在线炒股配资门户网-杠杆交易软件搜加杠网-【东方资本】,股票杠杆app,今日热股什么意思,预计下周一股市行情展望

提交需求
*
*

*
*
*
立即提交
點擊”立即提交”,表明我理解并同意 《美創科技隱私條款》

logo

    產品與服務
    解決方案
    技術支持
    合作發展
    關于美創
    申請試用
      案例分享|美創科技“雙一流”高校的數據安全治理實踐之路
      發布時間:2024-03-07 閱讀次數: 1862 次

      數據安全是高校安全建設的重中之重,然而伴隨高校信息化、數字化工作深入開展,數據安全威脅挑戰更加復雜,如何明晰建設路徑,推動數據安全工作有的放矢開展,仍面臨諸多問題。本文介紹的高校數據安全治理建設實踐,是美創數據安全治理咨詢服務賦能高校安全建設的又一經典案例,希望通過該案例實踐經驗,給更多高校的數據安全建設提供參考。








      某高校是全國重點大學,國家部委和市人民政府共建的“雙一流”、 “211工程”高校,中國著名的高等學府。


      圖片

      圖片源自網絡

      近年來,方興未艾的數字化浪潮為高校注入新內核,校園管理工作逐步從線下模式轉變為線上服務模式,通過服務大廳,為學生、教職工提供一站式服務。為進一步消除“數據孤島”,該高校網絡信息中心(下稱“信息中心”)探索建立數據平臺,形成學校各部門之間的數據共享,包括人事處、教務處、財務處等業務部門,實現學生選課、資產報修、學校公章、在讀證明、就業手續辦理等業務對接。


      然而各類型應用系統不斷增多,系統間業務協同交互場景逐漸增加,業務數據不斷匯聚整合,也帶來新挑戰,數據安全問題也隨之而來,在合規監管要求不斷提升的背景下,如何進一步加強數據安全和師生個人信息保護提上了日程。



      為響應國家號召,全力保障“智慧校園”發展,同時也為有效摸清目前高校在管理、技術層面可能存在風險隱患,規劃下一階段數據安全建設目標,該高校攜手美創開啟本次數據安全治理咨詢工作。




      現狀分析


      數據安全必須貫穿數字化業務全過程,能否守住安全底線至關重要,目前該高校數據安全面臨的主要問題包括:



      1

      安全理念不匹配:高校內部部門二十多個,且系統多樣,有統推部門系統(如教師職稱、學生入學、學籍管理等),也有學校自建系統(如招生就業、門戶網站、校園一卡通等),這些業務系統負責的部門由于缺乏專業的網絡和數據管理人員,對這些系統業務數據的使用和管理上缺乏了解和控制。


      2

      職責劃分不清晰:數據安全治理工作是一項從上至下、持續性、長期的系統工程,從現有的組織架構上看,目前數據安全管理組織架構比較完整,但職責劃分上仍需進一步明確,尤其是數據共享使用場景下,暫未形成規范化的流程,一旦發生數據安全事件,將無從定責追責。


      3

      數據標準不統一:雖然該校信息中心建立了數據平臺,實現了多部門之間數據共享,并按照教育部《教育系統核心數據和重要數據識別認定工作指南(試行)》文件要求,制定了數據分級分類策略,但由于業務系統龐雜,并且業務優先的原則,導致各部門使用數據標準不統一,阻礙了數據分類分級的落地。


      4

      數據安全難保障:在目前的安全建設體系中,數據安全存在一定的風險隱患。例如數據庫運維管理松散,學校合作第三方開發人員和運維人員私存數據庫賬號密碼,存在數據泄露風險,并且數據資源的使用沒有約定范圍和有效期,導致數據使用失控。




      解決方案


      針對該高校上述存在的各方面問題,美創結合高校當前實際情況,認為可從以下幾個方面進行入手:


      ?? 對現有的應用系統數據庫進行全面摸底,做到“底數清、情況明”,熟悉各部門業務系統、數據敏感程度、數據使用多方面情況,尤其需要關注個人信息數據存儲、使用情況; 

      ??  數據所屬業務的職能部門是數據的主管單位,應當向各業務部門明確數據使用處理規則和防護要求,尤其是業務部門在數據共享交換的場景下,應當對申請的數據資源范圍、期限進行明確;

      ?? 參考DSMM模型內容,開展數據安全風險評估,了解目前的數據安全工作程度,也可完善高校的數據安全檢查內容,作為定期開展安全檢查的依據

      ?? 根據風險等級,結合現有的安全技術手段,以及部門間業務運行、數據流轉過程,規劃下一階段的改進和建設任務目標,并針對具體場景的風險程度進行優先級設定。



      具體服務內容包括:


