高校数据安全治理痛点与对策 .pdfVIP

高校数据安全治理痛点与对策

随着信息技术和人类生产生活交汇融合，各类数据迅猛增长、海

量聚集，对经济发展、人民生活产生了重大而深刻的影响。

数据安全已成为事关国家安全与经济社会发展的重大问题。国家

高度重视，就加强数据安全工作和促进数字化发展作出一系列重要部

署。

2021年9月1日起，《数据安全法》正式施行。《数据安全法》

的出台，为我国维护数据主权，保障国家安全、促进经济健康发展，

以及数字经济的安全发展保驾护航。

1、数据治理与数据安全治理

概念之别

数据治理是指将数据作为组织资产围绕数据全生命周期而展开

的相关管控活动、绩效和风险管理工作的集合，以保障数据及其应用

过程中的运营合规、风险可控和价值实现。

从使用零散数据变为使用统一数据、从具有很少或没有组织和流

程到学校范围内的综合数据治理、从尝试处理数据混乱状况到数据井

井有条的一个过程。

数据安全治理是将数据安全技术与数据安全管理融合在一起，综

合业务、安全、网络等多部门多角色的诉求，总结归纳为系统化的思

路和方法。

《数据安全法》第一章第4条提出：维护数据安全，应当坚持总

体国家安全观，建立健全数据安全治理体系，提高数据安全保障能力。

数据因流动产生价值。部门内部的数据会在整个学校内部、甚至

更大的范围内共享，要保障数据的安全使用，就不能任由个人或部门

各行其是地处置数据，数据活动需要在一个学校的规范框架约束下进

行。尤其当数据是敏感或关键性的，那么其使用、传输或存储，

都需要特别处置。学校数据安全治理的本质是建立一组学校的

“数据法规”，由这些法规来规范学校所有人员的所有数据活动。

相互关系

根据市场研究机构Gartner对数据安全治理的基本定义，数据治

理简单而言是通过对数据的梳理整合，利用数据驱动业务，实现学校

增值。

数据安全治理不仅是一套用工具组合的产品级解决方案，而是从

决策层到技术层，从管理制度到工具支撑，自上而下贯穿整个组织架

构的完整链条。组织内各个层级之间需要对数据安全治理的目标和宗

旨取得共识，确保采取合理和适当的措施，以最有效的方式保护信息

资源。

数据安全治理是安全领域的框架集合，该集合包括数据、业务、

安全、技术、管理等多个方面。它属于数据治理体系中的一部分，从

业务层到安全层，从管理层到技术层，自上而下全方位与体系融合，

贯穿始终。安全治理既可在数据治理框架下进行，也可独立实施。

当然，数据治理与数据安全治理还是有差异的：

从发起部门看：

数据治理主要是由IT部门在驱动，数据安全治理主要是由安全

合规部门在驱动，尽管两者的成功都要涉及业务、运维和管理部门甚

至学校最高管理决策层。

从目标上看：

数据治理的目标是数据驱动学校数据资产价值提升。而数据安全

治理的目标让数据使用更安全，保障数据的安全使用和共享，实质也

是保障数据资产价值。

从工作内容产出看：

数据治理工作产出上，一个核心成果就是数据质量提升，通过数

据的清洗和规范的过程，获得有质量的数据。而数据安全治理的重要

产出，就是完成对学校数据访问的安全策略的分级分类，完成学校对

数据的合规安全访问政策和措施。

从数据资产梳理看：

数据治理的资产梳理的主要产出物，就是元数据。元数据管理，

即赋予数据上下文和含义的参考框架。而数据安全治理中的资产梳

理，要明确数据分级分类的标准，敏感数据资产的分布，敏感数据资

产的访问状况和授权报告。

2、数据安全治理面临的挑战

当前数据安全治理的真正痛点如下：

用户对自己数据资产信息不清晰，不知道数据在哪里；

数据使用过程中，三权问题不清楚，所有权、使用权、运营权不清，

数据在流动中不知道数据被谁用了、是不是合法的使用、是不是该有

的人在持有、该用的人在使用；

管理难，流动过程中管理难，数据只有流动才能产生价值，数据

流动的过程中涉及面很广，涉及的部门又多，要进行数据的管理，就

要考虑业务、流程，以及自身管理分工；

数据安全应用产品定位没有跟进技术创新的脚步，当前技术创新

主要侧重网络安全产品而非数据安全应用产品，现有安全产品涉及数

据安全的较少，这就出现一种情况：花了很多钱去进行数据安全防护，

却无法保证数据的安全性；

数据安全技术青黄不接，新的数据安全产品技术不成熟，原有的

安全产品功能单一且比较割裂，未形成完整链条。

从以上痛点可以