寧 東

(天津城市職業(yè)學院,天津 300250)

一、 引言

黨的十八大以來,習近平總書記高度重視網(wǎng)絡(luò)安全與數(shù)據(jù)治理工作,圍繞切實維護國家網(wǎng)絡(luò)安全,發(fā)表了一系列重要講話,對做好新形勢下的網(wǎng)絡(luò)安全和數(shù)據(jù)安全建設(shè)工作提出明確的要求,多次強調(diào)“沒有網(wǎng)絡(luò)安全就沒有國家安全,沒有信息化就沒有現(xiàn)代化”。2017年6月1日,《中華人民共和國網(wǎng)絡(luò)安全法》正式實施,開啟了我國網(wǎng)絡(luò)空間領(lǐng)域的建設(shè)發(fā)展和安全治理的新篇章。隨后《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》相繼出臺,為網(wǎng)絡(luò)空間綜合治理工作提供了法律依據(jù)。在“十四五”不斷深化的過程中,教育的數(shù)字化轉(zhuǎn)型進入教育管理者的視野,“實施教育數(shù)字化戰(zhàn)略行動”成為教育信息化的工作指引,文件指出的“強化數(shù)據(jù)挖掘和分析,構(gòu)建基于數(shù)據(jù)的教育治理新模式”為教育信息化工作提出了更高層次的要求。各高校在做好網(wǎng)絡(luò)安全建設(shè)工作的同時將工作重心向數(shù)據(jù)安全轉(zhuǎn)移,持續(xù)開展網(wǎng)絡(luò)與數(shù)據(jù)安全治理工作,但受技術(shù)能力限制,加之缺乏管理經(jīng)驗,高職院校的網(wǎng)絡(luò)與數(shù)據(jù)安全問題依然突出,信息系統(tǒng)被攻擊、網(wǎng)站被非法篡改、隱私信息被泄露、師生被網(wǎng)絡(luò)詐騙等安全事件頻繁發(fā)生,大量的教育數(shù)據(jù)得不到有效的挖掘和利用,甚至被濫用、泄露,造成極其惡劣的社會影響甚至危害。學校內(nèi)部也出現(xiàn)數(shù)據(jù)資產(chǎn)不清晰,數(shù)據(jù)流動路徑不明、數(shù)據(jù)共享與數(shù)據(jù)安全不平衡等問題。因此,如何深入踐行新時代網(wǎng)絡(luò)安全觀和數(shù)據(jù)安全觀,有效應(yīng)對教育系統(tǒng)各種網(wǎng)絡(luò)與數(shù)據(jù)安全威脅,仍然是各高校需要認真研究的現(xiàn)實問題。建立立體、多維度的網(wǎng)絡(luò)與數(shù)據(jù)安全治理體系,無疑是當前解決這些問題的有效手段。

二、 學院網(wǎng)絡(luò)與數(shù)據(jù)安全治理體系建設(shè)的必要性研究

(一)加強網(wǎng)絡(luò)與數(shù)據(jù)安全治理體系建設(shè)是落實總體國家安全觀的具體實踐

近年來,隨著網(wǎng)絡(luò)空間的安全形勢的日益嚴峻,國家安全的內(nèi)涵向網(wǎng)絡(luò)和數(shù)據(jù)安全延伸。自2017年以來,國家相繼出臺了《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》和《中華人民共和國個人信息保護法》等一系列法律法規(guī),從政策層面構(gòu)建了網(wǎng)絡(luò)安全法律法規(guī)體系。這些法律法規(guī)對數(shù)據(jù)的安全與共享進行了宏觀布局與規(guī)劃,既賦予了公民權(quán)利,也明確了應(yīng)當承擔的義務(wù)。教育領(lǐng)域作為數(shù)據(jù)資源的重要生產(chǎn)基地,各級各類的信息系統(tǒng)每天都在持續(xù)記錄學生和教師日常教育教學活動信息、行為數(shù)據(jù)。對這些數(shù)據(jù)進行安全合規(guī)治理,充分挖掘和分析數(shù)據(jù)背后所蘊藏的價值、保護好數(shù)據(jù)安全是現(xiàn)階段落實國家總體安全觀的重要表現(xiàn)之一,因此更需加強相關(guān)法律法規(guī)的學習,做好教育數(shù)據(jù)的治理及安全體系建設(shè),從風險出發(fā)、以合規(guī)為底線,落實好網(wǎng)絡(luò)與數(shù)據(jù)安全的主體責任,在校園內(nèi)營造尊重個人隱私,保護數(shù)據(jù)安全的良好氛圍。

