數據安全評估次數?作者:朱雯卿Judy編輯:真梓,今天小編就來聊一聊關于數據安全評估次數?接下來我們就一起去研究一下吧!
作者:朱雯卿Judy
編輯:真梓
*
随着數據的井噴式增長,數據治理越來越成為數字化轉型中的重要基礎性工作。
根據2021年4月發布的《國家數據資源調查報告(2020)》顯示,2019年中國數據産量總規模為3.9ZB,同比增加29.3%,占全球數據總産量(42ZB)的9.3%。
數據資源主要由行業機構及個人持有的各類設備所産生,其中行業機構一直占據數據資源生産的主體地位——2019年,國内行業機構數據産量達到3ZB,占全國數據總産量的76.9%。龐大且快速增長的數據量,對數據的充分挖掘和有效利用提出新的要求,數據治理的命題由此而生。
數據治理概念主要存在兩種趨勢,一種是偏向數據管理的狹義數據治理,側重于數據資産管控體系;另一種是偏向數據工程的廣義數據治理,對狹義數據治理的概念進行了延伸,側重于技術支撐平台的研究。比如Gartner指出,在2021年之前,企業主要采用數據中心、數據湖或者數據倉庫這種統一戰略;而2023年之前,75%的數據庫将遷移至雲平台上,并且人工智能、動态元數據也将增強數據治理能力。
同時,還存在大數據治理的概念,即圍繞數據資産、共享開放、安全與隐私保護等大數據技術應用,構建更大的數據治理體系。
今年7月,中國信通院發布的《數據治理研究報告》就指出,我國數據治理體系理應涵蓋數據安全保障、用戶權益保護以及數據價值釋放三大部分,下一步立法重點是促進數據價值釋放。
在數據治理賽道上,湧現出了多種類型的玩家,成立于2014年12月的禦數坊就是其中一個。此前,36氪曾報道過禦數坊的多輪融資情況。
作為專注于數據治理和數據安全領域的咨詢和軟件服務商,禦數坊主要瞄準能源、金融、通信、制造、政府等傳統領域客戶,為企業提供全生命周期的數據治理解決方案。
在近期進展上,禦數坊的創始人兼CEO劉晨向36氪介紹,2021年底,禦數坊完成了奇安信領投的數千萬元A輪戰略融資,核心産品DGOffice首批獲得信通院數據安全産品-數據分類分級産品評測,客戶行業也從能源大型企業向銀行證券、汽車制造等行業不斷延伸。
近期,36氪再次采訪到了劉晨,他向我們分享了禦數坊的最新變化,結合不同産業的數字化轉型進程,介紹了數據治理賽道的技術趨勢、業務難點等話題。
以下是專訪對話節選(經36氪編輯):
劉晨:最主要的變化是顯著提升了軟件産品的開發和推廣,客戶軟件産品軟件落地情況取得比較大的提升。另一方面,增加了數據安全方面的專業能力,包括軟件和咨詢服務。
比如我們的數據治理平台DGOffice推出了數據安全分類分級能力。因為2020年以前,《數據安全法》、《個人信息保護法》等法律還沒出台,那時候的數據安全需求還不是那麼強烈。我們在2020年下半年增加了數據安全團隊,加大這方面的開發。
除了專業方面,在市場開拓上,在能源、金融和汽車制造三個主要行業,我們都有客戶拓展。
2020年之前,國網、南網是我們的主要戰場,占60-70%的比例。現在我們的能源行業客戶中,在保持國網和南網的老客戶基礎之上,在石油、石化、發電等綜合性能源集團都有深度推展,也已簽約500萬級規模的數據治理項目,充分獲得客戶認可。
金融行業中,2020年前我們銀行和證券的客戶比較少,而經過一段時間的努力,我們已經在為近10家頭部金融機構提供數據安全和數據治理解決方案。
汽車制造行業方面,我們在2020年時基本還沒有客戶。這兩年汽車及制造業數字化轉型需求比較旺盛,所以數據治理也有相應的需求。我們目前在汽車和制造這兩個領域也有近10家客戶。
劉晨:剛剛開始做數據治理的客戶,還是更需要通用型的方案,沒有一定要很深的行業know-how。到第二、三期要結合業務領域做深度治理的時候,才會對行業know-how有要求。
