華南農業大學數據分類分級機制與策略

文/巫莉莉

隨著5G、云計算、物聯網、大數據、人工智能的快速發展，數據變得越來越重要，隨之而來數據安全面臨的挑戰也變得越來越多，網絡信息安全已經從終端安全、網絡安全進入到了數據安全階段，傳統以網絡和系統為防護目標的安全體系已經不能滿足數據安全的需求。

教育部部長懷進鵬多次提出，要加快推進教育數字化，不斷推動教育變革和創新。數據是數字化、智能化的基礎，在國家法律法規的明確要求下，數據如何能在合規、安全使用的前提下加速推進教育數字化已逐漸成為一個眾人關注的熱點話題。

數據分類分級是基礎和核心

數據的分類分級是數據合規、安全使用和精細化管控的基礎，是數據安全的核心部分。高校對數據進行分類分級主要是為了對數據進行身份標識，依據這個標識保障數據在學校范圍內活動的安全，同時提升數據管理能力。具體從以下兩個方面著手：

保障數據活動安全

滿足數據安全監管所需的合規性要求，指導數據安全策略的制定。

了解不同數據的重要程度，有效評估數據的價值以及數據安全影響。

提升數據訪問控制的安全性，降低業務風險。

數據分類分級管理，促進數據安全共享和交換。

制定相應的保護措施，優化數據安全審計的管控。

提升數據管理能力

掌握全局數據資源，形成數據資源目錄。

實現精細化分級管理，有效保護數據的合規使用，最大化共享和利用數據。

指導數據的采集、存儲、共享、使用、歸檔和銷毀等全生命周期的管理工作。

基于數據資源目錄搭建數據認責體系，構建數據管理地圖。

優化資源配置，降低數據管理成本。

數據安全防護體系建設與實施

DAMA-DMBOK2.0 提出的數據管理框架（DAMA 車輪圖）包含11 個數據管理職能領域，其中以數據治理為中心，還包含數據安全、元數據管理、數據質量管理等領域。該框架說明，數據治理與數據安全共同貫穿于數據的全生命周期。所以，在數據治理的實施過程中同步做好數據安全，往往會有事半功倍的效果。

建立組織和制定保障

華南農業大學從2018 年開始進行數據治理，成立了數據治理及應用建設工作領導小組，下設統籌規劃、數據治理及應用、業務系統建設、集成及數據清洗、運行保障4 個工作組，全力保障數據治理的順利實施。通過建立共享數據中心，構建數據安全體系，為全校師生提供數據服務，為學校管理工作提供科學的輔助決策支撐。2018 年底，學校頒布了《華南農業大學數據管理辦法》《華南農業大學數據資源分類分級辦法》等一系列數據管理辦法，搭建學校的數據管理制度體系，明確數據管理和分類分級的原則、策略、變更流程和要求等，以及數據生產者、管理者和使用者三方的權責，讓數據在制度規范的約束下合理使用。

數據確權，輸出數據資源清單

對學?，F有數據進行梳理，包括線下數據，摸清學校的數據資產情況，將各業務部門的數據資源進行匯聚，并與業務部門以調研會和線上反饋的形式進行數據確權，構建“一套家底”，確保一數一源，形成統一的數據資源清單。數據資源清單通過數據中臺實現線上管理，隨著業務的調整動態更新，目前涉及29 個業務系統，1000 多張數據清單，2 萬多個數據項。按照“誰提供、誰維護”的原則，數據提供單位按實際情況及時更新數據資源清單，確保數據資源的質量和時效。

建立規范，制定分類分級辦法

在數據分類分級實施前，根據科學性、實用性、可擴展性的原則，明確數據分類分級的方法，構建分類體系結構和合適的分級規則。華南農業大學緊密結合業務特征，考慮到業務的發展性按主題域進行數據分類，對每一大類主題，按照關聯主題信息劃分中類；對于每一中類，按照分類屬性劃分小類。遵循“共享為常態，不共享為例外”原則，明確數據定級的顆粒度為字段，根據數據的敏感程度分為三級：非敏感數據劃分為普遍共享類，涉及單位隱私數據劃分為有條件共享類，涉及學校秘密數據劃分為不予共享類（見表1）。

