华道众合专业提供ISO20000认证、ISO27001认证、ISO27000认证、信息系统集成及服务资质(CCRC信息安全认证)、itss资质认证、CMMI认证、APP安全认证、商用密码产品认证在线咨询  |  公司简介  |  联系我们
10年专业ISO20000、ISO27001、ISO27000、itss、CMMI、CCRC、商用密码产品、APP安全认证咨询机构
24小时服务热线:
13681200268
4006-010-725
服务项目
最新动态
热点文章
HOME 首页 > 服务项目 > ISO38505数据治理安全管理体系认证 > 以切实行动加强教育数据安全保障

ISO38505认证:以切实行动加强教育数据安全保障

文章录入:华道众合   文章来源:光明网   添加时间:2022-7-9

作者:黄光东(中国地质大学(北京)副教授);李长兵(中国地质大学(北京)教师)

      互联网时代,数据不再是普通的符号和标识,也不只是普通的计算和统计工具,而是指任何以电子或其他方式对信息的记录。由此,数据的内涵和外延、本质和特征都发生了深刻的变化,成为科技创新的驱动力、经济发展的新引擎以及国家竞争的战略支撑。随着数据变化,数据安全也发生了质的变化,成为关系国家安全、社会安全的重大问题。现实的数据安全要求采取各种有力的措施确保数据处于有效保护和合法利用的状态,以及具有保障持续安全状态的能力。随着数据在教育领域应用范围的不断扩大,作用的不断凸显,教育数据已成为我国大数据的重要组成部分,成为推动教育高质量发展的重要引擎。与此同时,在教育领域深入广泛应用数据的过程中也存在一些不容忽视的安全隐患问题,如个人安全、集体安全、社会安全、国家安全等,这将直接影响“办好人民满意的教育”的整体质量,新时代应进一步加强教育数据安全的保障。
      培养数据安全意识
      《中华人民共和国数据安全法》(以下简称《数据安全法》)明确提出,国家支持开展数据安全知识宣传普及,提高全社会的数据安全保护意识和水平。其目的就是要在全社会形成共同维护数据安全的良好环境。根据教育部发布的2021年全国教育事业统计主要结果,全国共有各级各类学校52.93万所,在校生2.91亿人,专任教师1844.37万人,劳动年龄人口平均受教育年限10.9年。其中涉及了个人、学校、教育科研机构、教育服务机构、教育管理机关,还涉及到课程、教材、技术、资源、管理等诸多方面,必然会产生大量的教育数据,且具有涉及范围广、人员众、环节多、时间长的特点。因此,教育数据风险不容忽视,教育系统必须全面加强数据安全意识的培养,将数据安全意识贯穿于教学、科研、管理等的各个环节、各个方面。2021年9月1日正式实施的《数据安全法》,是一部立足我国实际,为我国数据安全指明正确方向和提供强有力法治保障的基础性法律。教育领域全方位保护数据安全,全面培养教育工作者数据安全意识,需要贯彻好《数据安全法》的精神,将《数据安全法》贯穿于教学、科研以及教育管理、开发、交流、协助等各个环节,将教育数据安全与教育高质量发展和办好人民满意的教育的目标紧密结合在一起,全面应对教育领域数据的各种安全风险和挑战,不断提高教育领域数据安全治理体系治理能力现代化水平。
      完善法律法规制度
      将《数据安全法》的精神和要求贯穿于教育领域,要求国家从立法层面及时按照《数据安全法》的要求补充、修改、完善教育法及其相关法律制度中关于数据安全部分的内容,教育部等部门应以数据安全法为基础,结合我国教育实际制定相应的规章制度,准确界定教育数据及其管理的内涵及外延,并厘清其边界,依法规范教育数据的收集、处理、开发、利用、决策、共享等活动,从而提高整个教育数据安全管理水准;多措并举推动各种教育数据权利的实现,明确教育数据的确权,形成体系化的教育数据权利,准确界定所有权、使用权、运营权、收益权等权利之间的关系,明确界定教育数据生成者与提供者的数据权利,维护其数据人格权和财产权等。只有产权清晰、权责明确,才能促进教育领域数据共通共享,防止出现侵权、隐私泄露、数据滥用等问题,避免造成不必要的损失。通过依法制定教育领域数据安全行为规范和标准,加强教育的行业自律,以促进教育数据资产增值为优先目标,能够让教育数据成为教育科学决策、创新发展的动力,提高教育数据安全保护水平,不断促进教育事业的健康发展。