而且,組織機構數據、人力資源數據、财務數據等方面,具有行業可複制性。所以在最開始進入這個行業的時候,我們不太需要投入在有 know-how 方面的積累,更多還是通用型的方法和産品。而随着與客戶合作的深入,行業know-how也會自然積累起來,我們會進一步結合行業的業務需要打造更加針對性、體現價值的解決方案。
劉晨:「DGOffice數據治理辦公室」産品在融資後,對各個模塊有從前端到後端的體系化提升,并且各個子産品之間可以橫向打通。包括其中的數據質量中心、數據安全中心、元數據中心等都可以作為獨立的子産品對外推廣。
DGOffice可以根據客戶的需求去靈活地拆解和組合。比如客戶關注數據資産目錄的構建,這時候就選擇元數據、數據資産中心模塊;如果客戶關注數據由誰管理的職責問題,就可以用數據權責中心,幫助企業從0到1地建立數據認責;關注數據質量的,也可以選擇數據質量中心。以數據權責為基礎,我們可以構建起協同化的數據資産盤點、數據标準管理、數據質量提升等場景,有效解決業務部門參與度低、數據治理業務價值不清晰的問題。
在數據安全方面,如果客戶有數據分類分級的需求,可以提供元數據中心和數據安全中心,這樣就能把元數據采集過來,然後做智能化的分類分級,自動打好安全等級的标簽,或者識别敏感數據。我們目前給金融機構做的數據分類分級落地,規模最大的會有5千萬字段以上,在數據采集能力、定級效率、智能化定級準确度等方面,禦數坊已經積累了充分的實戰經驗。
劉晨:從用戶角色來講,存在兩類不同的用戶群體。甲方企業裡做數據安全工作的,一種是以前的數據團隊,一種是安全團隊。比如,企業裡CIO拿到數據治理的需求後,有的會安排給新一點的數據團隊,延伸出來做一個安全業務;有的會安排給以前的信息安全團隊,往數據側做一些延伸,形成數據安全的專項。
這兩種團隊在選擇方案時,關注點就會有點不一樣。安全團隊都是偏攻防的技術思維,對業務場景、業務含義、數據加工的細節過程還需要深入了解。同時,數據團隊很熟悉元數據、數據資産目錄,但是不熟悉安全領域的風險監測、合規等内容。
整體來看,目前還沒有形成行業性的趨勢,确定由哪個團隊負責數據安全工作。無論是哪個團隊做,其實目前都處于一個對數據安全整體做規劃思考的階段,然後再局部地先從數據分類分級開始落地。
劉晨:現在行業最大的難點應該是分類分級的工作。分類分級的工作做完後,後面防洩漏、脫敏、加密等數據保護的手段才能依據這個結果做好數據安全保護。
從宏觀的政策法律法規角度,其實還是很利好這個領域發展的。《數據安全法》《個人信息保護法》出台以後,各個行業也在制定一些安全相關的管理辦法,比如重要數據資産目錄、數據安全分類分級的指南等,銀保監會、證監會都有這種要求。
對于分類分級來說,落地的困難就在于缺少行業權威性的分類分級标準,且這個标準還需要具備細粒度。目前的行業分類分級标準更多是指引性的内容,有宏觀和中觀指導的作用,但具體落地層面,企業則需要直接回答這是什麼數據、是什麼等級的問題,這就需要去建立一個權威性的标準。
目前這類标準在銀行、證券和電信行業是有的,可能在落地層面需要做細化和适度調整;其他行業有一些初步的管理辦法,但粒度還較粗指導落地上是有困難的。
另一方面,作為一個跨數據和安全兩項工作的交叉點,數據和安全兩個團隊都還沒有形成完善的解決方案。再加上技術落地中,分類分級需要落到字段級,字段類型多、數量大,行業标準又有缺失,這就是一個很大的難點。如果企業分類分級落地不好,數據安全其他部分都會受到影響。
另外,在我們現在接觸到的客戶中,普遍現象是客戶目前還會關注數據安全的整體規劃,比如數據安全的組織、制度流程等,以及關注數據安全的風險評估或能力評估。
劉晨:我們去年簽的一個頭部證券公司,是比較典型的例子。
