法律法规框架体系覆盖了互联网、个人信息和数据活动的方方面面。可以说，“数据是网络安全的生命线，没有数据安全，就没有网络空间安全”。

数据安全认证专家（Certified Data Security Professional, CDSP）是CSA大中华区顺应数字时代要求并结合中国的实际情况专门开发的权威认证。本书作为数据安全领域的学习指南，全面覆盖了CDSP的6大核心领域。此外，本书还展示了业界数据安全的优秀实践内容，包括多年前我在微软公司时带领的安全团队在数据安全方面的一些案例。相信CDSP的推出和本书的面世会极大地助力中国数据安全的发展。

本书的出版凝聚了CSA大中华区专家的心血，特别是王安宇、姚凯、高巍、吴沈括、贾良玉等专家，他们表现出非常出众的领导力与专业能力。相信本书有助于读者对数据安全领域深入和全面的理解，进而有利于数据安全和隐私保护行业整体能力的提升，助力数字经济行稳致远。

CSA大中华区主席 李雨航