双性调教np堕重口黄暴辣耽_亚洲一级性_女人做爰呻吟娇喘声网站,男人和女人脱裤子叼嘿,亚洲一区二区在线,欧美日韩亚洲国内综合网

提交需求
*
*

*
*
*
立即提交
點擊”立即提交”,表明我理解并同意 《美創(chuàng)科技隱私條款》

logo

    產(chǎn)品與服務(wù)
    解決方案
    技術(shù)支持
    合作發(fā)展
    關(guān)于美創(chuàng)
    申請試用
      案例分享|美創(chuàng)科技“雙一流”高校的數(shù)據(jù)安全治理實踐之路
      發(fā)布時間:2024-03-07 閱讀次數(shù): 1679 次

      數(shù)據(jù)安全是高校安全建設(shè)的重中之重,然而伴隨高校信息化、數(shù)字化工作深入開展,數(shù)據(jù)安全威脅挑戰(zhàn)更加復(fù)雜,如何明晰建設(shè)路徑,推動數(shù)據(jù)安全工作有的放矢開展,仍面臨諸多問題。本文介紹的高校數(shù)據(jù)安全治理建設(shè)實踐,是美創(chuàng)數(shù)據(jù)安全治理咨詢服務(wù)賦能高校安全建設(shè)的又一經(jīng)典案例,希望通過該案例實踐經(jīng)驗,給更多高校的數(shù)據(jù)安全建設(shè)提供參考。








      某高校是全國重點大學(xué),國家部委和市人民政府共建的“雙一流”、 “211工程”高校,中國著名的高等學(xué)府。


      圖片

      圖片源自網(wǎng)絡(luò)

      近年來,方興未艾的數(shù)字化浪潮為高校注入新內(nèi)核,校園管理工作逐步從線下模式轉(zhuǎn)變?yōu)榫€上服務(wù)模式,通過服務(wù)大廳,為學(xué)生、教職工提供一站式服務(wù)。為進一步消除“數(shù)據(jù)孤島”,該高校網(wǎng)絡(luò)信息中心(下稱“信息中心”)探索建立數(shù)據(jù)平臺,形成學(xué)校各部門之間的數(shù)據(jù)共享,包括人事處、教務(wù)處、財務(wù)處等業(yè)務(wù)部門,實現(xiàn)學(xué)生選課、資產(chǎn)報修、學(xué)校公章、在讀證明、就業(yè)手續(xù)辦理等業(yè)務(wù)對接。


      然而各類型應(yīng)用系統(tǒng)不斷增多,系統(tǒng)間業(yè)務(wù)協(xié)同交互場景逐漸增加,業(yè)務(wù)數(shù)據(jù)不斷匯聚整合,也帶來新挑戰(zhàn),數(shù)據(jù)安全問題也隨之而來,在合規(guī)監(jiān)管要求不斷提升的背景下,如何進一步加強數(shù)據(jù)安全和師生個人信息保護提上了日程。



      為響應(yīng)國家號召,全力保障“智慧校園”發(fā)展,同時也為有效摸清目前高校在管理、技術(shù)層面可能存在風(fēng)險隱患,規(guī)劃下一階段數(shù)據(jù)安全建設(shè)目標(biāo),該高校攜手美創(chuàng)開啟本次數(shù)據(jù)安全治理咨詢工作。




      現(xiàn)狀分析


      數(shù)據(jù)安全必須貫穿數(shù)字化業(yè)務(wù)全過程,能否守住安全底線至關(guān)重要,目前該高校數(shù)據(jù)安全面臨的主要問題包括:



      1

      安全理念不匹配:高校內(nèi)部部門二十多個,且系統(tǒng)多樣,有統(tǒng)推部門系統(tǒng)(如教師職稱、學(xué)生入學(xué)、學(xué)籍管理等),也有學(xué)校自建系統(tǒng)(如招生就業(yè)、門戶網(wǎng)站、校園一卡通等),這些業(yè)務(wù)系統(tǒng)負(fù)責(zé)的部門由于缺乏專業(yè)的網(wǎng)絡(luò)和數(shù)據(jù)管理人員,對這些系統(tǒng)業(yè)務(wù)數(shù)據(jù)的使用和管理上缺乏了解和控制。


      2

      職責(zé)劃分不清晰:數(shù)據(jù)安全治理工作是一項從上至下、持續(xù)性、長期的系統(tǒng)工程,從現(xiàn)有的組織架構(gòu)上看,目前數(shù)據(jù)安全管理組織架構(gòu)比較完整,但職責(zé)劃分上仍需進一步明確,尤其是數(shù)據(jù)共享使用場景下,暫未形成規(guī)范化的流程,一旦發(fā)生數(shù)據(jù)安全事件,將無從定責(zé)追責(zé)。


