网络数据安全实践分享|宝山区探索开展“基座+应用”模式教育行业网络数据安全风险评估
引言
随着数字经济的快速发展和教育现代化的深入推进,数字化转型已成为推动教育变革的重要途径,教育数字基座应运而生,其作为汇总区教育基础数据的综合性数字化平台,为教育管理部门及其直属单位、学校等提供统一的数字基础设施。宝山区紧跟全市教育数字基座全覆盖部署的步伐,针对“基座+应用”新型业务模式下数据资产庞杂、主体责任交叉、未成年人信息保护要求高等行业痛点,在市委网信办、市教委的统筹指导下,由宝山区委网信办牵头组织,宝山区教育学院开展编制《“基座+应用”模式的教育行业网络数据安全风险评估指导手册》,构建全流程、标准化、可落地的风险评估体系,为教育行业数据安全防护提供可复制、可推广的宝山经验。
一、实践做法
(一)锚定行业特性,构建差异化评估体系
目前教育行业尚未形成成熟的网络数据安全风险评估体系,立足教育行业现有的“基座+应用”业务架构,明确基座方、应用方两大数据处理主体,厘清教育数字基座与各类教学、管理应用之间的联动逻辑、数据交互方式及责任边界。紧扣未成年人个人信息保护、教育核心与重要数据防护两大行业重点,依据《网络安全法》《数据安全法》《个人信息保护法》等法律法规及《数据安全技术敏感 个人信息处理安全要求》(GB/T 45574-2025)等国家标准,设计具体评估指标,实现通用与专项评估的精准适配。
(二)规范实施要点,明确评估操作流程
依据国家标准中的通用评估步骤,结合业务实际形成“评估准备—信息调研—风险识别—综合分析—评估总结”五步评估流程,明确各环节实操要求。评估准备阶段,划定数据与处理活动评估范围,组建评估团队,制定完整评估方案;信息调研阶段,通过标准化调研表,全面摸排业务系统、数据资产、处理活动、安全防护等信息,摸清数据底数;风险识别阶段,从数据安全管理、处理活动、技术防护、个人信息保护四维度,运用访谈、查验、核查等手段定位风险源;综合分析阶段,梳理问题清单、归类风险类型,从危害程度与发生可能性双维度评价风险等级;评估总结阶段,编制规范报告,制定分级整改方案。
(三)识别责任边界,强化合作关系管控
针对基座与应用之间边界不清晰、难界定的情况,围绕委托处理、共同处理、数据提供三类合作关系制定专门判断指引,从“处理目的与方式的控制权”“角色定位”“合同类型”等11个维度建立关键判断指标并给出7步判断步骤,区分委托处理、共同处理、数据提供的法律关系与安全责任。明确委托处理中委托方承担主体责任,受托方越权或违约时承担相应责任;共同处理中需承担连带责任;数据提供中接收方就其处理行为承担责任,提供方就告知、同意等法定义务承担责任,破解合作场景下责任模糊、防护缺位难题。
二、实践成果
(一)摸清数据安全底数,筑牢行业安全防线
依据《教育数据分类分级指南》(JY/T 0661-2025),识别达到重要或核心级别的数据,完成对主要数据资产的分类分级,重点关注不满十四周岁未成年人个人信息,包括其监护人同意的合法性、信息处理规则的专门性以及数据收集的最小必要性,针对数据泄露、越权访问、技术漏洞等典型风险隐患,建立风险台账与整改清单,推动安全防护措施落地,有效防范数据安全事件发生。
(二)形成标准化评估工具,实现评估有章可循
基于上述评估体系与操作流程,编制形成集信息调研表、通用风险识别表、教育行业典型场景风险识别表、基座方与应用方合作关系判断指引、综合分析方法、评估总结模板等于一体的完整指导手册,覆盖教育数据全生命周期,为基座方、应用方自评估,第三方机构专业评估及监管部门检查提供统一标尺,实现了从理论到实践的完整转化。
(三)明确主体责任体系,构建协同防护格局
厘清基座方与应用方在数据收集、存储、使用、传输、删除等环节的安全责任,建立权责清晰、分工明确的协同防护机制,推动教育部门、学校、技术服务商各司其职、联动发力,形成“管理规范、技术可控、责任到人”的教育数据安全防护体系,适配教育数字化转型安全需求。
三、实践经验
(一)合规引领与行业适配,是风险评估的核心要义
教育行业数据安全风险评估必须严守国家法律法规要求,结合行业标准,同时紧扣教育业务特殊性,聚焦未成年人个人信息(尤其是不满十四周岁未成年人个人信息)、其他敏感个人信息以及行业重要数据,兼顾业务开展与安全防护,避免“一刀切”评估,确保评估工作贴合教育行业实际、适配数字化转型节奏。
(二)流程标准化与工具落地化,是评估实施的关键支撑
风险评估的落地见效,离不开标准化流程与实操化工具支撑。宝山区通过简化评估环节、细化调研表单、量化风险评价,让非专业安全人员也能参照《手册》规范开展评估,破解教育行业基层单位安全能力不足、评估难以推进的难题,提升评估工作普适性与可操作性。
(三)安全管理与技术措施并重,是安全防护的根本保障
数据安全是管理与技术深度融合的系统工程,管理制度需要通过技术手段落地,技术措施需要管理制度保障其持续有效。在风险评估实践中,坚持技术与管理并重的原则,以合作关系界定为抓手,明确各方权利义务,强化监督管控,才能有效化解跨主体、跨场景数据安全风险,保障教育数据安全有序流通利用。
结语
宝山区以“基座+应用”模式教育数据安全风险评估为突破口,探索走出一条标准化、专业化、协同化的教育数据安全治理路径。数据安全风险评估不是一次性的合规检查,而是持续改进的动态过程,后续宝山区将持续优化评估体系,推动评估结果与安全建设、资源投入的有效衔接,真正实现以评促建、以评促改、以评促防,为教育行业数字化转型筑牢数据安全底座,护航教育数字化高质量发展。