一文詳解｜高校到底如何開展資料分類分級？

資料安全是高校的生命線，在資料安全合規要求不斷升級的大背景下，加強資料有效保護，確保資料安全共享應用，已成為高校資訊化建設的前線。

安全高樓平地起，作為資料安全建設的基礎工作，透過資料分類分級，掌握資料資產現狀， 識別核心資料、重要資料資產，針對性進行安全建設，至關重要，也越來越受高校關注。

但資料分類分級如何有效開展，校長也犯了難。

        難題一：專業人才不足，開展資料分類分級力不從心：

高校資訊化普遍存在“重建設、輕安全”的現象，人才團隊普遍不足，對於如何構建有效的資料安全防護體系，多數高校單位感到力不從心，而資料分類分級工作更是一項既需要業務知識，又需要資料專業支撐的課題，更是不知道如何進行開展。

        難題二：標準方法缺失，不知如何對資料分類定級：

標準是指導資料分類分級工作的重要抓手，目前，教育部研究制定《教育系統核心資料和重要資料識別認定工作指南（試行）》，對核心資料、重要資料及觸發條件進行明確，並指出：教育資料按照內容屬性可分為機構資料、人員資料、業務資料等三類；教育資料按照重要性、精度、規模、安全風險等分為核心、重要、一般三級。

但總體而言，教育行業資料分類分級指南標準尚在完善，高校如何對資料分類定級依然缺少有效的指導依據，且行業標準屬於方向性定義，組織還需要結合自身業務特點及發展需要，建設可落地的資料分類分級方法。

        難題三：傳統分類分級工具，效率低、週期長、準確度差：

目前，資料分類分級實踐以人工為主，這種方式週期長、效率低且主觀性比較強。雖然也有相應的工具和產品，但效果上表現一般，準確度差。此外，針對資料分類分級已經完成，單位組織也面臨應用的困擾，資料分類分級結果如何指導資料安全落地？資料不斷增長，採用什麼工具進行管理，實現持續的運營？

面對上述難題，高校到底如何開展資料分類分級？

先後在大資料局、各高校、人社、農業農村、能源、金融、醫療、地產、企業、交通等各行業廣泛實踐，美創科技提供切實可落地的方法路徑。

高校資料分類分級方法路徑

0 1   打基礎：現狀梳理，摸清家底

美創科技提供具備豐富行業認知和資料專業知識的諮詢專家團隊，幫助高校 對資料資源進行深入調研和自動識別發現， 形成統一的 資料資源列表，為後續資料分類分級奠定基礎。包括：

∎  開展資料來源現狀調研：對高校資料基本情況、責任主體情況、資料處理情況、資料安全環境等進行資訊收集。

∎  自動識別資料資源：透過暗資料發現和分類分級工具，自動並快速識別資料來源。

∎  彙總資料資源調研結果，以及工具自動識別資料來源結果，整理輸出高校資料資產列表  。

02   建標準：管理規範，流程制度

依據相關要求，諮詢團隊協助制訂符合高校業務實際的 資料分類分級內部標準規範檔案 （制度類）， 如：

∎   資料分類分級具體要求；

∎  資料分類分級工作中涉及的角色及職責；

∎  資料分類分級的相關制度和操作流程的制定、釋出、維護和更新的機制以及評審和修訂週期；

∎  資料分類分級管理相關績效考評和評價機制等。

03   定策略：策略制定，大綱確認

根據法律法規、行業要求，結合高校自身的資料特點及實際業務情況，以資料分類分級標準為指導， 制定資料安全分類分級策略，輸出資料安全分類分級大綱。

∎  資料分類策略： 基於已經梳理和識別完成的資料資源和業務條線梳理成果，根據資料性質（特定的資料性質有所區別）、重要程度（與其他資料相比重要程度有區別）、管理需求（因特行的管理目的）或使用需求（與其他資料之間使用範圍/目的不同）等進行資料分類。

∎  資料分級策略： 資料分級影響因素較多，包括資料影響物件、影響範圍、影響程度等，需結合資料體量、資料聚合、資料實效性等進行綜合分析，完成資料定級。

04 識資料：工具輔助，提升效率

以暗資料發現和分類分級系統輔助落地實施， 系統引入自然語言處理、統計模型、特徵分析、機器學習等技術，可自動並快速識別發現資料，根據分類分級策略智慧化處理分類分級標籤，視覺化呈現資料分類分級結果。

∎  首先，根據高校業務特性將制定的資料識別規則和分類分級策略內建到【暗資料發現與分類分級】產品中，除錯並形成行業資料發現模型和分類分級模版。

∎  其次，完成作業配置後，由產品自動進行資料來源掃描、識別，發現資料庫的數量、IP、埠、型別等資訊；自動完成資料格式、內容的識別，資料含義的解析，自動輸出分類分級結果。

∎  最後，將產品自動化發現的結果與業務人員進行核對，確保資產梳理和分類分級的準確性，最後輸出分類分級結果清單和視覺化分析報告，工具提供資料分類分級結果對外輸出能力，工具提供標準對外介面，可將結果輸出到安全管控平臺等，實現資料分類分級的落地。

05   行安全：結果應用，保障安全

基於資料安全分類分級結果，應用於資料安全場景中， 針對資料分級的結果，明確不同等級的處理策略，對資料的獲取與提供，制定不同的資料訪問許可權或提取等管理審批流程。 常見的處置方式如：

∎  資料許可權設計： 依據資料分類分級結果制定資料安全訪問控制策略，指導持續的資料安全建設的資料安全監測、脫敏、加密、驗證、校驗和許可權管理等資料管控措施設計。包括資料安全形色設計、資料安全使用者許可權設計等。

∎  分級管控設計： 基於業務資料分類分級標識，結合場景設計方案，明確不同敏感級別的資料安全管控策略和措施，實施內部安全管理措施、審批制度及應急處置措施，構建不同業務領域的場景化資料安全管理矩陣。同時採取技術措施保障資料全生命週期安全過程中的資料安全，可應用在訪問控制、資料血緣分析、資料行為跟蹤、資料水印溯源等多種業務場景，並結合資料許可權設計內容執行管控策略配置。

美創資料分類分級方案優勢

諮詢實施一體化，保障建設質量

已形成完整的資料分類分級建設方法論體系；

可快速推動資料分類分級工作落地，並確保建設成果。

實施工具智慧化，沉澱建設成果

工具支援視覺化展示分類分級落地執行過程；

自動輸出資料分類分級報告，形成分類分級大屏。

實踐經驗成果化，降低交付成本

已完成大資料局、人社、能源、交通、教育、金融、醫療、交警等行業的落地；

行業模板內建工具，可快速在同行業推廣落地。

交付內容靈活化，可按需定製選擇

靈活選擇服務內容，如分類分級標準建設，形成行業/地方/組織內部的指導性檔案；分類分級諮詢服務，構建分類策略和分級策略；

跨境場景的分類分級服務；合規場景的分類分級場景；

不同行業版本的分類分級工具等。