(二)加強網(wǎng)絡(luò)與數(shù)據(jù)安全治理體系建設(shè)是學院高質(zhì)量發(fā)展的戰(zhàn)略需要

加強學院網(wǎng)絡(luò)與數(shù)據(jù)安全治理體系建設(shè)有利于為學院教育在業(yè)務(wù)、技術(shù)、管理上為教育決策提供支撐,更好地謀劃學院教育事業(yè)發(fā)展。通過對教育數(shù)據(jù)的治理,挖掘分析數(shù)據(jù)背后所蘊藏的信息,能夠促進學院提升智慧校園建設(shè)水平,推動信息技術(shù)與教育教學深度融合,實現(xiàn)個性化學習、重構(gòu)教育評價體系,發(fā)揮信息技術(shù)對教育、教學、科研等核心業(yè)務(wù)的支撐作用,助力學院各項事業(yè)發(fā)展。加強學院的網(wǎng)絡(luò)與數(shù)據(jù)安全治理體系的建設(shè)還有助于增強自身安全防護水平和應(yīng)急響應(yīng)處置的能力,提升信息化服務(wù)水平,為學院高質(zhì)量發(fā)展提供有力支撐和保障。

(三)加強網(wǎng)絡(luò)與數(shù)據(jù)安全治理體系建設(shè)解決數(shù)據(jù)孤島難題

教育的發(fā)展離不開“數(shù)據(jù)”的支撐。由于早期缺乏網(wǎng)絡(luò)與數(shù)據(jù)安全領(lǐng)域相關(guān)法律、標準規(guī)范的指導(dǎo),各校都出現(xiàn)了數(shù)據(jù)資產(chǎn)不明確、數(shù)據(jù)標準不統(tǒng)一、數(shù)據(jù)共享不暢通等一系列問題,數(shù)據(jù)大多是分散在不同信息系統(tǒng)、不同應(yīng)用平臺中,這些數(shù)據(jù)是單一的個體數(shù)據(jù),沒有關(guān)聯(lián)性,利用價值不高,對教育決策的支撐作用不明顯。隨著網(wǎng)絡(luò)與數(shù)據(jù)安全治理體系的建設(shè),通過對信息系統(tǒng)和數(shù)據(jù)資產(chǎn)進行全面梳理和數(shù)據(jù)標準體系的建設(shè),可以將分散的數(shù)據(jù)進行統(tǒng)一管理和定義,打通“數(shù)據(jù)孤島”,實現(xiàn)數(shù)據(jù)流動與共享,以滿足不同時期、不同業(yè)務(wù)部門的實際需求。

三、 學院網(wǎng)絡(luò)及數(shù)據(jù)安全治理現(xiàn)狀

學院的信息化建設(shè)經(jīng)過多年積淀與發(fā)展,產(chǎn)生了大量的過程數(shù)據(jù)、衍生數(shù)據(jù),形成了教育系統(tǒng)的數(shù)據(jù)資產(chǎn),在網(wǎng)絡(luò)和數(shù)據(jù)安全已經(jīng)上升到國家安全層面的大背景下,做好教育網(wǎng)絡(luò)與數(shù)據(jù)安全治理體系建設(shè)顯得尤為重要。

(一)網(wǎng)絡(luò)和數(shù)據(jù)安全建設(shè)情況

目前學院的互聯(lián)網(wǎng)出口擁有多家運營互聯(lián)網(wǎng)訪問出口,總帶寬1G,在網(wǎng)絡(luò)出口部署了負載均衡、下一代防火墻、日志審計、VPN等網(wǎng)絡(luò)安全設(shè)備,通過光纖直連實現(xiàn)了各校區(qū)網(wǎng)絡(luò)互通互聯(lián)。

