美國高等院校面臨嚴峻的數據挑戰
——EDUCAUSE2019 年度十大IT 議題（一）

文/Susan Grajek & the 2018-2019 EDUCAUSE IT Issues Panel

上世紀90 年代，基因組計劃面臨的重大挑戰都是基礎性的，當前高等教育和信息技術面臨的挑戰也同樣如此。經過了近十年的關注和努力，發現我們仍然處于整個數據征程的起點：要可靠和準確地應用數據，實際上還要對數據進行“測序”。2019 年，我們集中關注數據的組織、標準化和安全保護，旨在利用數據來應對最迫切的重點事項：學生成就（Student Success）。因此，2019 年十大IT 議題的副標題被命名為“學生基因組計劃”。

2019 年度十大IT 議題包括：信息安全戰略（Information Security Strategy）、 學生成就（Student Success）、 隱私（Privacy）、學生為中心的院校（Student-centered Institution）、數據集成、數據賦能的院校（Data-enabled Institution）、持續的經費投入（Sustainable Funding）、數據管理和治理（Data Management and Governance）、 綜合性的首席信息官（Integrative CIO）、 高等教育的經濟承受力（Higher Education Affordability）。這十項議題被分為以下三類主題。

更加自主的學生（Empowered Students）：在推動提升學生產出成果的過程中，學校領導者們越來越關注個體學生，關注他們的生活環境和整個教學過程。領導者們越來越依賴于數據分析和信息技術來在學生持續、持續和其他成果方面取得進步。

受到信任的數據（Trusted Data）：這是學生基因組計劃的基礎工作，即對數據進行“測序”。學校領導者們收集、獲取、集成、組織、標準化和保護數據，并準備好認真地和符合倫理地利用數據。

21 世紀的業務戰略（21-centry Business Strategy）：學校領導者們面臨財政挑戰，同時也準備參與到競爭更激烈的未來行業生態之中。信息技術已經嵌入到了教學、研究和業務運轉之中，也必須要嵌入到學校的整體戰略和業務模型中。

十大IT 議題中的每個議題單獨來看都是由一些挑戰和相應戰術組成。有那么多的事情要做，該從哪里入手？通過“學生基因組計劃”，高等教育就能夠賦予學生自主權；能夠充分地理解數據，從而對數據和信息技術的利用取得最佳效果；并且能夠采納那些在21 世紀實現事業成功所必需的業務戰略。

議題一：信息安全戰略

制定基于風險的安全戰略，從而有效地檢測、響應和防范安全風險和挑戰。

確保學校數據和系統的安全是極度重要的事情。威脅在不斷增強，我們需要加速努力，將安全保障全面集成到IT 戰略和措施的各個方面。有效的信息安全戰略會運用以風險為焦點的多層次戰略來為學校提供安全保障。這需要舉全校之力，每個人都要參與其中，而不僅是IT 部門或首席信息安全官（CISO）的工作。如果每個人都做好自己的那部分工作，我們就可以在學校的安全保障中取得更大進步。

信息安全的關鍵詞是風險，重大的信息安全破壞會嚴重損害學校的聲譽和財務健康。

IT 部門之外最關心此事的應該是誰？

校長、法律顧問、董事會、首席財務官（CFO）和公眾視野中可見的其他人。當成為媒體焦點時，學校的負責人都會關心。他們有必要的資金，可以用于在壞事發生前降低風險。

數據管理者。他們要對教職工和學生的個人信息的收集、維護和報告負責；要關心他們收集到的信息所面臨的任何風險；要采取具體措施和信息安全團隊共同維護數據和保護數據安全。

認識誤區

技術方案足以應對信息安全風險和威脅。學校如果僅靠技術方案來應對風險和威脅，就低估了人員和業務流程的關鍵地位。任何個人都可能會引發重大破壞，這就意味著信息安全是每個人的事情。

