本文来自微信公众号“安全419”。
安全419关注到,由教育部高等学校科学研究发展中心与中国高等教育学会教育信息化分会共同编制的《中国高校信息化发展报告(2021)》(以下简称《报告》)于近日公开发布。《报告》力求突出数字化转型趋势,围绕教育信息化核心要素,依托高校信息化发展监测数据指标体系,对1042个单位提交的问卷数据,从体制机制、基础设施、信息系统与数据治理、信息化支撑教学、信息化支撑科研、网络安全保障、新技术应用等7个方面进行了全方面分析。
2021年度高校信息化发展状态数据雷达
我们在此梳理《报告》中与网络安全保障方面相关的关键发现及发展建议,一睹我国高校的网络安全建设情况与挑战。
建设成效
网络安全管理进一步细化
数据安全成为网络安全工作新重点
随着《数据安全法》《个人信息保护法》等一系列法律法规的颁布实施,高校网络安全管理工作的要求进一步细化,数据安全成为高校关注的新重点。
2021年度调查数据显示,99.9%的高校制定并执行了网络安全管理措施,其中制定了个人信息保护管理办法、设立专门的网络安全科室和配备专职网络安全人员的高校比例快速增长,比上一年分别增长9.7个百分点、7.6个百分点和4.1个百分点。高校网络安全管理机制建设从关注通用管理制度、应急预案向注重科室及人员要求、个人信息安全等方面转变,管理措施进一步细化。82%的高校制定了数据安全管理制度或安全规范,53.8%的高校制定了个人信息保护管理办法,50%左右的高校制定了数据备份和恢复的安全规范、数据存储访问和使用安全规范、数据采集安全规范,实施系统灾备的高校比例相比上一年增长9.6个百分点。数据安全法和个人信息保护法的导向性作用明显,高校网络安全意识和水平稳步提升,以数据为核心的网络安全管理机制和安全保障措施得到进一步加强。
存在问题
在网络安全体系的完备性上有差距
高校在管理和技术层面构建了较为全面的网络安全防护体系,重点以网络和应用为主,随着高校信息化的深入发展,建立健全网络安全人员建制和数据资产的重要性愈发凸显,高校网络安全体系需要与时俱进,不断完善。从目前高校信息化发展情况来看,高校网络安全防护体系已经具有一定规模和完备度,网络和应用层安全事件逐年下降,但数据和人员管理导致的网络安全事件数量逐年抬升,数据安全和个人信息安全体系的建设尚处于初级阶段。从统计数据来看,一半的高校未设立网络安全科室,网络安全体系化、制度化管理的抓手不足,46.2%的高校未制定个人信息保护管理办法,超过70%的高校未制定数据脱敏相关规范和数据分析的安全规范,相关制度规范的不健全,使得数据的全生命周期安全管理难以得到有效保障。
发展建议
重视数据治理,固培厚植数字化转型的新根基
进一步认识数据作为新型生产要素的重要作用,加快制定适应高等教育发展规律、具备普适性和可操作性的数据资源配置规则,为数据治理工作提供遵循,为高校治理体系和治理能力现代化奠定坚实基础。
高校要加强数据治理和数据应用的顶层设计,推进建立统筹机制。构建包括数据分级分类管理、数据资产编目、数据共享、数据安全等多维度的数据标准体系;从数据采集、数据共享、数据利用、数据质量等方面,完善制度规范和实施细则,研究数据分类分级确权授权使用制度、数据更新维护策略和数据质量保障长效机制;强化数据互联互通,提升应用系统服务师生能力;加强数据平台建设,筑牢数据治理底层基础,推进数据治理向决策支持赋能。
强化数据安全,全面践行新时代网络安全发展新理念
数字化转型已成为我国“十四五”期间经济发展的重要驱动力,数字化转型进程的行稳致远需要强有力的安全保障。“十四五”规划中,用“统筹发展和安全”、“全面加强网络安全保障体系和能力建设”明确了网络安全的发展理念。高校要全方位构建信息网络安全体系,保障数字化转型战略安全实施。统筹协调好发展和安全的辩证关系,充分认识网络安全与信息化是一体之双翼,驱动之双轮的含义,深刻理解数据在网络安全中的决定性作用。要站在数字化战略的高度,推动网络安全工作向数据安全和个人信息保护体系建设延伸,落实网络安全相关法律法规,制定适合本校的数据安全和个人信息保护制度,完善与之相适应的体制机制,加强全体师生的网络安全意识教育和网络安全技能培训,明确安全体系的人员责任,不断巩固网络安全的层级防护,探索在数据资源安全防护、合规使用等方面的研究与应用,引导企业研发适合高校需求的数据安全相关产品,形成人人关心、层层落实的新时代网络安全全方位发展的新体系。