      數據資產梳理


      以系統級、表級的顆粒度,對針對評估范圍內的數據開展梳理工作,共計梳理3萬張表、50萬個數據字段,數據類型覆蓋業務數據、個人信息等,如流程表單、戶口所在地等。大部分數據為“個人身份信息類”、“個人財產信息類”等敏感個人信息,如戶口地址、一卡通卡號、余額等。

      基礎環境風險評估


      對系統和數據庫服務器進行安全掃描、安全配置核查和分析,以及對數據權限分配情況的探查,發現配置的不合規項。例如高權限的廢棄賬戶,美創結合實際需求提出了整改修復建議。

      數據安全能力評估


      結合高校現狀以及對數據安全管理的目標訴求,從組織建設、制度流程、技術工具和人員能力等方面,分別對標數據安全能力成熟度模型(DSMM)二級和三級能力要求,從差距分析的結果來看,組織與三級能力仍存在較大差距,故后期若開展能力規劃,可先設定到二級,再逐步進行推進。


      圖片

      數據安全合規評估


      根據所在教育(高校)行業和地區的法律法規、政策規范等,進行篩選、識別、關聯分析,對相關條款逐一進行闡述,根據現狀進行對標分析。通過合規評估工作,除了發現潛在的合規風險,也幫助高校對數據安全相關政策要求有了更進一步理解。本次合規評估主要參考文件如下:


      圖片

      數據安全風險評估


      數據安全風險評估是以圍繞數據全生命周期的數據處理活動,采用了定性和定量相結合的風險分析方法,對數據資產面臨的威脅、存在的弱點、造成的影響,以及三者綜合作用所帶來風險的可能性的評估。通過風險分析,發現數據在全生命周期的處理活動中,均存在不同程度的風險。


      圖片



      數據安全建設規劃


      在管理層面,根據行業、地區、上級要求以及高校現行制度,結合實際場景,制定了《個人信息保護管理辦法》、《數據全生命周期安全管理制度》、《數據分類分級規范》、《數據安全事件應急預案》、《數據安全監督檢查管理辦法》等制度文件,明確了數據在多個階段的安全管理要求。同時對多個現行的制度內容進行了審查,提出了優化建議以及持續關注點,如網絡安全事件應急預案、數據共享交換規范等。


      在技術層面,結合具體的數據使用場景,根據風險情況提出下一步的整改建議,包括技術手段、依托產品工具的建設方式、建設周期、建設優先級等。




      成果價值


      通過本次數據安全治理咨詢,該高校明晰了當下數據資產的重要性以及潛在的安全風險,確定了下一步的工作任務和重心,主要產生的成果價值如下:


      • 厘清了數據資產敏感程度:通過資產梳理明晰了目前數據的規模、敏感程度,以及存在的廢棄數據。結合風險評估結果識別出存在中、高風險級別的數據資產,同時以同行業最佳實踐做法為參考,討論現有的分類分級策略的合理性,提出了數據分類分級的改進方向。

      • 落實了數據安全主體責任:依據教育部發文以及現行的數據管理相關制度,在現有的部門職責定義的基礎上進行了修訂和更新,按照“誰主管誰負責、誰運營誰負責、誰使用誰負責”的原則,與信息中心討論并重新定義了“數據主管部門”、“數據運營部門”、“數據使用部門”三大數據職能機構的責任和義務。

      • 健全了數據安全管理體系:參考ISO四層體系要求和DSMM模型,規劃數據在各個階段、場景的安全管理規范和流程,通過逐步建立具體的安全操作規范和流程,制定更具體的約束性措施,全面滿足管理需求。在本項目過程中落實的部分制度內容,也在一定程度上完善了高校的數據安全管理體系。

      • 提升了數據安全防護理念:目前數據安全整體缺乏體系化建設,沒有從數據全生命周期來考慮數據安全建設,僅基于合規要求部署網絡安全設備或單點防御、檢測設備,造成風險隱患。通過從數據處理風險較高的場景入手,結合現有的安全技術手段,以及部門間業務運行、數據流轉過程,規劃建立圍繞數據資產的安全保障體系。

      上一條:關于數據庫安全審計的小故事
      下一條:數據庫安全審計適用于什么場景?
      免費試用
      服務熱線

      馬上咨詢

      400-811-3777

      回到頂部