最開始是證監會有行業指引,要求去做數據安全分類分級。客戶開始找到行業集成商,去做人工的數據分類分級的梳理。基本上分級到表這個階段,當時可能有七八千張表,沒有到字段這個級别。但是按照證監會的要求要做到字段級,這七八千張表可能就會有幾十萬個字段,這個效率如果再靠人工做就會很低。所以那時候我們就介紹了我們分類分級的智能化能力,也做了一個 POC,對方還是很認可的。
但當時沒有直接決定采購,因為當時數據團隊不清楚整體數據安全的規劃應該怎麼做。所以我們進一步幫客戶形成了一個三年的數據安全整體的初步規劃,包括在哪些場景,有哪些技術工具的落地,以及組織上的一些建議等。客戶理清整體的數據安全工作思路之後,采購了DGOffice數據安全中心,進行分類分級落地。
劉晨:從效果和交付兩個方面看——交付方面,我們是非常标準化的。安排一個技術工程師和一個咨詢顧問,在兩周到一個月内完成交付。比如之前我們參與一個大行的項目,當時整個有300多個系統、2600多個數據庫、7200萬字段,我們在三周内完成了相關部署、字段采集和敏感數據的識别。
準确率方面,在銀行證券領域,我們的準确率在85%以上,電網也在85%以上。其他行業随着落地實踐和語料庫的積累,詳細地梳理了這個行業的數據資産和标準後,準确率也會在85%以上。
整個行業來看,我覺得智能化目前還處于探索階段,有效地落地的案例還比較少。目前我們在分類分級、資産梳理、數據标準落地等,做了一些嘗試,還需要進一步深化和探索更多應用場景,智能化一定是數據治理的未來。
智能化數據治理的難于落地的原因大概有兩個方面。一方面是人才供給——懂治理的人,懂算法的極少;懂算法的人基本上不會做治理。複合型的人才其實是非常稀缺的。
另一方面是客戶需求,大部分做治理的人核心能力在數據平台的建設,并不精通算法,無法深度地評價智能化方案的優劣,隻能從結果去評估。但目前這個領域大家都在探索,真正落地的少。所以甲方都是保持觀望的态度。從交付方式來看,大企業可以通過人員外包服務的方式解決數據梳理類工作的交付問題,雖然效率低、成本高,但仍能滿足工作要求,所以對智能化的需求還不夠迫切。而如果企業面臨的是監管機構數據治理的比較緊迫的合規需求,要求企業在短時間内把海量數據處理好,這時候智能化數據治理會有有一些用武之地,例如剛才提到的大型銀行幾千萬字段的敏感數據發現的例子。
劉晨:數據治理的價值體現有三種方式。
一種就是最開始設定好價值預期。先把制度、組織建立起來,對數據資産做一些初步梳理,可能要避免對業務價值有過高預期,因為這個階段是數據治理的初步導入階段,很難直接體現出業務價值。
第二種,是在後期可以結合業務場景,識别一些痛點問題并解決它,這種模式業務部門的獲得感非常強,甚至可以計算出可量化的經濟價值。
第三種,按照外部的數據管理成熟度等國标去建設。第一期初評,可能數據治理能力水平在1.5,經過兩三年建設,能達到2.5,再去申請工信部的DCMM評估标準,也能體現數據治理的價值。
劉晨:我覺得專業方向上,就是元數據、資産目錄、數據标準、數據質量、數據安全分類分級、數據安全的風險監測等,結合起來形成整體的數據治理能力。在技術能力上,可能要突破的就是自動化、智能化的能力,來提高效率。
第二,就是通過産品 服務,能更好地讓甲方的業務部門和管理人員真正參與到數據治理當中。我們把咨詢的方法論所形成的業務場景和管理場景,沉澱到系統當中,讓甲方更容易上手,業務部門更容易去理解。設定了職責,按照職責在系統上使用,有個相應的流程去驅動,就會很容易上手開展數據治理工作。這是我們的「協同化」數據治理理念。
另一方面,最近以互聯網公司為背景的技術人員在探讨數據治理的也非常多。他們提的數據技術棧等概念中也有數據治理,強調開發與治理的融合,但這種模式比較适合自研能力較強的甲方客戶,對于大部分傳統行業客戶,推行起來有一定困難。
劉晨:我覺得把已經有的數據用好,去支撐數字化轉型是必須的,這裡面數據和數據治理的重要性是毋庸置疑。但數字化還包括了把現在沒有通過自動化手段支撐的業務能力支撐起來,這一部分中,數據治理就不是最重要的。更多是建立數據采集的能力或構建一個業務系統,用數據把業務線運行起來,這時數據治理會後置一些。