對IT 人員而言，安全是正式工作之外的附加事務，安全需要嵌入到當前運行的IT 計劃和操作中。

只有破壞事件發生時，安全才會消耗經費和時間。在安全上投入的任何經費和時間都是以影響其他領域中的進步為代價的。通過日常開支投入安全經費依然是當前的最佳選擇，因為處理破壞事件比采納最佳實踐的成本要高很多。

常見的陷阱

學校領導對信息安全項目的支持不夠積極，拖慢了爭取全校關注的努力。作為學校內的關鍵影響者，校長、教務長、副校長和院長必須有對信息安全項目的投入、標準、要求和指南提供支持的意愿。

由于近年來沒有問題發生，學校認為自己的信息安全狀態是足夠良好的。然而，未發生重大事件并不意味著學?？梢酝Ｖ?、減緩甚至退出對信息安全項目的投入。實際上，有些破壞情況可能存在若干年卻未能發現，因此，學校應當增加和強化在信息安全項目上的投入。

蘊含的機遇

成功地維持基于風險的有效信息安全戰略，學校就可以避免遭受財務、資金和聲譽上的嚴重損失，也更加值得信任。這種信任將會有利于學校與校友、捐贈者、家長、學生和資助機構之間的關系。當爭取信息安全領域的研究經費時，或者當爭取那些因數據本身性質而極度注重安全的研究經費時，學校將獲得競爭優勢。而且，學校的資源不必用于處理破壞事件而可以有更好的用途。

建議

起步

加入高等教育的信息安全實踐社區，在美國值得注意的有科研教育網絡信息共享和分析中心（Research and Education Networking Information Sharing and Analysis Center，RENISAC），以及由高等教育信息安全理事會（Higher Education Information Security Council，HEISC）領導的EDUCAUSE 網絡安全項目。各類高等教育信息技術聯盟中也有規模略小但更加聚焦的實踐社區。高等教育正在做斗爭的安全問題和其他行業類似，不過高等教育的從業者更樂于分享信息，包括那些最敏感事件的細節情況，因此我們可以互相學習。

將信息安全的責任明確落實到個人，哪怕是工作崗位的一部分。如果由你來承擔這份責任，那么你就要和其他學?；蛘吆褪紫畔踩伲–ISO）合作，學習和利用有效的最佳實踐。與那些能在你艱難處理問題時提供幫助和建議的人形成緊密合作，這要比全部靠自己來解決問題要有效的多，因為這些問題往往真的很大而且來的很快。

進階

與信息安全領域以外的人以及IT 部門以外的關鍵人物、相關者和決策者建立合作關系。學校必須在整體上認識到信息安全的重要性。因而相關信息的對外傳播也是IT 安全項目進展的一部分。

基于現狀不斷評估是否有更好的或更有效的做法或系統。利用諸如HEISC 提供的資源，來評估進度和判斷差距所在，從而在適當的領域中集中精力，為推進信息安全建設而制定基于風險的全面方案。

采納對各種信息安全要求加以概要描述的業界框架和最佳實踐，從而符合各項法律和制度要求。

優化

每年進行至少一次第三方審計或評估，以評價控制措施并幫助決定是否存在差距。如果可行，考慮進行同行評議。

利用現有的關系網。不要局限自己、只關注高等教育界,可以從企業界和其他行業中也可以學到很多。

回饋社區。講出自己的故事，并且要經常講。

行業生態中的機會

高等教育界中致力于改進信息安全戰略的聯盟的作用是無價的，要不斷拓展和演進以支持不斷變化的場景。HEISC、REN-ISAC、OmniSOC 以及其他團體在應對安全挑戰方面為大家提供了最優秀的思想和最先進的實踐。當我們重視風險并首先解決最急迫的問題時，這些團體大有裨益。畢竟，高等教育界體量太大、過于多樣，而且要解決所有安全風險實在是太復雜了。

高等教育界正在投入云技術，這需要廠商和學校技術人員之間形成強有力的合作，同時也需要對現有控制措施加以評估來保護數據安全。HEISC 開發的高等教育云供應商評估工具對此很有幫助。另外一個好的舉措是召集行業聯盟和安全組織來構建專業知識，為安全地啟用和管理在微軟Azure、谷歌、亞馬遜AWS和其他云服務商部署的資源制定指南。