學院部署了虛擬化服務(wù)器,使得服務(wù)器的使用效率得到極大的提升,優(yōu)化了硬件資源利用率。

目前學院有多個信息系統(tǒng),包括展示學院風貌和招生信息的門戶網(wǎng)站;提高教師工作效率的教務(wù)管理系統(tǒng);為老年教育提供教育資源的E家園網(wǎng)站;在線教育綜合服務(wù)平臺;為師生提供服務(wù)的“一卡通”系統(tǒng)等,這些系統(tǒng)在不同領(lǐng)域提供了服務(wù)支撐,產(chǎn)生大量的業(yè)務(wù)數(shù)據(jù)、系統(tǒng)數(shù)據(jù)、教學資源、檔案資料數(shù)據(jù)等。

隨著大量教育信息系統(tǒng)的衍生數(shù)據(jù)出現(xiàn),教育數(shù)據(jù)治理迫在眉睫。依據(jù)《中華人民共和國數(shù)據(jù)安全法》,學院成立了網(wǎng)絡(luò)與數(shù)據(jù)安全工作領(lǐng)導(dǎo)小組,并根據(jù)現(xiàn)有的工作流程,制定了學院數(shù)據(jù)安全治理工作的相關(guān)管理辦法。初步搭建起組織架構(gòu),梳理制度與規(guī)范。

(二)存在的主要問題

盡管學院當前的網(wǎng)絡(luò)與數(shù)據(jù)安全治理工作及相關(guān)監(jiān)督體制正在日趨完善,但仍然存在數(shù)據(jù)資源分散,數(shù)據(jù)標準不統(tǒng)一,數(shù)據(jù)資源利用率不足等諸多方面的問題,網(wǎng)絡(luò)與數(shù)據(jù)安全治理工作面臨的困境和挑戰(zhàn)也越來越大。

1.數(shù)據(jù)資源較為分散、數(shù)據(jù)標準不統(tǒng)一

經(jīng)過多年的信息化建設(shè),學校各職能部門,例如學生處、后勤處、教務(wù)處等部門存有大量的數(shù)據(jù)資源,但業(yè)務(wù)數(shù)據(jù)資源分布在獨立的應(yīng)用系統(tǒng)內(nèi),由于建設(shè)程度不同、建設(shè)年代不同、技術(shù)路線不同,數(shù)據(jù)標準不統(tǒng)一,部門數(shù)據(jù)很難高效整合應(yīng)用,使得數(shù)據(jù)流動困難,數(shù)據(jù)的分析價值不明顯。

2.數(shù)據(jù)資源統(tǒng)籌利用的機制尚不完善

當前,尚未形成數(shù)據(jù)共享機制,數(shù)據(jù)資源共享利用缺乏統(tǒng)籌管理,導(dǎo)致數(shù)據(jù)共享工作效率低,數(shù)據(jù)的可用性不高、鮮活度不夠,對后期統(tǒng)計分析、共享利用造成了不利影響。亟待建立數(shù)據(jù)資源共享機制,打破各部門橫向管理層面存在的制度約束,站在全局的高度,統(tǒng)籌資源,協(xié)調(diào)管理,建立數(shù)據(jù)開放共享與使用的激勵政策和獎懲制度,以有效解決數(shù)據(jù)共享中遇到的難題和問題,打破信息孤島,加強信息共享,提升工作效率。

3.網(wǎng)絡(luò)與數(shù)據(jù)安全治理組織協(xié)同機制不健全

學院雖然搭建了網(wǎng)絡(luò)與數(shù)據(jù)安全治理工作組織架構(gòu),也成立了由學院多個部門組成的工作領(lǐng)導(dǎo)小組。但數(shù)據(jù)安全治理工作涉及多個部門,在數(shù)據(jù)全生命周期治理范圍內(nèi),需要多個部門協(xié)同配合,共同分擔。目前存在溝通效率較低,協(xié)同難度較大的問題,需要建立統(tǒng)一的網(wǎng)絡(luò)與數(shù)據(jù)安全治理組織架構(gòu)以及協(xié)同機制,分階段分層次地切實履行數(shù)據(jù)安全管理責任。