比如對于自動化生産線的調度系統,想治理其中的數據是不現實的,因為它出廠的時候都預置好了,想改變傳感器的數據格式、含義是不行的。機器産生的數據要跟着廠商走,這方面做管理域數據治理的思路就不完全一樣。
不同行業的數據治理進度也是不一樣的。
從行業實踐的速度來看,金融機構做數據治理會快一些;國企央企更多處于思考認知,以及做整體規劃和現狀評估的階段,也就是偏咨詢,産品方面初步實踐。
最早的是銀行和通信運營商。銀行要結合監管報送,通信運營商是結合數據倉庫的建設和應用,他們最早能追溯到04、05年的時候就開始做數據治理了。
銀行在早期有監管要求,跟國際咨詢公司對接得也比較多,所以銀行是系統化的打法,從咨詢的梳理,到标準的制定,再到系統建設去落标。通信運營商在早期階段更多偏技術化的打法,管理配套一開始不足,陸續有所提升。
到了2010年前後,銀行業開始把數據治理的要求往全行業去推廣,而其他行業都沒有全行業的要求。所以銀行在數據質量标準評估上有全行業的布局。
延續這種方式,銀行又在2018年出台了數據治理的行業指引,從行業監管要求到中間監管,需要滿足監管要求的現場檢查,再到咨詢、平台落地。裡面既有工具的供應商,也有咨詢服務的供應商,也有實施的供應商,整個生态相對是比較成熟和完整的。
證券行業做得比較晚,基本到了2015年左右在證券行業的風險管理規範裡提到行業數據治理的要求,成立了行業的數據治理小組,出台了行業數據模型等。
國網、南網大概從08、09年開始,結合數據倉庫的建設做數據治理。從14、15 年開始,開始體系化地做數據治理。當時的背景是ERP一體化的業務系統上線之後,做完之後發現存在數據孤島,制約着這些系統橫向數據的打通,數據中心進一步建設也會有質量問題,這就倒逼着客戶開始做數據治理。像國家能源集團、石油石化等頭部能源企業從12、13年也開始起步做數據治理。到了14、15年,國家開始編制大數據标準,2018年出台了DCMM的成熟度評估模型,所以有更多行業開始重視數據治理工作。
2018、19年數據中台火熱,結合數據中台,客戶對數據治理重視程度進一步提升。随着2020年數據要素、數據交易所的出現,2021年《數據安全法》的出台,對于數據安全分類分級的關注就越來越多了。
在不同行業發展的階段,我們接觸到的客戶基本上在要到大幾十億接近百億的這種營收水平,可能才會有比較明确的數據治理需求顯現出來。
劉晨:還是要結合業務價值,找到不同企業關心的重點業務場景或數據應用場景。每個企業可能關注點不一樣,但也會有共性。
比如國資委下轄企業受國資委監管,商業銀行面對銀保監會的監管報送場景等,都可以形成緊密結合業務的專項治理方案。在具體業務領域,比如營銷、物資等管理職能領域的數據治理,也可以對通用性方案進行創新。
技術創新方面,數據治理可能往實時數據、物聯網數據、非結構化數據等數據類型上去變化。以前的數據治理往往都在管理領域,面向一些管理指标,比如人員基礎信息、客戶信息、供應商信息等。但比如車聯網傳感器的信息,以及文檔、視頻、圖像、語音等數據的治理,這部分也是可以做一些突破嘗試的。
,更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!
zpostcode 
Recruit 
weather 
mreligion 
Yellowpages 
sport 
constellation 
shopping 
name 
game 
directory 
literature 
Word 
tour 
furnish 
Lottery 
tftnews 
lyrics 
News 
digital 
car 
dir 
Edu 
Finance 