      健全风险评估体系
      我国教育体系涉及的人员多、范围广,近年来教育数据的应用迅猛增长,流动速度惊人,由于认识不足和管理不到位等原因,数据应用的风险点多,教育数据安全事件时有发生。一般认为,教育数据安全主要存在以下几种风险:侵权风险,主要是指在教育数据的采集过程中,未经当事人的同意,不当扩大范围采集相关敏感信息而侵犯他人的隐私权和数据资产所有权的行为;监管风险,主要是指随着教育领域信息化的不断提升,各种敏感信息存在被泄露和滥用的风险,教育数据必须加强监管;算法风险,主要是指教育数据管理者以科技手段为借口,利用规则算法束缚自由选择,利用数据预测剥夺自主决策等行为。健全风险评估体系就是要求教育主管部门联合相关部门,以《数据安全法》为基础,根据不同风险的危险性、破坏性等进行分门别类,建立相应的教育数据风险评估体系,如侵权风险评估体系,监管风险评估体系,算法风险评估体系等,总的目标就是要规范好教育数据的流程,管理好教育数据涉及的领域,进行分类治理和综合治理。针对学生的个人信息、成绩、学籍学分、学历等,教师的个人信息、行为偏好、专业特长、研究方向等敏感信息,应根据风险评估的标准要求建立隐私防护机制;要构建教育系统敏感数据安全储存和传输机制,以保障隐私信息、敏感信息不被篡改、窃取、盗用、泄露等。总之,要在教育系统统一建立高效权威的数据安全风险评估、报告、信息共享、监测预警机制,统筹协调教育系统内部加强教育数据安全风险信息的获取、分析、研判、预警等工作。
      加强监管体系建设
      监管是防范和化解风险最有效的手段之一,保障教育数据安全需各方面协同加强监管体系建设。从国家层面讲,主要是加强数据安全的立法和建立健全数据安全管理制度,加强对全国性数据平台安全的管理与监督,形成以教育部牵头,多部门配合,多方面联动,全社会共同参与的多层次治理格局。充分利用互联网、大数据、人工智能等现代信息技术,加强对教育数据的管理,对教育数据的风险进行评估、定性,建立健全全流程教育数据安全管理制度,保障国家教育数据运行健康;有力打击各种侵害数据安全的违法行为,保障数据安全在法治的轨道上运行。省、市两级主要是根据国家有关数据安全管理的制度规定,参照国家层面的相关要求和标准,因地制宜建立本区域的监管体系,抓好教育数据安全保障落实落细落地工作。学校是教育数据收集和应用的主要根据地,也是教育数据安全的高风险地,加强学校的数据安全管理,首先应明确学校不同的主体之间规范教育数据监管的权限、责任和义务,做到各施其职、各负其责;其次学校应按照教育数据监管要求,由专业人士参与,成立专门的监管机构,加强教育数据监管体制机制建设,积极应对各种教育数据安全事件,确保学校教育数据安全;再者,要按照教育数据监管的原则,加强同相关部门的协作,建立教育数据监管的协同机制,广泛吸引社会力量的参与,进一步促进教育数据安全。
      严格数据安全责任
      《数据安全法》中明确规定了行政责任、刑事责任、民事责任等,为我国建立教育数据安全审查与问责制度提供了有力的支撑。严格教育数据安全责任,必须坚持总体国家安全观,建立教育数据安全治理体系,提高教育数据安全保障能力,处理好数据的收集、储存、使用、加工、传输、提供、公开等工作;构建教育数据伦理风险调整机制,全方位促进教育数据的合规性应用;有力打击各种关于教育数据的违法、违规行为,切实保障教育数据合法性、安全性、完整性和可用性。同时,要进一步规范教育数据的伦理价值,弘扬教育的人文关怀,让教育数据安全成为办好人民满意教育的重要组成部分。

想了解更多的关于ISO38505认证信息可以经常关注我们