组织负责的最有价值的数据经常在组织之间通过网络和地理位置在无数业务到商业（B2B），商务 – 客户（B2C）和机器到机器（M2M）设置之间。
 
因此，一个组织要承接数据映射，可以安全地确保最重要的数据。如果它没有明确的图片，而在组织内外处理相关数据的位置，谁以及如何处理相关数据，实际上不可能开发网络安全计划以保护其数据。
 
数据映射涉及在组织内部和外部搜索，以确定处理了哪些数据在何处和谁。在组织理解数据的位置之后，需要措施确保此类数据充分保护。
 
通常情况下，组织内部的安全措施将是技术性质，而在本组织之外，它将更多地确保任何包括第三方数据处理的业务关系具有强烈的法律框架。
 
数据映射已被欧盟一般数据保护条例（GDPR）第30条为组织被确认为组织的强制性活动。第30条规定了处理活动的记录，并要求每个组织是数据控制器或数据处理器，以维护其数据处理活动的记录。