表1 數據資源分級

制定策略，實施數據分類分級

根據數據分類體系架構，采用人工與技術相結合的手段，用線分類法，根據數據的來源、內容和用途，從業務視角將數據進行劃分，分為人力資源、學生管理、科研管理、教學資源與管理、資產管理、財務管理、行政管理和公共服務八大主題類，劃分47 個中類，819 個小類。在分類的基礎上，采用數據中心制定初稿，業務部門核實確認的共同協作機制，實現對數據資源的分級，形成《華南農業大學數據資源目錄》，依據分類分級情況對數據進行標識，明確數據的來源部門、來源系統、安全等級等，有效指導數據源頭部門履行“誰生產、誰負責”的數據管理責任。

分級審核，保障數據共享安全

利用技術手段實現數據標準和數據資源線上化、流程化的全鏈動態管理，降低數據使用難度和管理成本，從數據查詢、申請、審批到調用，為各種數據應用場景提供安全、先進、便捷的一站式數據申請服務。根據數據分級的情況，設計數據訪問權限，對不同等級的數據實現差異化的安全保護措施。在數據開放共享時，進行數據申請的分級審核，明確各審核節點的責任人，在審核過程中實現字段級別的審核；支持單流程多部門審核，根據數據使用需求進行共享條件限制、數據加密或脫敏；整個申請、審核過程均有詳細記錄。圖1 為數據資源安全分級審批流程。

圖1 數據資源安全分級審批流程

多措并舉，保障數據安全

在國家頒布的相關安全法律法規的指導下，高校應從多個方面做好保障，持續提升數據分類分級的能力。

第一，注重頂層設計。數據安全是一個體系化的建設，不是單靠某一個安全產品就可以解決的問題。高校需要從戰略規劃、實施方案等方面做好頂層設計，對整個校園的數據安全有一個全局的、體系化的規劃，制定一個可落地的、分階段實施的路線圖，才能更好地實現對數據全面、細粒度的安全管控。

第二，加強統籌協調。加強數據安全組織領導，做好數據安全的整體規劃，落實一把手工程，從上至下統籌協調，結合學校實際需求分步實施，形成多部門協同合作的監管機制，實現各個主體利益共生共贏、協同發展的局面。

第三，完善制度體系。制定和健全更加成熟的、推動技術向善發展的管理制度體系。從管理制度、執行標準、實施細則和流程等方面完善數據安全制度體系的建設，并逐步配套績效考核措施和評價機制，監督和推動數據安全防護措施的落地。

第四，配套技術管理。數據安全需要靠人和技術共同實現，選擇適合學校自身發展需求的專業的、成熟的安全設備和技術，利用“智能識別+人工審核”的方式，更加高效和精準地實現數據分類分級標簽體系管理，形成數據安全管理工作的閉環。

第五，提升運營能力。數據安全是一個常態化、持續化的工作，建設一套集中化、規范化、流程化的數據安全運營機制，配置專職的數據安全管理人員，持續改進、落實數據安全制度和流程，提升數據安全長效運營的能力，更好地應對數據安全的挑戰。

第六，強化安全意識。從國家上位法入手，開展形式多樣的數據安全宣傳教育，可以通過國家網絡安全宣傳周等系列活動，重點打造數據安全的主題活動，包括培訓、競賽、演練等，讓師生、部門和學校深切感受到數據安全的重要性，提升數據安全防護意識。

構建可持續發展新格局

當前，高校數據分類分級正處在一個發展階段，數據安全廠商擁有數據分類分級的產品和服務，但是在教育行業的實踐經驗并不多，所以人工的工作量可能會更多。在多措并舉的保障下，以數據分類分級為基礎，與數據安全各個環節形成聯動策略，按照“重點優先、急用先上”的原則，實現數據安全常態化監測、預警和應急響應機制，搭建數據全生命周期的安全防護體系，增強高校數據治理的能力，構建數據安全協同治理的可持續發展新格局。