在信息技(jì )术日新(xīn)月异的今天，数据已成为(wèi)驱动社会各行各业发展的核心要素，教育行业亦不例外。为(wèi)了确保教育数据的有(yǒu)效管理(lǐ)、安(ān)全流通与深度应用(yòng)，国(guó)家标准《信息技(jì )术大数据数据治理(lǐ)实施指南》GB/T 44109-2024于近日隆重发布，并定于2024年12月1日正式实施。这一里程碑式的举措，不仅为(wèi)教育行业的数据治理(lǐ)工(gōng)作(zuò)树立了新(xīn)的标杆，更预示着教育行业即将迈入一个标准化、规范化的全新(xīn)发展阶段。

该指南详细阐述了数据治理(lǐ)的原则、流程、方法及评估标准，为(wèi)教育机构提供了全面、系统的操作(zuò)指南。通过遵循这一标准，教育机构能(néng)够确保数据治理(lǐ)工(gōng)作(zuò)的有(yǒu)序开展，提升数据质(zhì)量，挖掘数据价值，进而推动教育行业的整体(tǐ)进步。

一、教育数据安(ān)全治理(lǐ)已迫在眉睫

随着大数据技(jì )术的不断发展和应用(yòng)，数据已成为(wèi)教育行业的重要资产(chǎn)。然而，如何有(yǒu)效管理(lǐ)和利用(yòng)这些数据，以支持教育教学(xué)的持续改进和创新(xīn)，成为(wèi)教育行业面临的重要课题。

1. 国(guó)家政策持续加码，推动教育数据安(ān)全治理(lǐ)

《数据安(ān)全法》的发布，标志(zhì)着我国(guó)以数据安(ān)全保障、数据开发利用(yòng)和产(chǎn)业发展全面进入法治化轨道，同时也对数据安(ān)全治理(lǐ)与建设工(gōng)作(zuò)提出了合规性要求。

近些年，国(guó)家与教育部及相关部门下发多(duō)项推进教育领域数据安(ān)全工(gōng)作(zuò)的政策文(wén)件。2018年，教育部办(bàn)公(gōng)厅印发《教育部机关及直属事业单位教育数据管理(lǐ)办(bàn)法》，明确教育数据各环节的管理(lǐ)程序，做到教育数据管理(lǐ)全过程有(yǒu)规可(kě)依。依托国(guó)家信息安(ān)全保障体(tǐ)系，完善教育数据共享与公(gōng)开安(ān)全机制，保护个人隐私信息，保障教育数据资源安(ān)全。

2021年，教育部等七部门印发了《关于加强教育系统数据安(ān)全工(gōng)作(zuò)的通知》，提出“要建立教育系统数据安(ān)全责任体(tǐ)系和数据分(fēn)类分(fēn)级制度，形成教育系统数据资源目录。健全覆盖数据收集、传输存储、使用(yòng)处理(lǐ)、开放共享等全生命周期的数据安(ān)全保障制度，开展常态化的数据安(ān)全监测预警通报”等工(gōng)作(zuò)目标。

2022年9月，教育部印发《教育系统核心数据和重要数据识别认定工(gōng)作(zuò)指南(试行)》，要求教育各级部门按指南要求梳理(lǐ)部门数据资产(chǎn)，并识别、上报核心重要数据清单。

2. 教育数据安(ān)全威胁多(duō)发，风险驱动数据安(ān)全治理(lǐ)

数据具(jù)有(yǒu)可(kě)复制、可(kě)无限供给等属性，伴随各类数据迅猛增长(cháng)，数据安(ān)全问题由冲击个人隐私、商(shāng)业秘密上升至损害国(guó)家利益。近年来，高校等教育机构遭黑客入侵，进而导致大量数据泄露或被非法使用(yòng)的情况屡见不鲜：

2023年8月，南昌某高校3万余条师生个人信息数据在境外互联网上被公(gōng)开售卖，该校受到责令改正、警告并处80万元人民(mín)币罚款的处罚，主要责任人被罚款5万元人民(mín)币。

2022年6月，某知名(míng)大学(xué)生学(xué)习软件的数据库信息被公(gōng)开售卖，超1.7亿条信息疑遭泄露，公(gōng)安(ān)机关介入调查。

2022年6月，西北工(gōng)业大学(xué)声明其电(diàn)子邮件系统遭攻击，攻击者向师生发送包含木(mù)马程序的钓鱼邮件，企图窃取相关师生邮件数据和公(gōng)民(mín)个人信息，经公(gōng)安(ān)机关判定是境外黑客组织发起的网络攻击行为(wèi)。

2021年9月，山(shān)东济南某所高校的新(xīn)生个人信息遭到泄露，在一个名(míng)为(wèi)“协院助手”的微信公(gōng)众号上可(kě)以查询该校新(xīn)生的个人信息。

