《数据安全法》正式实施后,教育行业数据安全管理要求相继落地,然而如何“合规”具备保障数据处于持续安全状态的能力,已经成为数字经济时代教育持续健康发展必须解答的重要安全问题。
教育行业数据安全建设三大难题
(一)数据资产难梳理
教育行业信息系统庞大,大量的机构数据、人员数据和业务数据很难进行全量梳理;同时由于缺乏专业的数据安全人员和技术手段,面向多种教育业务场景开展数据分类分级工作难度极大。
(二)数据流转不清晰
各个教育业务系统中的人员访问权限不清楚,个人敏感数据流向不清晰,从而无法防范教职工、第三方外包人员等的数据违规使用行为,且发生泄露事件后难以溯源。
(三)合规要求难落实
随着《网络安全法》、《数据安全法》、《个人信息保护法》等法律法规频繁落地,以及教育行业数据安全防护等要求也增加了对政策理解的难度,合规要求往往不知从何做起。
教育行业数据安全防护建设方案
中新赛克认为教育行业数据安全防护建设方案应以法律法规和行业规范为准绳,围绕业务数据产生、传输、存储、使用、共享、销毁的全生命周期,以“技术+管理+运营”为建设方向,面向具体应用场景和数据使用场景构建保护策略,全面防范教育数据流通场景下的风险。
STEP1:建立管理体系
以《网络安全法》《数据安全法》《个人信息保护法》等法律为纲,以《教育系统核心数据和重要数据识别认定工作指南(试行)》和教育行业数据安全防护要求为指导,围绕数据全生命周期,从数据安全角度自顶向下设计并建立教育行业数据安全相关制度规范,包括管理办法、管理流程、分类分级规范及全生命周期数据安全管理策略。
STEP2:梳理数据资产
通过中新赛克数据安全管理平台自动化实现业务信息、系统信息、管理信息、数据信息、安全信息等数据的快速分类分级,梳理教育行业敏感数据,形成《教育行业数据分类分级报告》和《教育行业敏感数据资产清单》,为后续制定数据分类分级安全管控奠定基础。
分类分级依据:
- JY/T 1002-2012《教育管理信息 教育管理基础信息》
- 《教育系统核心数据和重要数据识别认定工作指南(试行)》
- TC260-PG-20212A《网络安全标准实践指南———网络数据分类分级指引》
STEP3:评估安全风险
数据安全风险评估是针对组织数据收集、存储、传输、使用、交换和销毁等活动,遵照风险评估标准规范,从资产和风险两大视角出发,采用定性分析、定量分析等风险分析方法,识别教育信息系统数据相关活动或数据资产所存在的安全风险,生成教育数据资产的全面风险清单,并基于评估结果给出风险处置建议。
评估依据:
- GB/T 37988-2019《信息安全技术 数据安全能力成熟度模型》
- 《江苏省数据安全风险评估规范(试行)》
STEP4:保护数据活动
在数据分类分级的基础上,结合数据安全风险评估发现的风险点和脆弱性,以教育数据安全防护指引要求为指导,构建围绕数据采集、传输、存储、处理、交换和销毁全生命周期的安全防护机制,实现外部威胁进不来、内部数据拿不走、非授权人员看不懂的安全防护效果!
以中新赛克数据安全管理平台为中枢,通过数据资产分类分级、敏感数据发现、流量异常监测、安全风险核查、数据安全流转行为画像等手段对数据采集、传输、存储、共享等数据全生命周期安全风险进行管理与感知,结合一对一、常态化数据安全运营服务,动态、持续保障数据处理活动的有序、安全开展!
中新赛克数据安全管理平台在“2022年首届数据安全大赛”中荣获金奖
STEP5:持续运营优化
在完成数据安全管理体系和安全技术能力建设的基础上,中新赛克帮助教育行业客户安全人员通过数据安全管理平台常态化的数据安全风险监测机制和数据安全态势感知能力时刻把握单位的数据安全情况,及时响应安全事件,并定期开展数据安全风险评估、教育培训,持续化提升数据安全能力成熟度!
核心价值
让数据安全建设有章可循
以国家数据安全法律法规和教育行业数据安全监管规范为准绳,全面动态掌控数据安全方面的差距,并以此为基础完成数据安全治理组织、制度、体系的规划和设计,让数据安全建设有章可循!
让数据安全体系持续有效
构建持续的数据安全运营体系,结合业务的发展、风险隐患的动态变化更新,不断动态调整安全管理、安全防护、安全监测等措施,从而保障教育信息化系统整体安全体系的有效性!
让数据安全合规有效落地
全面契合《数据安全法》、《个人信息保护法》等法律法规以及教育行业数据安全防护要求,助力教育行业用户构建完善的数据安全防御体系,为教育信息化发展保驾护航!
为什么选择中新赛克?