議題二：學生成就

IT 部門要作為其他校內單位的可靠伙伴，共同推動和完成學生成就計劃。

學生成就主題在過去幾年中變得尤為突出，這是一系列議題結合的結果：（1）州立法機關根據學生表現而撥款；（2）校董會和家長關注程度提高；（3）出現了全國性的學生成就計劃和項目，包括由基金會等團體設立的；（4）學校意識到提高學生的持續率和畢業率是當務之急，而且為此開始集中力量。幫助學生取得成就的流程是在信息技術促進下形成的。因此，IT 部門必須作為合作伙伴參與到學校推動學生進步的解決方案中。

高等教育以學生成就為本。我們從事高等教育正是為了教育學生，讓他們做好準備走向世界取得成就。無論我們從哪個角度看待這個問題，經費、技術或者外部力量，最終的核心使命都是為了學生能做好準備。

IT 部門之外最關心此事的應該是誰？

教務長、校長或董事會。這是因為：（1）為了在合理的時間內取得效果，應當由他們集中人們的注意力并團結大家共同努力；（2）各州之內學校之間的相互區別也在于是否受到了這些高層領導的重視。

關心和致力于學生生活或學生成就的各個職能部門。這些部門的成員當然會照料學生，不過如果他們僅僅分別負責單項事務的話，這項努力就不太可能會成功。學生成就項目通常都需要教師、輔導員、學生、課程設計師、招生官員等各個領域的人員團結行動和協同前進。

教師。因為他們身處教學一線，而且處于知曉學生需要支持的時機以及向學業困難學生伸出援手的最佳位置。

認識誤區

學生成就計劃在啟動后不久就可以完成。這些計劃是可能會持續幾十年，甚至更久的社會實驗。其中的挑戰是復雜和嵌套的：來自哪些源頭的哪些數據會被哪些人用來在哪些時間限制下做出哪些決定并造成哪些后果？

學生成就是單個領域或部門的責任。這些問題的復雜性需要各類人員的共同投入和努力，才能確保所有的利益相關者都向同一方向前進。沒有這些投入和努力的話，學校就不可能取得預期的收獲。對于匯集各方力量的需求也是IT 部門成為校園整合者的機會。

學生成就是學生自己的問題。當生活或者學校本身成為學生取得成就的阻礙時，學校要推動學生取得成就，通過采取面向個人的方法為個體學生提供直接幫助，如為忘記填寫經濟資助申請或忘記選課的學生提供幫助等。

常見的陷阱

劣質的數據催生低劣的決策，這可不是一個你想做出低劣決策的領域,數據也需要解鎖。某些人認為他們的工作就是將數據據為己有不允許他人染指，這往往成為計劃進度的阻礙。

學校領導者要將思考和關注轉向個性化、預測性的方法，消除學生面臨的風險。他們必須策劃如何系統地消除失誤。

我們不能允許學生成就項目將所有事物都變成數字，認為數字為推動采取行動提供了充足的指導，這是個很誘人的想法。不過如果我們忘記了數字背后是活生生的人的話，這就非常危險了。

隱私和倫理會面臨威脅。當教師和輔導員看到某些數據將一個學生認定為高風險時，他們會加倍努力來幫助他，還是認為他注定要失??？在采集哪些數據、如何使用數據、哪些人可以看到數據以及如何處理數據等方面，學校必須要非常謹慎，而且要保持一定程度的個人隱私。

蘊含的機遇

預計未來10 年內高中畢業生的數量將會下降，對于學院和大學的未來而言，學生的持續性至關重要，那些成功使學生順利畢業的學校才能生存下來。

精通于變革管理的學校正在為了其他可能而轉型。這些學校從成功中提取經驗，用以應對其他挑戰。而且，達到精通程度的這些學校做了最好的準備，從損失/收益的角度對投資回報率（ROI）進行了深入分析。