四、 學院網(wǎng)絡(luò)與數(shù)據(jù)安全治理體系建設(shè)的總體思路

學院網(wǎng)絡(luò)與數(shù)據(jù)安全治理體系建設(shè)的總體思路為:以現(xiàn)行《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》為法律依據(jù),以安全性、合規(guī)性、全面性為原則,以數(shù)據(jù)為核心,圍繞教育應(yīng)用場景,從搭建組織架構(gòu)、建立數(shù)據(jù)規(guī)范及管理制度入手、以技術(shù)為手段、全面開展數(shù)據(jù)治理工作,做好數(shù)據(jù)安全運維保障,充分考慮教育數(shù)據(jù)全生命周期,建立完善的教育數(shù)據(jù)安全管理體系。

具體建設(shè)思路:

第一步:建立學院網(wǎng)絡(luò)與數(shù)據(jù)安全治理組織機構(gòu)和制度體系

要建立院校網(wǎng)絡(luò)與數(shù)據(jù)安全治理工作的組織架構(gòu),建立決策層(數(shù)據(jù)安全領(lǐng)導(dǎo)小組)、管理層、執(zhí)行層、監(jiān)督層,明確機構(gòu)職責和人員職能。解決“干什么、怎么干、誰來干”等關(guān)鍵問題。建立與數(shù)據(jù)安全相關(guān)的管理制度和標準規(guī)范體系,包括且不限于數(shù)據(jù)安全治理的相關(guān)方針與策略、管理與制度、標準與規(guī)范。修正和完善現(xiàn)有網(wǎng)絡(luò)與信息安全管理制度。

第二步:學院教育數(shù)據(jù)資產(chǎn)梳理

本階段的建設(shè)目標就是要梳理和識別數(shù)據(jù)資產(chǎn),摸清數(shù)據(jù)資產(chǎn)家底?？梢园凑諏W院現(xiàn)有的信息系統(tǒng)、教育應(yīng)用場景、教育業(yè)務(wù)流程、行為、狀態(tài)等維度進行梳理。通過調(diào)研和識別將分布在各部門的信息系統(tǒng)、數(shù)據(jù)庫、存儲、服務(wù)器、云端、終端等節(jié)點的數(shù)據(jù)資產(chǎn)進行盤點,對數(shù)據(jù)資產(chǎn)的用途、數(shù)據(jù)類型、分布位置、存儲容量、合規(guī)性及安全要求等應(yīng)用情況進行全面的分析,生成唯一、準確、全面的《數(shù)據(jù)資產(chǎn)清單》,落實“一數(shù)一源”“多源審核”。

第三步:建立學院《數(shù)據(jù)分級分類標準》及配套管理制度

數(shù)據(jù)分類分級是數(shù)據(jù)安全治理的前提條件和關(guān)鍵步驟,只有對數(shù)據(jù)進行有效分類分級,才能針對不同的數(shù)據(jù)類別和安全級別,采取不同的安全措施,保障數(shù)據(jù)在安全合規(guī)的前提下開放共享和使用。

第四步:建立數(shù)據(jù)安全治理的技術(shù)體系

圍繞教育數(shù)據(jù)全生命周期,建立數(shù)據(jù)安全治理的技術(shù)體系,開展風險識別、安全防御、安全監(jiān)測、安全處置、應(yīng)急響應(yīng),形成數(shù)據(jù)安全治理的技術(shù)能力。根據(jù)教育數(shù)據(jù)資產(chǎn)的分類分級,進行安全風險核查,部署防御措施和技術(shù)工具。通過技術(shù)工具的使用和完善,對重點安全場景實現(xiàn)全方位的保護。實現(xiàn)對數(shù)據(jù)安全威脅的識別、追溯和應(yīng)急響應(yīng),提高綜合防護能力。

第五步:建立數(shù)據(jù)安全治理保障體系

數(shù)據(jù)安全治理是一項覆蓋教育數(shù)據(jù)、業(yè)務(wù)、技術(shù)、管理等多個方面、需要多方聯(lián)動,協(xié)同配合的復(fù)合型工作。因此需要建立數(shù)據(jù)安全治理的長效機制,需要人員、流程和技術(shù)緊密結(jié)合。

