EDUCAUSE2019年度十大IT议题（一）：美国高等院校面临严峻的数据

主页（http://www.kuwanit.com）：EDUCAUSE2019年度十大IT议题（一）：美国高等院校面临严峻的数据

　　编者按

　　美国高等教育信息化协会（EDUCAUSE）2019年年度十大IT议题聚焦于数据的组织、标准化和安全保护，旨在利用数据来面对高等学校最迫切的重点事项：学生成就。2019年EDUCAUSE年度十大IT议题中，几乎每个议题都涉及高等学校面临的数据挑战。正如在科学中那样，要实现高等教育的更加宏伟的目标，关键在于理解那些“最小的部分”。

美国高等院校面临严峻的数据挑战

——EDUCAUSE2019年度十大IT议题（一）

文/Susan Grajek & the 2018-2019 EDUCAUSE IT Issues Panel

　　上世纪90年代，基因组计划面临的重大挑战都是基础性的，当前高等教育和信息技术面临的挑战也同样如此。经过了近十年的关注和努力，发现我们仍然处于整个数据征程的起点：要可靠和准确地应用数据，实际上还要对数据进行“测序”。2019年，我们集中关注数据的组织、标准化和安全保护，旨在利用数据来应对最迫切的重点事项：学生成就（Student Success）。因此，2019年十大IT议题的副标题被命名为“学生基因组计划”。

　　2019年度十大IT议题包括：信息安全战略（Information Security Strategy）、 学生成就（Student Success）、 隐私（Privacy）、学生为中心的院校（Student-centered Institution）、数据集成、数据赋能的院校（Data-enabled Institution）、持续的经费投入（Sustainable Funding）、数据管理和治理（Data Management and Governance）、 综合性的首席信息官（Integrative CIO）、 高等教育的经济承受力（Higher Education Affordability）。这十项议题被分为以下三类主题。

　　更加自主的学生（Empowered Students）：在推动提升学生产出成果的过程中，学校领导者们越来越关注个体学生，关注他们的生活环境和整个教学过程。领导者们越来越依赖于数据分析和信息技术来在学生持续、持续和其他成果方面取得进步。

　　受到信任的数据（Trusted Data）：这是学生基因组计划的基础工作，即对数据进行“测序”。学校领导者们收集、获取、集成、组织、标准化和保护数据，并准备好认真地和符合伦理地利用数据。

　　21世纪的业务战略（21-centry Business Strategy）：学校领导者们面临财政挑战，同时也准备参与到竞争更激烈的未来行业生态之中。信息技术已经嵌入到了教学、研究和业务运转之中，也必须要嵌入到学校的整体战略和业务模型中。

　　十大IT议题中的每个议题单独来看都是由一些挑战和相应战术组成。有那么多的事情要做，该从哪里入手？通过“学生基因组计划”，高等教育就能够赋予学生自主权；能够充分地理解数据，从而对数据和信息技术的利用取得最佳效果；并且能够采纳那些在21世纪实现事业成功所必需的业务战略。

议题一： 信息安全战略

　　制定基于风险的安全战略，从而有效地检测、响应和防范安全风险和挑战。

　　确保学校数据和系统的安全是极度重要的事情。威胁在不断增强，我们需要加速努力，将安全保障全面集成到IT战略和措施的各个方面。有效的信息安全战略会运用以风险为焦点的多层次战略来为学校提供安全保障。这需要举全校之力，每个人都要参与其中，而不仅是IT部门或首席信息安全官（CISO）的工作。如果每个人都做好自己的那部分工作，我们就可以在学校的安全保障中取得更大进步。

　　信息安全的关键词是风险，重大的信息安全破坏会严重损害学校的声誉和财务健康。

　　IT部门之外最关心此事的应该是谁？

　　校长、法律顾问、董事会、首席财务官（CFO）和公众视野中可见的其他人。当成为媒体焦点时，学校的负责人都会关心。他们有必要的资金，可以用于在坏事发生前降低风险。

　　数据管理者。他们要对教职工和学生的个人信息的收集、维护和报告负责；要关心他们收集到的信息所面临的任何风险；要采取具体措施和信息安全团队共同维护数据和保护数据安全。