最后，這些精通于學生成就的學校也可以為學生成就的理論和應用研究做出貢獻，也許會形成新的研究分支或者領域。

建議

起步

找到學生成就方面的一個流程并為此集中力量。最為常見的情況是，學?；蚋鱾€單位試圖尋求“萬能靈藥”或者終極軟件來解決學校中的所有毛病。然而，有時候用一張簡單的工作表從范圍有限的一組議題或問題開始入手是最好的。

牢記每個學生都是獨特的個體。學生成就實際上并不是同一件事：幫助一個學生取得成就的事物未必能在另一個學生那里奏效。許多公司出售的平臺吸收了學校數據后提供儀表盤來幫助確定下一步措施。不過，學校為了學生成就而真正采取案例管理方法的話，就會超越數據去嘗試理解每一位學生的問題：沒有保姆、沒有停車位、沒有工作、無法在課堂時間出勤等。擅長于學生成就的學校對學生采取了整體視角，不僅局限于數據或學業因素，而且圍繞“做任何可做之事”的策略加以組織。

進階

大量的極其誘人的項目正在全國和全世界范圍內的小型、大型學校乃至社區學院中開展。與創新開展了學生成就計劃的學校進行個別接觸，特別是更關注定性數據的學校，而不是那些僅關注傳統量化數據的學校。

接受這樣的一個概念，即學生成就計劃是長達一代人的，而且永遠不會達到100%。達到60%就要瞄準70%，達到85%則要向著90%而奮斗。學生成就和畢業率的目標越高，更上一層樓的難度也就更大。

優化

關注計劃的可持續性，做到即使若干關鍵人物離開學校，項目的勢頭也不會削弱。退后一步來確定長期可持續性；對部門內部的人員進行投入，從而使得即便人事變動發生的時候學校還可以繼續保持增長。

持續地與和你處于同樣狀態的人們溝通，學習了解他們下一步的想法和突破點，做好長期準備。要讓學校達到應有的水平可不是幾年之間的事情，而經常是幾十年甚至更久。

行業生態中的機會

學生成就領域中存在多層行業生態。在全國層面有資助機構、研究基金、高校項目，以及開展行動或者共享信息的產業聯盟。有些聯盟想要高校參加，有些邀請高校參加，還有些對共享信息的高校提供收益。對于有些解決方案供應商建立的產業聯盟，不少高校認為是十分寶貴的。新出現的縱向聯盟很有發展前景。例如，中佛羅里達教育生態數據庫（Central Florida Education Ecosystem Database，CFEED）就是由兩個主要的K-12 學校系統、巴倫西亞學院（Valencia College）和中佛羅里達大學（University of Central Florida）組成的。他們構建了一個基于云的數據“湖”和相應的數據分析工具，其目標是理解如何能促使學生在這些教育系統中無縫銜接地取得學位。

議題三：隱私

保護院校成員的隱私權利，并持續落實各類受限數據的保護責任。

隱私與適當地處理學校手機、創建、存儲、共享、使用和銷毀個人身份信息有關，隱私關系到每個人。離開敏感的個人信息，學校無法注冊學生、聘用人員、開展研究和達成組織使命。要辨別學校在信息保護中的角色，關鍵在于掌握數據收集的范圍、使用的場所和方式。

IT 部門之外最關心此事的應該是誰？

法律總顧問。他們需要從法律角度對隱私問題提出建議，確保學校成員遵守隱私規定，特別是當新的法律和規章實施的時候。

數據管理者。他們必須不可或缺地參與到所控制的數據和信息的隱私管理之中。

利用敏感的個人數據來完成工作的部門和個人。如研究者、注冊官員、財務部門、醫療部門、國際事務和人事部門等，因為他們必須正確地處理信息。

圖書館。圖書館應當對他們的顧客的隱私有特別的關注和敏感性，尤其是那些有時為了敏感主題或個人需要而利用圖書館資源的內部和外部人員。

認識誤區

提及隱私，人們的想法首先都圍繞著保護和安全，他們認為隱私就是要對某些東西進行加密。然而，隱私要比安全的內涵更廣，隱私包括在使用個人數據時尊重他們的意愿，例如在個人通訊之中是否采用“選擇進入”和“選擇退出”策略。在盡可能的情況下，學校成員應當可以選擇他們想收到哪些通訊信息。人們為了某項用途而提供個人郵件地址，并不代表他們同意用于其他用途。