五、學院網(wǎng)絡(luò)與數(shù)據(jù)安全治理體系設(shè)計方案

網(wǎng)絡(luò)與數(shù)據(jù)安全治理建設(shè)的目標是以安全合規(guī)為前提,以數(shù)據(jù)治理為核心,聚焦數(shù)據(jù)安全生命周期,圍繞適合學院教育數(shù)據(jù)安全多元化應(yīng)用場景,規(guī)劃設(shè)計全局化和開放性的網(wǎng)絡(luò)與數(shù)據(jù)安全治理體系,提升網(wǎng)絡(luò)與數(shù)據(jù)安全治理能力,建立數(shù)據(jù)資產(chǎn)可查、數(shù)據(jù)權(quán)限可管、數(shù)據(jù)風險可控、數(shù)據(jù)價值可用的保障機制,在確保數(shù)據(jù)安全的前提下實現(xiàn)數(shù)據(jù)資產(chǎn)的合理開發(fā)利用,充分發(fā)揮數(shù)據(jù)的價值。

(一)總體架構(gòu)

天津城市職業(yè)學院網(wǎng)絡(luò)與數(shù)據(jù)安全治理整體架構(gòu)分為四層,分別是安全基礎(chǔ)、數(shù)據(jù)接入、數(shù)據(jù)中心、安全運營,各層級之間是相互關(guān)聯(lián)的,且基于學校現(xiàn)有數(shù)據(jù)基礎(chǔ)和業(yè)務(wù)能力,以網(wǎng)絡(luò)與數(shù)據(jù)安全政策法規(guī)和標準規(guī)范為依據(jù),通過安全管理機構(gòu)與運維團隊數(shù)據(jù)安全治理,打通各業(yè)務(wù)系統(tǒng),實現(xiàn)數(shù)據(jù)流轉(zhuǎn),建立健全學院統(tǒng)一的數(shù)據(jù)標準,對數(shù)據(jù)的全生命周期進行采集、傳輸、存儲、使用、共享、銷毀等加工和處理,實現(xiàn)數(shù)據(jù)在各系統(tǒng)間的流動。通過安全運營,實現(xiàn)數(shù)據(jù)的開放、共享與分析,為其他業(yè)務(wù)提供數(shù)據(jù)支撐。

圖1 學院網(wǎng)絡(luò)與數(shù)據(jù)安全治理體系整體架構(gòu)

1.安全基礎(chǔ)

以網(wǎng)絡(luò)安全等級保護為前提,升級校園現(xiàn)有基礎(chǔ)設(shè)施,為數(shù)據(jù)安全治理提供堅實的安全底座。

2.數(shù)據(jù)接入

主要包括學?，F(xiàn)有應(yīng)用系統(tǒng)、物聯(lián)服務(wù)平臺、視頻平臺及其他平臺、數(shù)據(jù)庫等,完成各個平臺業(yè)務(wù)數(shù)據(jù)和設(shè)備數(shù)據(jù)到數(shù)據(jù)中心的接入和集成,通過身份管理、認證管理、權(quán)限管理等多種方式,為數(shù)據(jù)中心提供數(shù)據(jù)來源。

3.數(shù)據(jù)中心

通過對數(shù)據(jù)全生命周期的加工與處理,構(gòu)建數(shù)據(jù)集成能力,根據(jù)上層應(yīng)用和運營的需要,對各個子系統(tǒng)的數(shù)據(jù)進行梳理,形成標準數(shù)據(jù)規(guī)則,打造統(tǒng)一的數(shù)據(jù)底座,消除底層業(yè)務(wù)子系統(tǒng)的信息孤島。

4.安全運營

安全運營中心的功能包括教育數(shù)據(jù)資產(chǎn)的管理、數(shù)據(jù)的合規(guī)性審計、數(shù)據(jù)安全動態(tài)實時監(jiān)測、數(shù)據(jù)安全態(tài)勢感知、通報和預(yù)警。數(shù)據(jù)中心中的數(shù)據(jù)經(jīng)過標準化處理后上傳到安全運營中心,完成數(shù)據(jù)的匯聚、分析及數(shù)據(jù)治理,實現(xiàn)數(shù)據(jù)的開放與共享,掌控和監(jiān)管數(shù)據(jù),以保障數(shù)據(jù)安全。

(二)構(gòu)建學院網(wǎng)絡(luò)與數(shù)據(jù)安全治理組織架構(gòu)

