参考链接:
1.建立数据的分级管控体系---资源分级与权限分级
数据资产目录在迎合了 数据安全 数据分类分级标准 隐私保护法 标准上,根据业务的实际需求进行灵活的扩充与迭代,最终实现数据的“分类”和“分级”。
1、建立数据分级和数据共享负责人制度
需要结合自身学校的实际数据管理业务特性,建立起数据分级制度,明确数据权威负责部门、对应的个体负责人等。明确数据的范围边界和使用方式,清理数据管理及共享开放的义务和权利。在依法加强安全保障和隐私保护的前提下,稳步推动公开数据资源共享开放。
2、借助平台有效落实上述制度规范
不同于传统的数据平台的单管理人员角色设计,数据中台提供贴合数据管理业务特性的多角色与多级权限管理机制,可满足数据业务中的多类人员的可参与性,从而实现公司层面的数据中台化体系。
2.构建完善的数据使用管控体系
1、数据发布阶段(在这之前还有数据接入阶段:清洗、敏感自动识别、脱敏、分类分级打标等)
提供字段级的数据加密及脱敏策略,在发布时一键将高敏感或与个人隐私高度相关的数据实现加密发布,例如学生个人联系方式、教师工资等;
2、数据申请阶段
基于token的身份验证机制和权限控制机制,保障调用方身份的唯一性和有效性;
3、数据审核阶段
提供基于条件限制的内容过滤功能,例如新开发的成绩查询APP需要获取学生管理数据集中的本专科成绩信息时,在提交了数据API申请请求后,管理人员可对每个字段添加对应的限制条件,例如对学期字段添加仅当前学期的限制,从而避免数据的过度暴露;
4、数据调用阶段
提供数据访问黑/白名单设计,例如设可访问数据的IP段,若不在此IP段中将无法接触到校内的数据资产;
同时基于可视化操作灵活控制接口的停用和启用等操作,实现调用过程的自主可控;
5、数据运维阶段
灵敏预警:建立健全的高效灵敏预警体系,通过对系统各模块完善监测机制,得到量化的数据,分析发现并预测潜在危机,及时上报,预警风险;
审计体系:具备完整的数据调用审计以及操作记录留存功能,并提供可视化界面进行记录的回溯查询和可视化分析统计,帮助高校更为清晰的获知数据的运转情况。