数据治理安全(DGS)是适应我国国情以及数据安全商业市场现状,解决企业数字化转型过程中有关数据安全需求的思想。
DGS是以数据安全合规驱动的,聚焦于数据的分类分级、合规条款匹配和数据安全能力的对接与调度。将传统的数据安全治理(DSG)框架化繁为简、化重为轻,以期更好的帮助解决数据安全保障体系的落地问题。同时,为未来全局化的数据治理工作做好准备。由于治理的概念大于安全,所以我们称之为数据治理安全(DGS)。
数世咨询愿同产业界一起,以中国数字安全实践为根基,树立全球网络空间安全发展的新风向,给出全球网络空间命运共同体的中国答案。
关键发现
● 数字时代的数据安全关注的是数据生产和处理过程中的安全状态,已经不适应于传统数据安全生命周期的思考方式,即数据没有生命周期。因为数据的价值是由流动性体现的,只要是流动的数据,就必然会通过计算或者存储的形式将自身转移到其他数据或系统中,并不存主动销毁这一行为。并且从《数据安全法》中可以看到,有关数据处理的内容中也不包括销毁。
● 现阶段我国数据安全市场的驱动力主要来自安全合规。
● 数据做为人类活动的第五大生产要素,站在国家、行业的层面用顶层治理的高度来考虑是完全必要的。但站在企业或机构的自身层面,用治理的高度来实现数据安全管理,无异于“大炮打蚊子”,时间、人力、物力上的成本令企业或机构举步维艰。这几年来的实践也证明,传统数据安全治理(DSG)的概念和思路均存在无法落地的问题。
● 由于数据安全治理的框架是用治理的高度来做安全,因此前期的咨询、分类分级、资产化会变得极其沉重。数世咨询提出的解决思路是,以安全驱动(为目的)的数据治理,聚焦于安全和轻量级资产化,在减轻前期咨询、分类分级、资产化沉重压力的同时,又为未来大一统的数据治理工作做好准备。
● (CPI)2 框架的应用基于AI的数据自动分类分级能力、具有行业属性的知识图谱和全域数据/多模态数据的治理能力,支持云原生、私有化部署和SaaS服务,与数据治理安全(DGS)的理念完全契合,满足企业数字化转型的各种需求。
参考建议
● 数据安全生命周期是从数据的流动环节上做安全控制,但由于绝大多数电子数据实际上没有生命周期,并且数据的价值是通过流动性的强弱来体现的。所以数据安全应该从流动性的视角(即应用需求)切入,而不是以流动环节(即信息技术)的视角为核心,流动环节应该作为流动性的辅助。
● 行业用户在数字化转型的过程中,安全合规是绕不开的一环。为了尽量避免企业因数据安全问题遭到损失,可以优先通过AI的方式进行数据分类分级的工作,然后为各种类数据匹配不同的安全能力。
● 以数据轻量资产化、AI分类分级、持续分类分级、安全条款符合化和安全能力对接与调度为核心的数据治理安全(DGS)思路,才是适应我国行业用户的数据安全需求的。
● 数据分类分级的工作不是一锤子买卖,应该是持续化不断迭代进行的。行业用户应该不断根据国家与行业的要求以及商业系统的变更来动态调整分类分级的结果,并对其施以相应的安全能力。
● (CPI)2 框架已经在部分行业用户的生产环境进行了落地应用,可以作为现阶段数据治理安全(DGS)的最佳实践来参考。
有关定义
随着我国《数据安全法》的施行,数据安全已经与网络安全并行,作为一个单独的研究领域,加之数字经济的蓬勃发展,数据安全的问题越来越被广大的行业客户所关注。
数世咨询《数字安全能力图谱》将数据治理安全归纳于数据安全-数据治理安全平台分类下,替换了上一版《数字安全能力图谱》中,数据安全-数据安全体系-DSG分类。
数字安全能力图谱
数据治理安全(DGS)是一种思想,聚焦于数据的分类分级、合规条款匹配和数据安全能力的对接与调度。整体以轻量化的治理方式引路,优先解决安全合规的迫切需求,再辅以其他数据安全能力,用人工智能的方式实现安全能力的正向循环迭代。用最轻量化的数据治理思路建设数据安全能力,用最小的代价解决当前最迫切的需求,为后续数据安全与数据治理的全面建设提供技术与管理基础。
……
后续章节,请关注本公众号,并回复“数据治理安全”获取本文PDF链接:
参考阅读
原文始发于微信公众号(数世咨询):数据治理安全(DGS)白皮书
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论