學院成立網(wǎng)絡(luò)與數(shù)據(jù)安全治理工作領(lǐng)導(dǎo)小組,對學院各類數(shù)據(jù)安全負總責。負責指導(dǎo)學院各系部、職能部門深入貫徹落實黨中央、市區(qū)委關(guān)于網(wǎng)絡(luò)與數(shù)據(jù)安全的相關(guān)法律、法規(guī)和工作部署,建立學院網(wǎng)絡(luò)與數(shù)據(jù)安全治理體系的組織架構(gòu),持續(xù)健全完善網(wǎng)絡(luò)與數(shù)據(jù)安全風險評估、監(jiān)測預(yù)警和應(yīng)急處置制度機制,及時預(yù)警防范數(shù)據(jù)安全領(lǐng)域重大安全威脅,提高相關(guān)數(shù)據(jù)安全防護能力。指揮調(diào)度學院深入開展數(shù)據(jù)安全風險排查工作,排除安全隱患,杜絕發(fā)生網(wǎng)絡(luò)與數(shù)據(jù)安全責任事故。

領(lǐng)導(dǎo)小組辦公室設(shè)在學院黨政辦公室,負責對領(lǐng)導(dǎo)小組和工作組議定事項、工作安排的辦理、落實、督辦。起草領(lǐng)導(dǎo)小組相關(guān)制度文件、工作方案、應(yīng)急預(yù)案以及情況報告,籌備相關(guān)會議,統(tǒng)籌協(xié)調(diào)各成員部門深入開展日常數(shù)據(jù)規(guī)范管理、安全隱患排查整改等工作,并向上級網(wǎng)信安全管理部門及時報送相關(guān)工作情況。制訂數(shù)據(jù)安全事件的追責制度,強化安全責任與風險意識,推動網(wǎng)絡(luò)與數(shù)據(jù)安全工作的有效執(zhí)行與協(xié)作運行。

學院宣網(wǎng)處負責網(wǎng)絡(luò)與數(shù)據(jù)安全策略與規(guī)范的制定與執(zhí)行,以及數(shù)據(jù)存儲、數(shù)據(jù)交換、數(shù)據(jù)使用與共享、數(shù)據(jù)信息門戶等公共基礎(chǔ)平臺的建設(shè)、運維和技術(shù)支持工作。

學院可聘請第三方專業(yè)技術(shù)團隊對我院數(shù)據(jù)安全工作進行專業(yè)指導(dǎo)與梳理,在合法合規(guī)的前提下,監(jiān)督和協(xié)助我院數(shù)據(jù)安全決策管理層與技術(shù)團隊做好相關(guān)工作。

(三)教育數(shù)據(jù)的分類與分級

數(shù)據(jù)的分類分級可以按以下五個步驟來實施:

1.建立分類分級組織體系

由涉及各業(yè)務(wù)系統(tǒng)的業(yè)務(wù)部門(如:招生就業(yè)、教務(wù)、科研、人事、后勤等)、信息安全部門、數(shù)據(jù)治理部門、網(wǎng)絡(luò)安全運維部門、第三方專業(yè)數(shù)據(jù)治理服務(wù)人員等多部門人員組成,并建立協(xié)同聯(lián)動機制,從業(yè)務(wù)發(fā)展需求入手,按照數(shù)據(jù)敏感級別和公開程度制定分類分級的標準和相關(guān)制度,開展具體的分類分級工作。

2.制定學院分類分級標準

由數(shù)據(jù)分級分類組織管理團隊成員一起編寫供學院內(nèi)部使用的《數(shù)據(jù)分類分級標準》,用于指導(dǎo)具體開展數(shù)據(jù)分類分級工作。

3.建立分類分級管理制度

由上述團隊成員一起編寫供組織內(nèi)部使用的分類分級相關(guān)的管理制度,如:《數(shù)據(jù)分類分級工作流程》《數(shù)據(jù)分類分級審核流程》《數(shù)據(jù)類別級別變更策略和流程》等,用于指導(dǎo)分類分級工作的開展。

