对高校而言,同样如此。作为高层次人才培养与科学研究的重要基地,高校既拥有高价值的科研等敏感数据,又涉及大量师生个人信息,无论是开展数据战略还是数据安全建设,数据分类分级都是绕不开的一大步骤。
- 2021年4月,《教育部等七部门关于加强教育系统数据安全工作的通知》中指出,教育行政部门和学校制定本单位数据管理办法,规范数据分类分级,明确数据安全防护措施。
- 2022年9月,教育部办公厅下发了《教育系统核心数据和重要数据识别认定工作指南(试行)的通知》,为教育系统落实核心数据和重要数据安全保护要求,推进数据分类分级工作提供指导。
标准指南在陆续完善,回归到实际建设,高校应如何结合自身情况、有条不紊地开展和落地应用?
在宁波市计算机学会大数据与智慧教育专委会、宁波市计算机信息网络安全协会教育工作委员会联合举办的教育数字化与安全研讨会上,美创科技技术专家刘建恒以《高教行业数据分类分级在数据安全中的应用》为主题,带来美创方案与实践。
01
完整方法路径确保数据分类分级有序开展
在政府、大数据局、金融、能源、医疗、高校、制造、企业等行业广泛的项目实践,美创科技深入研究国家、行业标准,总结形成了一套标准可落地、过程可执行、效果可评估的数据分类分级建设方法论体系。
整体步骤包括:打基础、建标准、定策略、识数据和行安全。(整个实施过程以具备丰富行业认知和数据安全专业知识的咨询服务+成熟的数据发现与分类分级工具,配合完成落地。)
◼︎ 在数据分类分级策略制定上,参考法律法规、部门规章、行业标准(如:《教育部等七部门关于加强教育系统数据安全的通知》、《教育系统核心数据和重要数据识别认定工作指南(试行)的通知》等),结合高校自身的业务情况和数据特征,制定数据分类和数据分级标准,确定数据分级分类策略,输出数据分类分级大纲。
◼︎ 在分类分级建设的各个阶段,美创咨询服务团队输出对应的服务成果,分类分级整个过程情况一目了然,保障建设质量。如《数据资产清单》、《数据分类分级咨询报告》、《数据分类分级指南/规范》、《数据分类分级报告》等。(点击此处,了解美创数据分类分级各阶段交付成果)
02
专业工具辅助支撑数据分类分级快速落地
在数据分类分级实施过程中,美创自研的智能化工具-暗数据发现和分类分级系统辅助整个过程高效开展,以及长期持续化运营。
作为首款通过中国信通院“数据分类分级工具”测评的产品,暗数据发现和分类分级系统已内置教育行业的数据分类分级模板、丰富教育业务类型和发现规则、教育数据字典、教育数据标准等,结合自然语言处理、统计模型、特征分析、机器学习等技术,可以更准确、高效的识别数据,并自动对其进行分类、分级。
具体实施过程中,将分类分级策略内置到系统中,在完成字段业务类型的识别后,自动实现对数据的分类和分级。
整个过程可视化呈现,可以展示每个字段归属的分类、所属的安全等级,并以报告形式展示分类分级建设成果,包括敏感数据分布情况、数据分类情况、数据分级情况等。用户可通过可视化界面,一键连接数据库,产品自动化完成分类分级的识别和打标工作,后续可以在产品层面看到数据字段和分类标签,并辅以人工复核打标结果。
03
产品联动支持实现数据分类分级结果应用
开展数据分类分级旨在指导数据安全建设以及数据业务开发利用,美创拥有成熟完善的数据安全以及数据支撑平台、数据资产管理平台等数字化产品。
在分类分级结果落地应用中:
支持与数据支撑平台、数据资产管理平台自动对接,打破现有的数据治理环环孤立的模式,提升数据应用能力和使用效能。
支持与数据安全管理平台及防护类组件联防联动,践行一致性的安全防护策略,形成以数据分类分级为基础的精细化数据安全建设。
04
高校实践案例
某高校直属国家教育部,是国家首批“211工程”重点建设大学、国家“985优势学科创新平台”建设高校、国家“双一流”建设高校。
建设背景
目前,该高校在现有各院系信息系统建设基础上建立公共数据库,各业务信息系统建设中,只能录入并维护本部门权威数据,对非本部门产生的数据,一律从公共数据库获取使用。基于《教育系统核心数据和重要数据识别认定工作指南(试行)的通知》等文件,该校结合本身数据规划及实际业务需求,与美创科技共同开展本次数据分类分级工作,覆盖UDW和一网通办系统,共涉及500+张表,7000+个字段数量。
项目建设步骤
项目实施以标准化建设步骤和《数据分类分级实施指导手册》为基础,分阶段完成项目交付:项目启动、系统部署、数据准备、数据分类分级咨询、数据分类分级服务、分类分级结果输出、项目验收。
数据分类分级策略
◼︎ 明确数据分级策略,深入分析《教育系统核心数据和重要数据识别认定工作指南(试行)》,充分分析教育数据的重要性、精度、规模、安全风险(即数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、经济运行、社会稳定、公共利益、组织权益、个人权益可能造成的危害程度)等因素,对数据进行定级,最后确定的定级策略如下:
▲ 数据分级策略
◼︎ 输出数据分类分级策略,本项目中最终明确数据分类策略包括:16个一级大类,93个二级子类,一级分类包括:学校概况数据、学生管理数据、教学管理数据、教职工管理数据、科研管理数据、财务管理数据、资产与设备管理数据、办公管理数据、外事管理数据、档案管理数据、图书管理数据、一卡通管理数据、后勤服务数据、校友社会合作数据、其他数据。
▲ 数据分类分级策略示例
专业工具有效保障工作落地
暗数据发现和分类分级系统,根据分类分级策略智能化处理分类分级标签,可视化呈现数据分类分级结果,用户可以在产品页面上自定义修改分类分级标签,整体通过智能识别+人工审核修改的方式实现数据分类分级标签体系闭环。
▲ 自动生成分类分级结果清单
▲ 展示分类分级成果