在信息技术日新月异的今天,教育行业正以前所未有的速度迈向数字化转型的深水区。为了确保教育数据的有效管理、安全流通与深度应用,国家标准《信息技术 大数据 数据治理实施指南》GB/T 44109-2024于近日隆重发布,并将于2024年12月1日正式实施。这一标准的出台,无疑为教育行业的数据治理工作树立了新的标杆,引领其向标准化、规范化的方向迈进。
《信息技术 大数据 数据治理实施指南》GB/T 44109-2024作为教育行业数据治理的指导性文件,其重要性不言而喻。该指南详细阐述了数据治理的原则、流程、方法及评估标准,为教育机构提供了全面、系统的操作指南。通过遵循这一标准,教育机构能够确保数据治理工作的有序开展,提升数据质量,挖掘数据价值,进而推动教育行业的整体进步。
随着大数据技术的不断发展和应用,数据已成为教育行业的重要资产。然而,如何有效管理和利用这些数据,以支持教育教学的持续改进和创新,成为教育行业面临的重要课题。
《数据安全法》的发布,标志着我国以数据安全保障、数据开发利用和产业发展全面进入法治化轨道,同时也对数据安全治理与建设工作提出了合规性要求。
近些年,国家与教育部及相关部门下发多项推进教育领域数据安全工作的政策文件。2018年,教育部办公厅印发《教育部机关及直属事业单位教育数据管理办法》,明确教育数据各环节的管理程序,做到教育数据管理全过程有规可依。依托国家信息安全保障体系,完善教育数据共享与公开安全机制,保护个人隐私信息,保障教育数据资源安全。
2021年,教育部等七部门印发了《关于加强教育系统数据安全工作的通知》,提出“要建立教育系统数据安全责任体系和数据分类分级制度,形成教育系统数据资源目录。健全覆盖数据收集、传输存储、使用处理、开放共享等全生命周期的数据安全保障制度,开展常态化的数据安全监测预警通报”等工作目标。
2022年9月,教育部印发《教育系统核心数据和重要数据识别认定工作指南(试行)》,要求教育各级部门按指南要求梳理部门数据资产,并识别、上报核心重要数据清单。
数据具有可复制、可无限供给等属性,伴随各类数据迅猛增长,数据安全问题由冲击个人隐私、商业秘密上升至损害国家利益。近年来,高校等教育机构遭黑客入侵,进而导致大量数据泄露或被非法使用的情况屡见不鲜:
-
2023年8月,南昌某高校3万余条师生个人信息数据在境外互联网上被公开售卖,该校受到责令改正、警告并处80万元人民币罚款的处罚,主要责任人被罚款5万元人民币。
-
2022年6月,某知名大学生学习软件的数据库信息被公开售卖,超1.7亿条信息疑遭泄露,公安机关介入调查。
-
2022年6月,西北工业大学声明其电子邮件系统遭攻击,攻击者向师生发送包含木马程序的钓鱼邮件,企图窃取相关师生邮件数据和公民个人信息,经公安机关判定是境外黑客组织发起的网络攻击行为。
-
2021年9月,山东济南某所高校的新生个人信息遭到泄露,在一个名为“协院助手”的微信公众号上可以查询该校新生的个人信息。
在教育数据治理的过程中,数据安全始终是首要考虑的问题,数据安全风险在不断增加。如何确保数据在传输、存储、使用等各个环节的安全,成为教育行业需要重点关注的问题。此外,随着新技术的不断涌现,如人工智能、大数据等,也为教育数据安全治理带来了新的挑战。
尽管国家出台了一系列关于教育数据安全、个人信息保护的法律法规和标准规范,但在实际执行过程中可能存在落地难、执行不到位的问题。例如,数据安全管理制度不健全、业务流程与安全要求不符、人员安全意识薄弱等,这些都可能导致合规风险。
教育数据要素流通使用环境复杂,涉及多方主体、多个环节,同时数据产品具有极易复制、非排他性、难追溯等特征,均使数据流通使用面临安全风险、隐私泄漏挑战等问题。这不仅威胁国家数据安全,也不利于企业和个人数字权益的保护,严重阻碍数据要素流通使用市场化配置。
教育数据形态日益丰富,数据资产梳理和分类分级难度加大,极易产生安全死角。同时,数据的类别级别需要结合业务场景进行动态调整,在不同场景下的等级认定以及相应的管控或处理技术可能不同,数据分类分级的持续性难以保持。
教育传统漏洞、弱口令、高危端口等安全问题及新生的勒索、挖矿、违规外联等未知威胁层出不穷,缺乏专业安全运营团队和常态化运营机制,导致现有安全防控能力难以抵御数据安全威胁。
针对教育领域的数据治理挑战,道普信息作为第三方风险管控领域的专家,提出了构建全流程数据安全治理体系的解决方案。
通过数据治理体系建设,不断开发创新的数据服务,融合目标、流程、方法、工具,建立覆盖数据全生命周期的"数据管理机制、数据管理平台、数据开放平台“框架,实现数据的资产化、可视化、服务化,保障数据的核心价值。
强化数据安全风险评估,对数据全生命周期进行风险识别和评估,提升数据安全保障能力、风险发现能力,确保数据安全风险可控。
基于网络安全责任制、等级保护、关基保护、密码应用、数据安全、个人信息保护等监管要求,开展等保、密码、关保等多规测评,针对风险提出改进建议,帮助完成合规整改。
从运营管理、运营运行、运行技术三方面,构建具备一体化的分析识别、安全防护、监测评估、监测预警、主动防御、事件处置功能的数字安全保障体系,形成终端防护、边界隔离与威胁监测的安全方案,实现安全运营。
国家标准《信息技术 大数据 数据治理实施指南》GB/T 44109-2024的发布与实施,是我国数据安全治理体系迈向更高层次的标志性事件。构建全流程数据安全治理体系,不仅是教育行业应对挑战、把握机遇的必由之路,也是我国乃至全球数字经济健康发展的关键保障。让我们携手并进,以数据安全为基石,共创教育数据治理的美好未来,为数字经济的繁荣贡献智慧与力量。
浙公网安备 33010502006954号 