4.數(shù)據(jù)分類分級的實施

開展具體的網(wǎng)絡(luò)數(shù)據(jù)分類分級工作,從風險角度出發(fā),結(jié)合國家及教育行業(yè)有關(guān)法律法規(guī)、規(guī)范標準、部門規(guī)章制度,理清核心數(shù)據(jù)、敏感數(shù)據(jù)、普通數(shù)據(jù),對數(shù)據(jù)安全等級進行判定并加以區(qū)分,根據(jù)內(nèi)容和重要性對數(shù)據(jù)進行分類分級,整理形成分級分類目錄,制定數(shù)據(jù)安全策略,部署安全措施。

5.評估審核

由審核人員依據(jù)數(shù)據(jù)規(guī)模、數(shù)據(jù)時效性、數(shù)據(jù)形態(tài)(如是否經(jīng)過加工、脫敏處理)等因素,對數(shù)據(jù)安全級別進行評估,根據(jù)評估結(jié)果進行調(diào)整,最終實現(xiàn)數(shù)據(jù)安全級別的劃定和分類與學院數(shù)據(jù)安全保護目標一致,從而形成數(shù)據(jù)安全級別評定結(jié)果及定級清單,最終由擁有數(shù)據(jù)安全管理級別最高的決策層對數(shù)據(jù)安全分級結(jié)果進行審議批準。

(四)部署技術(shù)工具,加強技術(shù)與防御體系的建設(shè)

通過使用技術(shù)工具,可以有效落實各項數(shù)據(jù)安全的管理要求、提高管理效率、加強技術(shù)保障。借助工具,可以更快地梳理數(shù)據(jù)安全事件的類型和應(yīng)用場景,以此搭建技術(shù)防御體系,查找數(shù)據(jù)全生命周期內(nèi)各階段的安全隱患并加以解決。物理層面可以通過部署防火墻、防病毒軟件阻止竊取、篡改或破壞敏感數(shù)據(jù)的行為。加強用戶身份管理和訪問控制的能力,建立數(shù)據(jù)加密、解密、數(shù)據(jù)脫敏、水印溯源、數(shù)據(jù)庫審計、數(shù)據(jù)防泄漏、數(shù)據(jù)備份、數(shù)據(jù)擦除等技術(shù)等能力,建設(shè)應(yīng)用網(wǎng)關(guān)、API網(wǎng)關(guān)等。

(五)加強保障體系建設(shè),提升安全人員能力

數(shù)據(jù)安全治理工作的效果很大程度上取決于數(shù)據(jù)安全專業(yè)人員的工作執(zhí)行情況。為進一步落實學院總體數(shù)據(jù)安全規(guī)劃下的具體工作,學院數(shù)據(jù)安全工作領(lǐng)導(dǎo)小組認真梳理當前的數(shù)據(jù)安全工作需求,分析崗位職責、評估專業(yè)人員能力,將工作任務(wù)與具體的崗位、人員進行匹配。通過分析當前人員的能力水平差距,不斷完善數(shù)據(jù)安全培訓(xùn)機制,制定培訓(xùn)計劃,提升專業(yè)人員的數(shù)據(jù)安全意識、保密意識、權(quán)屬意識、制度規(guī)范、操作方法、技術(shù)規(guī)范和工作流程等,做好數(shù)據(jù)安全人才使用規(guī)劃和人員儲備計劃。

六、結(jié)束語

在“實施教育數(shù)字化戰(zhàn)略行動”的大背景下,教育數(shù)據(jù)承載的價值將會越來越高,教育網(wǎng)絡(luò)與數(shù)據(jù)安全治理建設(shè)也將迎來更大挑戰(zhàn)。未來如何激發(fā)數(shù)據(jù)活力、挖掘數(shù)據(jù)價值,成為“互聯(lián)網(wǎng)+教育”數(shù)字轉(zhuǎn)型新時期賦予高校信息化工作的重要發(fā)展使命。通過本文的研究,不僅對數(shù)據(jù)安全治理體系建設(shè)進行了初步探索與實踐,還為職業(yè)院校網(wǎng)絡(luò)與數(shù)據(jù)安全治理工作摸索出一條新的實施路徑。未來的工作中心將以“數(shù)據(jù)服務(wù)”為重點,提高教育業(yè)務(wù)賦能效率,筑牢網(wǎng)絡(luò)與數(shù)據(jù)安全屏障。