二、教育数据安(ān)全治理(lǐ)面临诸多(duō)挑战

在教育数据治理(lǐ)的过程中(zhōng)，数据安(ān)全始终是首要考虑的问题，数据安(ān)全风险在不断增加。如何确保数据在传输、存储、使用(yòng)等各个环节的安(ān)全，成为(wèi)教育行业需要重点关注的问题。此外，随着新(xīn)技(jì )术的不断涌现，如人工(gōng)智能(néng)、大数据等，也为(wèi)教育数据安(ān)全治理(lǐ)带来了新(xīn)的挑战。

1.数据安(ān)全合规落地困难

尽管国(guó)家出台了一系列关于教育数据安(ān)全、个人信息保护的法律法规和标准规范，但在实际执行过程中(zhōng)可(kě)能(néng)存在落地难、执行不到位的问题。例如，数据安(ān)全管理(lǐ)制度不健全、业务(wù)流程与安(ān)全要求不符、人员安(ān)全意识薄弱等，这些都可(kě)能(néng)导致合规风险。

2. 数据要素流通风险

教育数据要素流通使用(yòng)环境复杂，涉及多(duō)方主体(tǐ)、多(duō)个环节，同时数据产(chǎn)品具(jù)有(yǒu)极易复制、非排他(tā)性、难追溯等特征，均使数据流通使用(yòng)面临安(ān)全风险、隐私泄漏挑战等问题。这不仅威胁国(guó)家数据安(ān)全，也不利于企业和个人数字权益的保护，严重阻碍数据要素流通使用(yòng)市场化配置。

3. 数据资产(chǎn)发现与分(fēn)类分(fēn)级难题

教育数据形态日益丰富，数据资产(chǎn)梳理(lǐ)和分(fēn)类分(fēn)级难度加大，极易产(chǎn)生安(ān)全死角。同时，数据的类别级别需要结合业务(wù)场景进行动态调整，在不同场景下的等级认定以及相应的管控或处理(lǐ)技(jì )术可(kě)能(néng)不同，数据分(fēn)类分(fēn)级的持续性难以保持。

4.数据安(ān)全威胁多(duō)发

教育传统漏洞、弱口令、高危端口等安(ān)全问题及新(xīn)生的勒索、挖矿、违规外联等未知威胁层出不穷，缺乏专业安(ān)全运营团队和常态化运营机制，导致现有(yǒu)安(ān)全防控能(néng)力难以抵御数据安(ān)全威胁。

三、全流程数据治理(lǐ)体(tǐ)系保障教育数据安(ān)全

针对教育领域的数据治理(lǐ)挑战，道普信息作(zuò)为(wèi)第三方风险管控领域的专家，提出了构建全流程数据安(ān)全治理(lǐ)体(tǐ)系的解决方案。

1. 健全数据安(ān)全治理(lǐ)体(tǐ)系保障数据安(ān)全

通过数据治理(lǐ)体(tǐ)系建设，不断开发创新(xīn)的数据服务(wù)，融合目标、流程、方法、工(gōng)具(jù)，建立覆盖数据全生命周期的"数据管理(lǐ)机制、数据管理(lǐ)平台、数据开放平台“框架，实现数据的资产(chǎn)化、可(kě)视化、服务(wù)化，保障数据的核心价值。

强化数据安(ān)全风险评估，对数据全生命周期进行风险识别和评估，提升数据安(ān)全保障能(néng)力、风险发现能(néng)力，确保数据安(ān)全风险可(kě)控。

2.多(duō)规管理(lǐ)融合加强网络安(ān)全合规

基于网络安(ān)全责任制、等级保护、关基保护、密码应用(yòng)、数据安(ān)全、个人信息保护等监管要求，开展等保、密码、关保等多(duō)规测评，针对风险提出改进建议，帮助完成合规整改。

3.构建安(ān)全防护体(tǐ)系实现安(ān)全运营

从运营管理(lǐ)、运营运行、运行技(jì )术三方面，构建具(jù)备一体(tǐ)化的分(fēn)析识别、安(ān)全防护、监测评估、监测预警、主动防御、事件处置功能(néng)的数字安(ān)全保障体(tǐ)系，形成终端防护、边界隔离与威胁监测的安(ān)全方案，实现安(ān)全运营。

《信息技(jì )术大数据数据治理(lǐ)实施指南》GB/T 44109-2024的发布与实施，是我国(guó)数据安(ān)全治理(lǐ)体(tǐ)系迈向更高层次的标志(zhì)性事件。它不仅为(wèi)教育行业的数据治理(lǐ)工(gōng)作(zuò)提供了有(yǒu)力的制度保障，也为(wèi)教育行业的数字化转型和高质(zhì)量发展注入了新(xīn)的动力。展望未来，随着数据治理(lǐ)工(gōng)作(zuò)的不断深入和完善，教育行业将迎来一个更加安(ān)全、高效、智能(néng)的发展时代。让我们携手共进，共同开创教育数据治理(lǐ)的美好未来！