DSAG推动数据安全治理有效落地

文 | 本刊记者 石菲

9月6日，2022数据安全技术大会暨中国信息协会信息安全专业委员会年会在北京正式开幕。本届年会由中国信息协会信息安全专业委员会主办，中国信息协会信息安全专业委员会数据安全技术工作部和天空卫士联合承办。

会议间隙，《中国信息化》记者对中国信息协会信息安全专委会副主任李京春和天空卫士合伙人兼高级技术总监杨明非进行了专访。

在采访中，李京春表示，目前人们对数据安全的认识已经提高到一个前所未有的高度。但数据安全行业整体仍处于保护不规范、不充分、不全面、不彻底的初级阶段。亟待加强合规性、安全性、完整性、可用性、可控性的保护和数据安全治理。

他说：“目前，《网络安全法》《数据安全法》《个人信息保护法》相继实施，非常需要与之相配套的可操作、可落地的基础标准规范及试点示范，以此落实法律法规要求，并形成全社会、全行业数据安全治理的制度体系。同时，网络安全概念已经扩大，除了IT网络，还包括声、光、电、磁等其他类型的网络数据，因此数据安全更加需要全面安全的保护。”

作为本次大会的重磅环节，天空卫士发布了《数据安全治理自动化技术框架》白皮书（DSAG）。DSAG通过自动化技术识别结构化和非结构化数据，从企业内数据资源发现，到对数据进行分类分级，并以数据分类分级对象为核心，用户行为分析为增强手段，进行数据安全策略的配置和执行，全方位地覆盖数据安全治理周期的每一个环节。

李京春表示，DSAG将在三个层面对数据安全起到积极作用。首先数据治理是数字化转型的基础，DSAG对保障工业互联网、智慧医疗、智能交通等数字化转型的深层应用会产生积极影响；其次，DSAG对保障数据有序共享，跨境流动，数据交易等将发挥积极作用；最后，对数据安全生态建设也会起到促进作用。

值得注意的是，李京春认为DSAG首次发布，其中的自动化技术非常有意义，数据安全治理工作需要智能化辅助提升效率。

对此，杨明非表示，DSAG包括三个自动化场景。第一是数据分类分级的自动化，第二是数据安全处理的自动化，包括对数据进行可视化的处理和审计，并进行管控。第三是行为分析自动化，针对使用者进行风险评估并打分。

对于DSAG的落地，杨明非感慨颇多。他认为数据安全治理体系在企业中落地面临三大挑战。首先是过去的安全保护手段以隔离为主，但随着数据流动性的增大，企业需要以数据为中心的安全治理手段；其次是对人员能力的挑战，企业需要基础的数据安全IT管理员、结合业务体系和数据安全技术体系的数据安全员，以及制定安全策略的数据安全管理者三类安全角色，三者缺一不可；第三是网络无边界下数据分类分级的复杂性也呈指数增加，DSAG旨在帮助企业减少在分类分级复杂过程中的人力投入成本。

他说：“由于数据的变化越来越快，企业需要一个平台化的持续处理的数据安全治理技术框架，代替过去碎片化的安全处理手段。这也是天空卫士研发DSAG平台的初衷，我们希望能够为企业提供一个平台化统一的多通路、分层次的管理体系。我们希望通过这种方式，有效推动数据安全治理在企业中的技术化落地。”