      3

      數(shù)據(jù)標(biāo)準(zhǔn)不統(tǒng)一:雖然該校信息中心建立了數(shù)據(jù)平臺,實現(xiàn)了多部門之間數(shù)據(jù)共享,并按照教育部《教育系統(tǒng)核心數(shù)據(jù)和重要數(shù)據(jù)識別認(rèn)定工作指南(試行)》文件要求,制定了數(shù)據(jù)分級分類策略,但由于業(yè)務(wù)系統(tǒng)龐雜,并且業(yè)務(wù)優(yōu)先的原則,導(dǎo)致各部門使用數(shù)據(jù)標(biāo)準(zhǔn)不統(tǒng)一,阻礙了數(shù)據(jù)分類分級的落地。


      4

      數(shù)據(jù)安全難保障:在目前的安全建設(shè)體系中,數(shù)據(jù)安全存在一定的風(fēng)險隱患。例如數(shù)據(jù)庫運維管理松散,學(xué)校合作第三方開發(fā)人員和運維人員私存數(shù)據(jù)庫賬號密碼,存在數(shù)據(jù)泄露風(fēng)險,并且數(shù)據(jù)資源的使用沒有約定范圍和有效期,導(dǎo)致數(shù)據(jù)使用失控。




      解決方案


      針對該高校上述存在的各方面問題,美創(chuàng)結(jié)合高校當(dāng)前實際情況,認(rèn)為可從以下幾個方面進行入手:


      ?? 對現(xiàn)有的應(yīng)用系統(tǒng)數(shù)據(jù)庫進行全面摸底,做到“底數(shù)清、情況明”,熟悉各部門業(yè)務(wù)系統(tǒng)、數(shù)據(jù)敏感程度、數(shù)據(jù)使用多方面情況,尤其需要關(guān)注個人信息數(shù)據(jù)存儲、使用情況; 

      ??  數(shù)據(jù)所屬業(yè)務(wù)的職能部門是數(shù)據(jù)的主管單位,應(yīng)當(dāng)向各業(yè)務(wù)部門明確數(shù)據(jù)使用處理規(guī)則和防護要求,尤其是業(yè)務(wù)部門在數(shù)據(jù)共享交換的場景下,應(yīng)當(dāng)對申請的數(shù)據(jù)資源范圍、期限進行明確;

      ?? 參考DSMM模型內(nèi)容,開展數(shù)據(jù)安全風(fēng)險評估,了解目前的數(shù)據(jù)安全工作程度,也可完善高校的數(shù)據(jù)安全檢查內(nèi)容,作為定期開展安全檢查的依據(jù)

      ?? 根據(jù)風(fēng)險等級,結(jié)合現(xiàn)有的安全技術(shù)手段,以及部門間業(yè)務(wù)運行、數(shù)據(jù)流轉(zhuǎn)過程,規(guī)劃下一階段的改進和建設(shè)任務(wù)目標(biāo),并針對具體場景的風(fēng)險程度進行優(yōu)先級設(shè)定。



      具體服務(wù)內(nèi)容包括:


      數(shù)據(jù)資產(chǎn)梳理


      以系統(tǒng)級、表級的顆粒度,對針對評估范圍內(nèi)的數(shù)據(jù)開展梳理工作,共計梳理3萬張表、50萬個數(shù)據(jù)字段,數(shù)據(jù)類型覆蓋業(yè)務(wù)數(shù)據(jù)、個人信息等,如流程表單、戶口所在地等。大部分?jǐn)?shù)據(jù)為“個人身份信息類”、“個人財產(chǎn)信息類”等敏感個人信息,如戶口地址、一卡通卡號、余額等。

      基礎(chǔ)環(huán)境風(fēng)險評估


      對系統(tǒng)和數(shù)據(jù)庫服務(wù)器進行安全掃描、安全配置核查和分析,以及對數(shù)據(jù)權(quán)限分配情況的探查,發(fā)現(xiàn)配置的不合規(guī)項。例如高權(quán)限的廢棄賬戶,美創(chuàng)結(jié)合實際需求提出了整改修復(fù)建議。

      數(shù)據(jù)安全能力評估


      結(jié)合高校現(xiàn)狀以及對數(shù)據(jù)安全管理的目標(biāo)訴求,從組織建設(shè)、制度流程、技術(shù)工具和人員能力等方面,分別對標(biāo)數(shù)據(jù)安全能力成熟度模型(DSMM)二級和三級能力要求,從差距分析的結(jié)果來看,組織與三級能力仍存在較大差距,故后期若開展能力規(guī)劃,可先設(shè)定到二級,再逐步進行推進。


      圖片

      數(shù)據(jù)安全合規(guī)評估


      根據(jù)所在教育(高校)行業(yè)和地區(qū)的法律法規(guī)、政策規(guī)范等,進行篩選、識別、關(guān)聯(lián)分析,對相關(guān)條款逐一進行闡述,根據(jù)現(xiàn)狀進行對標(biāo)分析。通過合規(guī)評估工作,除了發(fā)現(xiàn)潛在的合規(guī)風(fēng)險,也幫助高校對數(shù)據(jù)安全相關(guān)政策要求有了更進一步理解。本次合規(guī)評估主要參考文件如下:


      圖片

      數(shù)據(jù)安全風(fēng)險評估


      數(shù)據(jù)安全風(fēng)險評估是以圍繞數(shù)據(jù)全生命周期的數(shù)據(jù)處理活動,采用了定性和定量相結(jié)合的風(fēng)險分析方法,對數(shù)據(jù)資產(chǎn)面臨的威脅、存在的弱點、造成的影響,以及三者綜合作用所帶來風(fēng)險的可能性的評估。通過風(fēng)險分析,發(fā)現(xiàn)數(shù)據(jù)在全生命周期的處理活動中,均存在不同程度的風(fēng)險。


      圖片



      數(shù)據(jù)安全建設(shè)規(guī)劃


      在管理層面,根據(jù)行業(yè)、地區(qū)、上級要求以及高?,F(xiàn)行制度,結(jié)合實際場景,制定了《個人信息保護管理辦法》、《數(shù)據(jù)全生命周期安全管理制度》、《數(shù)據(jù)分類分級規(guī)范》、《數(shù)據(jù)安全事件應(yīng)急預(yù)案》、《數(shù)據(jù)安全監(jiān)督檢查管理辦法》等制度文件,明確了數(shù)據(jù)在多個階段的安全管理要求。同時對多個現(xiàn)行的制度內(nèi)容進行了審查,提出了優(yōu)化建議以及持續(xù)關(guān)注點,如網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案、數(shù)據(jù)共享交換規(guī)范等。


      在技術(shù)層面,結(jié)合具體的數(shù)據(jù)使用場景,根據(jù)風(fēng)險情況提出下一步的整改建議,包括技術(shù)手段、依托產(chǎn)品工具的建設(shè)方式、建設(shè)周期、建設(shè)優(yōu)先級等。




      成果價值


      通過本次數(shù)據(jù)安全治理咨詢,該高校明晰了當(dāng)下數(shù)據(jù)資產(chǎn)的重要性以及潛在的安全風(fēng)險,確定了下一步的工作任務(wù)和重心,主要產(chǎn)生的成果價值如下:


      • 厘清了數(shù)據(jù)資產(chǎn)敏感程度:通過資產(chǎn)梳理明晰了目前數(shù)據(jù)的規(guī)模、敏感程度,以及存在的廢棄數(shù)據(jù)。結(jié)合風(fēng)險評估結(jié)果識別出存在中、高風(fēng)險級別的數(shù)據(jù)資產(chǎn),同時以同行業(yè)最佳實踐做法為參考,討論現(xiàn)有的分類分級策略的合理性,提出了數(shù)據(jù)分類分級的改進方向。

      • 落實了數(shù)據(jù)安全主體責(zé)任:依據(jù)教育部發(fā)文以及現(xiàn)行的數(shù)據(jù)管理相關(guān)制度,在現(xiàn)有的部門職責(zé)定義的基礎(chǔ)上進行了修訂和更新,按照“誰主管誰負(fù)責(zé)、誰運營誰負(fù)責(zé)、誰使用誰負(fù)責(zé)”的原則,與信息中心討論并重新定義了“數(shù)據(jù)主管部門”、“數(shù)據(jù)運營部門”、“數(shù)據(jù)使用部門”三大數(shù)據(jù)職能機構(gòu)的責(zé)任和義務(wù)。

      • 健全了數(shù)據(jù)安全管理體系:參考ISO四層體系要求和DSMM模型,規(guī)劃數(shù)據(jù)在各個階段、場景的安全管理規(guī)范和流程,通過逐步建立具體的安全操作規(guī)范和流程,制定更具體的約束性措施,全面滿足管理需求。在本項目過程中落實的部分制度內(nèi)容,也在一定程度上完善了高校的數(shù)據(jù)安全管理體系。

      • 提升了數(shù)據(jù)安全防護理念:目前數(shù)據(jù)安全整體缺乏體系化建設(shè),沒有從數(shù)據(jù)全生命周期來考慮數(shù)據(jù)安全建設(shè),僅基于合規(guī)要求部署網(wǎng)絡(luò)安全設(shè)備或單點防御、檢測設(shè)備,造成風(fēng)險隱患。通過從數(shù)據(jù)處理風(fēng)險較高的場景入手,結(jié)合現(xiàn)有的安全技術(shù)手段,以及部門間業(yè)務(wù)運行、數(shù)據(jù)流轉(zhuǎn)過程,規(guī)劃建立圍繞數(shù)據(jù)資產(chǎn)的安全保障體系。

      上一條:關(guān)于數(shù)據(jù)庫安全審計的小故事
      下一條:數(shù)據(jù)庫安全審計適用于什么場景?
      免費試用
      服務(wù)熱線

      馬上咨詢

      400-811-3777

      回到頂部