随着数字化转型浪潮的不断推进，数据在教育领域应用范围的不断扩大，作用的不断凸显，教育数据已上升至国家发展战略层面，成为推动教育领域高质量发展的关键要素。教育信息化的深化应用不仅极大地丰富了教育资源，提升了教学效率，也累积了海量的数据资产。但是我国教育体系涉及的人员多、范围广，数据风险敞口尤为多，教育数据安全事件时有发生。

2023年8月，南昌某高校3万余条师生个人信息数据在境外互联网上被公开售卖，该校受到责令改正、警告并处80万元人民币罚款的处罚，主要责任人被罚款5万元人民币。

2023年3月，南昌市公安局发现，江西某职业技术大学师生个人信息疑似遭泄露。经查，该学校未健全全流程数据安全管理制度，未采取数据加密等相应技术措施保障数据安全，导致学校数据库被黑客非法入侵，师生个人敏感信息数据遭泄露。

2022年6月，某知名大学生学习软件的数据库信息被公开售卖，超1.7亿条信息疑遭泄露，公安机关介入调查。

2022年6月，某工业大学声明其电子邮件系统遭攻击，攻击者向师生发送包含木马程序的钓鱼邮件，企图窃取相关师生邮件数据和公民个人信息，经公安机关判定是境外黑客组织发起的网络攻击行为。

2021年9月，济南某所高校的新生个人信息遭到泄露，在微信公众号上可以查询该校新生的个人信息。

越来越多的现象表明，教育数据安全不仅关系到个人隐私的保护，更影响到教育系统的正常运行和整个社会的稳定。因此，确保教育数据的安全性，对于维护教育系统的稳定、保障个人权益、促进教育公平具有重要意义。

国家多层次立法明确教育数据安全要求

随着《个人信息保护法》《数据安全法》《未成年人保护法》《民法典》《网络安全法》《密码法》等法律法规的实施，从顶层规划，为教育领域的数据安全保护工作提出明确要求。

从行政法规维度来看

国务院等机构共出台了九项教育相关的法规或文件，其中在2021年4月，教育部等7部门发布《关于加强教育系统数据安全工作的通知》，提出“要建立教育系统数据安全责任体系和数据分类分级制度，形成教育系统数据资源目录。健全覆盖数据收集、传输存储、使用处理、开放共享等全生命周期的数据安全保障制度，开展常态化的数据安全监测预警通报”等工作目标。

从地方性法规维度来看

福建省在2023年2月发布《教育数字化战略行动三年实施方案》，提出强化数据安全管理，完善数据容灾机制；山东省在2022年5月发布《山东省教育信息化“十四五”规划》提出持续完善网络安全防护体系，全面落实《网络安全法》《数据安全法》《个人信息保护法》等法律法规要求；北京市在2021年7月发布的《北京市教育数据资源管理办法(试行)》提出教育数据资源管理遵循统筹规划、破除壁垒、共享开放、充分利用、安全可控的原则等。

以山东、浙江、宁夏、上海、陕西、内蒙古、北京、广州、天津等为代表的省市，先后印发基于本省市实际情况的教育数据管理办法，并提出“各级各类教育单位应当编制本级教育数据安全规划，建立教育数据安全体系，制定并督促落实教育数据安全管理制度，加强安全保障，确保数据在采集、归集、整合、共享、开放和应用等全生命周期风险可控”等诸多要求。

教育系统数据安全面临诸多挑战

国家相继出台一系列教育数据安全保护的政策法规，为教育行业数据安全治理提供了重要的指导和参考。在数据安全合规要求不断升级和安全事件不断升级的大背景下，教育行业尚且面临诸多挑战。