關心隱私是為了遵守法律規定。遵守法律當然是重要的，不過學校對待其成員隱私的方式也會影響其聲譽。如果人們認為學校處理個人信息的方式體現了對自己的尊重，他們會更傾向于和學校交流并信任學校使用自己的個人數據。

常見的陷阱

著手啟動工作時范圍太寬泛和太局限都有風險。試圖一次性地在多個方面都取得進步的學校，會因不堪重負而無法推進。另一方面，僅專注于一件事情也會導致忽視學校中的其他隱私風險。其中最壞的風險在于，對存放學校大部分敏感數據的主要中心系統的破壞（如ERP 系統）。

學生和教師在教學、研究和學術活動中使用的“免費”服務，以及關于個人愛好和普遍興趣的網站，可能會成為學校數據隱私的重大風險。免費服務并不是免費的，其中也會產生收入，而且往往是來源于對用戶提供的自身信息的有意和無意的利用。

如果對人們在互聯網、網頁工具和社交網站上行為的研究數據沒有得到適當的處理，那么可能會對研究人員在此領域中的持續研究造成障礙。這是當前學校審查委員會（Institutional Review Board）通常應當小心，并且能夠做到的地方。

蘊含的機遇

如果學校決定將信息視為資產而加以管理，正如當前對設備管理的那樣，那么就更可能會擅長面對隱私問題。信息是誰的、有哪些、在哪里？學校回答好這些問題，就可以運作得更加有效和安全。

擅長于此的學校會教育學生和賦予他們能力來做出隱私相關的決定，關于他們的數據是如何被收集和利用的。這是相當好的成果，因為我們正在為世界、政府和社群培養知道如何管理他們的數據和隱私的公民。

建議

起步

在從事隱私工作的崗位上安排人員，讓他們有時間致力于隱私保護。在理想情況下，隱私專員（“首席隱私官”的頭銜可有可無）不應該是承擔持續業務運行和應急職責的人員，因為這樣的話隱私將會是他們事項列表中的最末一項。

為綜合性的項目打下基礎，而不是逐個處理遵守每一部法律的要求。建立通用的資源和渠道來幫助學校社群理解和解決隱私問題，制定滿足絕大部分法律和制度要求的隱私策略。

進階

借助自評工具或外部專家力量，列出現狀清單。對于每個活動領域，評估當前項目的成熟度。與全校范圍內的利益相關者合作，發現差距并排出優先級，然后消除最大的風險。當前差距通常要參考最近出臺的GDPR 和CCPA 等數據保護法律。

幫助人們理解他們的個人隱私問題來推動全校參與。將學校的隱私要求和教職員工希望自己的個人數據的處理方式結合起來?？梢栽诿磕? 月28 日慶?！皵祿[私節”，開展加密技術普及運動（Cryptoparty）。

優化

將隱私責任提升到學校領導層面并擴大到全校范圍。建立學校隱私保護委員會或理事會，納入隱私保護方面的主要行動者。

在符合法律和制度要求的基礎上再進一步。如果學校內的各方相關者能參與隱私保護，他們就會有更加寬廣的視野，并且可以發現學術研究、社群參與、人力資源和學生數據之中凸顯學校隱私管理的機會。

行業生態中的機會

EDUCAUSE 正在采取措施來支持隱私保護社區。隱私保護社區小組（Privacy Community Group）正式開展討論、合作和學習的有用論壇。EDUCAUSE 安全專業人員大會現在也有了專門的隱私業務線。