数据安全是高校的生命线,在数据安全合规要求不断升级的大背景下,加强数据有效保护,确保数据安全共享应用,已成为高校信息化建设的前线。
安全高楼平地起,作为数据安全建设的基础工作,通过数据分类分级,掌握数据资产现状,识别核心数据、重要数据资产,针对性进行安全建设,至关重要,也越来越受高校关注。
但数据分类分级如何有效开展,校长也犯了难。
难题一:专业人才不足,开展数据分类分级力不从心:
高校信息化普遍存在“重建设、轻安全”的现象,人才团队普遍不足,对于如何构建有效的数据安全防护体系,多数高校单位感到力不从心,而数据分类分级工作更是一项既需要业务知识,又需要数据专业支撑的课题,更是不知道如何进行开展。
难题二:标准方法缺失,不知如何对数据分类定级:
标准是指导数据分类分级工作的重要抓手,目前,教育部研究制定《教育系统核心数据和重要数据识别认定工作指南(试行)》,对核心数据、重要数据及触发条件进行明确,并指出:教育数据按照内容属性可分为机构数据、人员数据、业务数据等三类;教育数据按照重要性、精度、规模、安全风险等分为核心、重要、一般三级。
但总体而言,教育行业数据分类分级指南标准尚在完善,高校如何对数据分类定级依然缺少有效的指导依据,且行业标准属于方向性定义,组织还需要结合自身业务特点及发展需要,建设可落地的数据分类分级方法。
难题三:传统分类分级工具,效率低、周期长、准确度差:
目前,数据分类分级实践以人工为主,这种方式周期长、效率低且主观性比较强。虽然也有相应的工具和产品,但效果上表现一般,准确度差。此外,针对数据分类分级已经完成,单位组织也面临应用的困扰,数据分类分级结果如何指导数据安全落地?数据不断增长,采用什么工具进行管理,实现持续的运营?
面对上述难题,高校到底如何开展数据分类分级?
先后在大数据局、各高校、人社、农业农村、能源、金融、医疗、地产、企业、交通等各行业广泛实践,美创科技提供切实可落地的方法路径。
高校数据分类分级方法路径
01 打基础:现状梳理,摸清家底
美创科技提供具备丰富行业认知和数据专业知识的咨询专家团队,帮助高校对数据资源进行深入调研和自动识别发现,形成统一的数据资源列表,为后续数据分类分级奠定基础。包括:
∎ 开展数据源现状调研:对高校数据基本情况、责任主体情况、数据处理情况、数据安全环境等进行信息收集。
∎ 自动识别数据资源:通过暗数据发现和分类分级工具,自动并快速识别数据源。
∎ 汇总数据资源调研结果,以及工具自动识别数据源结果,整理输出高校数据资产列表 。
02 建标准:管理规范,流程制度
依据相关要求,咨询团队协助制订符合高校业务实际的数据分类分级内部标准规范文件(制度类),如:
∎ 数据分类分级具体要求;
∎ 数据分类分级工作中涉及的角色及职责;
∎ 数据分类分级的相关制度和操作流程的制定、发布、维护和更新的机制以及评审和修订周期;
∎ 数据分类分级管理相关绩效考评和评价机制等。
03 定策略:策略制定,大纲确认
根据法律法规、行业要求,结合高校自身的数据特点及实际业务情况,以数据分类分级标准为指导,制定数据安全分类分级策略,输出数据安全分类分级大纲。
∎ 数据分类策略:基于已经梳理和识别完成的数据资源和业务条线梳理成果,根据数据性质(特定的数据性质有所区别)、重要程度(与其他数据相比重要程度有区别)、管理需求(因特行的管理目的)或使用需求(与其他数据之间使用范围/目的不同)等进行数据分类。
∎ 数据分级策略:数据分级影响因素较多,包括数据影响对象、影响范围、影响程度等,需结合数据体量、数据聚合、数据实效性等进行综合分析,完成数据定级。
04 识数据:工具辅助,提升效率
以暗数据发现和分类分级系统辅助落地实施,系统引入自然语言处理、统计模型、特征分析、机器学习等技术,可自动并快速识别发现数据,根据分类分级策略智能化处理分类分级标签,可视化呈现数据分类分级结果。
∎ 首先,根据高校业务特性将制定的数据识别规则和分类分级策略内置到【暗数据发现与分类分级】产品中,调试并形成行业数据发现模型和分类分级模版。
∎ 其次,完成作业配置后,由产品自动进行数据源扫描、识别,发现数据库的数量、IP、端口、类型等信息;自动完成数据格式、内容的识别,数据含义的解析,自动输出分类分级结果。
∎ 最后,将产品自动化发现的结果与业务人员进行核对,确保资产梳理和分类分级的准确性,最后输出分类分级结果清单和可视化分析报告,工具提供数据分类分级结果对外输出能力,工具提供标准对外接口,可将结果输出到安全管控平台等,实现数据分类分级的落地。
05 行安全:结果应用,保障安全
基于数据安全分类分级结果,应用于数据安全场景中,针对数据分级的结果,明确不同等级的处理策略,对数据的获取与提供,制定不同的数据访问权限或提取等管理审批流程。常见的处置方式如:
∎ 数据权限设计:依据数据分类分级结果制定数据安全访问控制策略,指导持续的数据安全建设的数据安全监测、脱敏、加密、验证、校验和权限管理等数据管控措施设计。包括数据安全角色设计、数据安全用户权限设计等。
∎ 分级管控设计:基于业务数据分类分级标识,结合场景设计方案,明确不同敏感级别的数据安全管控策略和措施,实施内部安全管理措施、审批制度及应急处置措施,构建不同业务领域的场景化数据安全管理矩阵。同时采取技术措施保障数据全生命周期安全过程中的数据安全,可应用在访问控制、数据血缘分析、数据行为跟踪、数据水印溯源等多种业务场景,并结合数据权限设计内容执行管控策略配置。
美创数据分类分级方案优势
咨询实施一体化,保障建设质量
已形成完整的数据分类分级建设方法论体系;
可快速推动数据分类分级工作落地,并确保建设成果。
实施工具智能化,沉淀建设成果
工具支持可视化展示分类分级落地执行过程;
自动输出数据分类分级报告,形成分类分级大屏。
实践经验成果化,降低交付成本
已完成大数据局、人社、能源、交通、教育、金融、医疗、交警等行业的落地;
行业模板内置工具,可快速在同行业推广落地。
交付内容灵活化,可按需定制选择
灵活选择服务内容,如分类分级标准建设,形成行业/地方/组织内部的指导性文件;分类分级咨询服务,构建分类策略和分级策略;
跨境场景的分类分级服务;合规场景的分类分级场景;
不同行业版本的分类分级工具等。