数据安全监管要求多，合规风险大

我国在法律法规法规、部门规章、地方性法规、技术标准等维度，对教育领域的数据安全保护工作，提出具体细化要求，对教育系统数据安全治理与建设工作提出了合规性要求。

防控手段难抵新生威胁，体系化建设不足

目前许多教育机构在技术防护措施方面，大部分仍依赖原有的网络安全设备，主要是采用文档加密、数据库加密、数据防泄漏和数据库审计等手段，缺少针对数据流转、数据交换、数据存储等环节中专用的数据安全手段，没有形成体系化、层次化的数据安全防护能力。

数据安全意识薄弱，数据外泄风险难控制

高校内部可接触敏感数据的人员类型非常复杂，既有学校内部人员，也有外部的供应商人员，对数据安全法律法规、风险意识理解参差不一，随意访问、私发敏感数据，导致数据外泄，面临较大的内部人员威胁。

内部防护和外部控制手段不足

教育系统内部往往存在数据安全防护措施不健全的问题，如口令策略缺失、弱口令、暴力破解防范机制不足、访问控制机制缺陷、安全审计措施缺失等。这些都增加了数据泄露、被篡改或滥用的风险。

数据资产管理成为难题

教育数据资产的识别、分类分级、保护与全生命周期管理成为难题，尤其是在数据量级巨大、类型多样的情况下，如何确保数据的机密性、完整性和可用性是一大挑战。

构建综合防护体系铸就教育系统数据安全堡垒

针对上述现状与安全需求，道普信息风险管控专家提出，教育行业可以通过构建以合规为底线、以技术为保障的数据安全防护体系，采取全面自查、数据安全治理等手段，加强数据安全建设。

1、开展数据安全评估

数据安全评估是一种专注于评估和管理组织数据资产安全风险的过程，旨在识别、量化和优先处理可能威胁数据机密性、完整性、可用性和可控性的风险。

教育系统数据安全自查应围绕数据安全管理、数据安全防护措施、数据处理活动、个人信息保护要求等几个关键环节展开，检查安全管理责任制、数据资产、外包服务、开发运维、新应用上线、重大数据安全事件、边界防护、访问身份鉴别、访问权限控制、对外接口、数据全生命周期安全，以及个人信息收集使用、安全技术措施、委托处理等。

通过自查，教育系统能够全面审视自身数据安全管理体系的健全性和有效性，及时发现并弥补潜在的安全漏洞，提升数据保护水平。以下是教育系统数据安全自查流程：

资产识别

明确需要保护的数据资产，包括个人信息等，以及它们的重要性和保护级别。

威胁识别

分析可能对数据造成危害的威胁，如恶意代码、网络攻击、内部滥用等。

脆弱性识别

查找系统、网络、应用等层面的安全弱点，这些弱点可能被威胁利用。

风险分析

综合考虑资产价值、威胁的可能性和脆弱性的影响，计算风险值，对风险进行等级判定（低、中、高、极高风险）。

风险管理

基于风险评估的结果，制定相应的缓解措施，如加强数据分类分级管理、加密、访问控制、数据脱敏等，以降低风险至可接受水平。

合规性考量

确保数据处理活动符合《网络安全法》、《个人信息保护法》、《数据安全法》等法律法规要求，涉及数据收集、存储、使用、共享、销毁等全生命周期管理。

2、构建高水平数据安全治理体系

构建高水平的数据治理体系建设，不断开发创新的数据服务，融合目标、流程、方法、工具，建立覆盖数据全生命周期的"数据管理机制、数据管理平台、数据开放平台“框架，实现数据的资产化、可视化、服务化，保障数据的核心价值。

数据资产无疑是推动教育领域高质量发展的重要引擎，但深挖数据安全的风险源，构建坚实的数据安全保护体系已刻不容缓。在这一过程中，重视数据安全管理的每个环节，包括风险识别、防护措施实施、合规性审查以及应急准备，都是确保教育系统稳定与学生信息安全的关键。

道普信息风险保障专家强调，通过自查或借助专业的第三方数据安全评估机构等手段，来满足逐渐细化的数据监管要求，有效管理数据安全风险，完善组织的合规管理和风险管理工作机制，确保教育数据的安全性、促进教育系统的稳定和发展。