　　认识误区

　　技术方案足以应对信息安全风险和威胁。学校如果仅靠技术方案来应对风险和威胁，就低估了人员和业务流程的关键地位。任何个人都可能会引发重大破坏，这就意味着信息安全是每个人的事情。

　　对IT人员而言，安全是正式工作之外的附加事务，安全需要嵌入到当前运行的IT计划和操作中。

　　只有破坏事件发生时，安全才会消耗经费和时间。在安全上投入的任何经费和时间都是以影响其他领域中的进步为代价的。通过日常开支投入安全经费依然是当前的最佳选择，因为处理破坏事件比采纳最佳实践的成本要高很多。

　　常见的陷阱

　　学校领导对信息安全项目的支持不够积极，拖慢了争取全校关注的努力。作为学校内的关键影响者，校长、教务长、副校长和院长必须有对信息安全项目的投入、标准、要求和指南提供支持的意愿。

　　由于近年来没有问题发生，学校认为自己的信息安全状态是足够良好的。然而，未发生重大事件并不意味着学校可以停止、减缓甚至退出对信息安全项目的投入。实际上，有些破坏情况可能存在若干年却未能发现，因此，学校应当增加和强化在信息安全项目上的投入。

　　蕴含的机遇

　　成功地维持基于风险的有效信息安全战略，学校就可以避免遭受财务、资金和声誉上的严重损失，也更加值得信任。这种信任将会有利于学校与校友、捐赠者、家长、学生和资助机构之间的关系。当争取信息安全领域的研究经费时，或者当争取那些因数据本身性质而极度注重安全的研究经费时，学校将获得竞争优势。而且，学校的资源不必用于处理破坏事件而可以有更好的用途。

　　建议

　　起步

　　加入高等教育的信息安全实践社区，在美国值得注意的有科研教育网络信息共享和分析中心（Research and Education Networking Information Sharing and Analysis Center，REN-ISAC），以及由高等教育信息安全理事会（Higher Education Information Security Council，HEISC）领导的EDUCAUSE网络安全项目。各类高等教育信息技术联盟中也有规模略小但更加聚焦的实践社区。高等教育正在做斗争的安全问题和其他行业类似，不过高等教育的从业者更乐于分享信息，包括那些最敏感事件的细节情况，因此我们可以互相学习。

　　将信息安全的责任明确落实到个人，哪怕是工作岗位的一部分。如果由你来承担这份责任，那么你就要和其他学校或者和首席信息安全官（CISO）合作，学习和利用有效的最佳实践。与那些能在你艰难处理问题时提供帮助和建议的人形成紧密合作，这要比全部靠自己来解决问题要有效的多，因为这些问题往往真的很大而且来的很快。

　　进阶

　　与信息安全领域以外的人以及IT部门以外的关键人物、相关者和决策者建立合作关系。学校必须在整体上认识到信息安全的重要性。因而相关信息的对外传播也是IT安全项目进展的一部分。

　　基于现状不断评估是否有更好的或更有效的做法或系统。利用诸如HEISC提供的资源，来评估进度和判断差距所在，从而在适当的领域中集中精力，为推进信息安全建设而制定基于风险的全面方案。

　　采纳对各种信息安全要求加以概要描述的业界框架和最佳实践，从而符合各项法律和制度要求。

　　优化

　　每年进行至少一次第三方审计或评估，以评价控制措施并帮助决定是否存在差距。如果可行，考虑进行同行评议。

　　利用现有的关系网。不要局限自己、只关注高等教育界，可以从企业界和其他行业中也可以学到很多。

　　回馈社区。讲出自己的故事，并且要经常讲。

　　行业生态中的机会