數據安全若一場 " 大考 ",數據分類分級絕對是道 " 必答題 "。
對高校而言,同樣如此。作為高層次人才培養與科學研究的重要基地,高校既擁有高價值的科研等敏感數據,又涉及大量師生個人信息,無論是開展數據戰略還是數據安全建設,數據分類分級都是繞不開的一大步驟。
- 2021 年 4 月,《教育部等七部門關于加強教育系統數據安全工作的通知》中指出,教育行政部門和學校制定本單位數據管理辦法,規范數據分類分級,明確數據安全防護措施。
- 2022 年 9 月,教育部辦公廳下發了《教育系統核心數據和重要數據識別認定工作指南(試行)的通知》,為教育系統落實核心數據和重要數據安全保護要求,推進數據分類分級工作提供指導。
標準指南在陸續完善,回歸到實際建設,高校應如何結合自身情況、有條不紊地開展和落地應用?
在寧波市計算機學會大數據與智慧教育專委會、寧波市計算機信息網絡安全協會教育工作委員會聯合舉辦的教育數字化與安全研討會上,美創科技技術專家劉建恒以《高教行業數據分類分級在數據安全中的應用》為主題,帶來美創方案與實踐。
01
完整方法路徑確保數據分類分級有序開展
在政府、大數據局、金融、能源、醫療、高校、制造、企業等行業廣泛的項目實踐,美創科技深入研究國家、行業標準,總結形成了一套標準可落地、過程可執行、效果可評估的數據分類分級建設方法論體系。
整體步驟包括:打基礎、建標準、定策略、識數據和行安全。(整個實施過程以具備豐富行業認知和數據安全專業知識的咨詢服務 + 成熟的數據發現與分類分級工具,配合完成落地。)
在數據分類分級策略制定上,參考法律法規、部門規章、行業標準(如:《教育部等七部門關于加強教育系統數據安全的通知》、《教育系統核心數據和重要數據識別認定工作指南(試行)的通知》等),結合高校自身的業務情況和數據特征,制定數據分類和數據分級標準,確定數據分級分類策略,輸出數據分類分級大綱。
在分類分級建設的各個階段,美創咨詢服務團隊輸出對應的服務成果,分類分級整個過程情況一目了然,保障建設質量。如《數據資產清單》、《數據分類分級咨詢報告》、《數據分類分級指南 / 規范》、《數據分類分級報告》等。(點擊此處,了解美創數據分類分級各階段交付成果)
02
專業工具輔助支撐數據分類分級快速落地
在數據分類分級實施過程中,美創自研的智能化工具 - 暗數據發現和分類分級系統輔助整個過程高效開展,以及長期持續化運營。
作為首款通過中國信通院 " 數據分類分級工具 " 測評的產品,暗數據發現和分類分級系統已內置教育行業的數據分類分級模板、豐富教育業務類型和發現規則、教育數據字典、教育數據標準等,結合自然語言處理、統計模型、特征分析、機器學習等技術,可以更準確、高效的識別數據,并自動對其進行分類、分級。
具體實施過程中,將分類分級策略內置到系統中,在完成字段業務類型的識別后,自動實現對數據的分類和分級。
整個過程可視化呈現,可以展示每個字段歸屬的分類、所屬的安全等級,并以報告形式展示分類分級建設成果,包括敏感數據分布情況、數據分類情況、數據分級情況等。用戶可通過可視化界面,一鍵連接數據庫,產品自動化完成分類分級的識別和打標工作,后續可以在產品層面看到數據字段和分類標簽,并輔以人工復核打標結果。
03
產品聯動支持實現數據分類分級結果應用
開展數據分類分級旨在指導數據安全建設以及數據業務開發利用,美創擁有成熟完善的數據安全以及數據支撐平臺、數據資產管理平臺等數字化產品。
在分類分級結果落地應用中:
支持與數據支撐平臺、數據資產管理平臺自動對接,打破現有的數據治理環環孤立的模式,提升數據應用能力和使用效能。
支持與數據安全管理平臺及防護類組件聯防聯動,踐行一致性的安全防護策略,形成以數據分類分級為基礎的精細化數據安全建設。
04
高校實踐案例
某高校直屬國家教育部,是國家首批 "211 工程 " 重點建設大學、國家 "985 優勢學科創新平臺 " 建設高校、國家 " 雙一流 " 建設高校。
建設背景
目前,該高校在現有各院系信息系統建設基礎上建立公共數據庫,各業務信息系統建設中,只能錄入并維護本部門權威數據,對非本部門產生的數據,一律從公共數據庫獲取使用。基于《教育系統核心數據和重要數據識別認定工作指南(試行)的通知》等文件,該校結合本身數據規劃及實際業務需求,與美創科技共同開展本次數據分類分級工作,覆蓋 UDW 和一網通辦系統,共涉及 500+ 張表,7000+ 個字段數量。
項目建設步驟
項目實施以標準化建設步驟和《數據分類分級實施指導手冊》為基礎,分階段完成項目交付:項目啟動、系統部署、數據準備、數據分類分級咨詢、數據分類分級服務、分類分級結果輸出、項目驗收。
數據分類分級策略
明確數據分級策略,深入分析《教育系統核心數據和重要數據識別認定工作指南(試行)》,充分分析教育數據的重要性、精度、規模、安全風險(即數據一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,對國家安全、經濟運行、社會穩定、公共利益、組織權益、個人權益可能造成的危害程度)等因素,對數據進行定級,最后確定的定級策略如下:
▲ 數據分級策略
輸出數據分類分級策略,本項目中最終明確數據分類策略包括:16 個一級大類,93 個二級子類,一級分類包括:學校概況數據、學生管理數據、教學管理數據、教職工管理數據、科研管理數據、財務管理數據、資產與設備管理數據、辦公管理數據、外事管理數據、檔案管理數據、圖書管理數據、一卡通管理數據、后勤服務數據、校友社會合作數據、其他數據。
▲ 數據分類分級策略示例
專業工具有效保障工作落地
暗數據發現和分類分級系統,根據分類分級策略智能化處理分類分級標簽,可視化呈現數據分類分級結果,用戶可以在產品頁面上自定義修改分類分級標簽,整體通過智能識別 + 人工審核修改的方式實現數據分類分級標簽體系閉環。
▲ 自動生成分類分級結果清單
▲ 展示分類分級成果
