基于CDPSE國際認證標準的數(shù)據(jù)隱私保護微專業(yè)構建研究*

歐陽國軍，歐陽卓然，趙艷玲

（1. 廣東農工商職業(yè)技術學院，廣東 廣州 510507；2. 北京嘀嘀無限科技發(fā)展有限公司，北京 100045）

近年來，各種轟動一時的電信詐騙案件和隱私泄露事件都是由數(shù)據(jù)泄露引發(fā)的，對數(shù)據(jù)隱私保護的需求迫在眉睫．為了保證數(shù)據(jù)和隱私的安全，世界各國都在不斷加強立法，美國、歐盟先后制定《2018年加州消費者隱私法》和《通用數(shù)據(jù)保護條例》，我國先后出臺了《網絡安全法》、《電子商務法》、《數(shù)據(jù)安全法》和《個人信息保護法》．

2020年5月，國際信息系統(tǒng)審計和控制協(xié)會（ISACA）發(fā)布了CDPSE（Certified Data Privacy Solutions Engineer，數(shù)據(jù)隱私解決方案工程師）認證[1]，對評估、構建和實施全面隱私保護解決方案所需的技術技能進行驗證，應對各國政府、企業(yè)對數(shù)據(jù)隱私保護合格專業(yè)人員的巨大需求．

在我國，由于數(shù)據(jù)對政府部門、企事業(yè)單位管理的影響近幾年才開始重視并得到利用[2]，相關的數(shù)據(jù)安全保護和隱私保護專業(yè)人才較少，利用數(shù)據(jù)進行分析工作的基本上是原來的網絡管理人員，其專業(yè)素質、技術能力達不到要求．并且，專門進行數(shù)據(jù)安全和隱私保護的管理人員缺乏，無法形成對政府部門、企事業(yè)單位數(shù)據(jù)安全與隱私保護工作的有效管理．

目前，我國高校還沒有培養(yǎng)數(shù)據(jù)隱私保護人才的專業(yè)．為解決數(shù)據(jù)隱私保護人才短缺的問題，主要采取集中培訓、輪崗培訓、轉崗輪訓等方式，提高信息安全團隊人員的專業(yè)素質，通過政府、企事業(yè)單位宣傳數(shù)據(jù)安全和隱私保護知識，提高相關人員的數(shù)據(jù)隱私保護意識．

“微專業(yè)”是指根據(jù)就業(yè)需要，為學習者提供特定專業(yè)的專門課程體系，學習者在完成課程和通過考核后獲得專業(yè)認證[3]，使學習者能夠在短時間內系統(tǒng)地、專業(yè)地掌握相關工作場所的技能和工作方法，幫助他們滿足相關工作需求，實現(xiàn)專業(yè)技能提升和快速就業(yè)[4]．通過開設與數(shù)據(jù)隱私保護高度相關的系列課程和項目實踐，快速培養(yǎng)學生數(shù)據(jù)隱私保護的核心知識和技能，解決高校專業(yè)設置與國家部門、企事業(yè)單位需求相適應的問題．

因此，開展基于 CDPSE認證的數(shù)據(jù)隱私保護“微專業(yè)”課程體系建設具有重要的現(xiàn)實意義．

1 微專業(yè)培養(yǎng)模式

“微專業(yè)”這一概念最早是由美國 MOOC平臺 EDX提出，2013年 9月，該平臺推出“XSeries”（X 系列課程），定位于以職業(yè)為導向的大眾化領域，學習系列課程后可獲得認證證書[5]．2014年1月，Coursera平臺推出掌握特定領域專業(yè)技能的專項課程，強調專業(yè)技能與實踐性，學習者參加畢業(yè)項目，可以獲得認證證書[6]．2014年6月，Udacity與IT科技企業(yè)共同研發(fā)“Nanodegrees”職業(yè)技能認證項目，學習者學習企業(yè)提供的與某職業(yè)崗位高度相關的課程，獲得認證證書[7]．

網易云課堂在2015年4月開設了《前端開發(fā)工程師》等3個微專業(yè)課程，是國內最早開設“微專業(yè)”的機構，并將微專業(yè)定位于“針對職業(yè)崗位的體系化培訓課程”[8]，由多門結構清晰、邏輯嚴密的MOOC課程構成完整嚴謹?shù)慕虒W內容，向學習者提供了一系列先進、實用和專業(yè)的課程，直擊就業(yè)痛點，行業(yè)專家親授，企業(yè)真實案例實踐，助學員成為企業(yè)關鍵性人才．目前，中國大學MOOC、學堂在線等在線教育平臺開設了微專業(yè)，山東大學，華東理工大學，中南大學，同濟大學和浙江財經大學根據(jù)學校的實際情況和社會需求，開設了“微專業(yè)”課程．

綜合國內外微專業(yè)開設的現(xiàn)狀，微專業(yè)的特點是：利用高校、用人單位、社會機構的優(yōu)勢資源，結合真實生產活動的實踐項目，培養(yǎng)適應社會需要的人才[9]．“微專業(yè)”培養(yǎng)模式特征如下：

第一，專業(yè)內容以職業(yè)崗位和技能發(fā)展為導向．從市場和就業(yè)導向的角度，根據(jù)社會的需要開設“微專業(yè)”，以提高學生實踐技能和職業(yè)能力為最終目標，解決高校教育覆蓋不到的新技術、新職業(yè)、新崗位的矛盾．

第二，專業(yè)課程體系性強．“微專業(yè)”課程是一套完整專業(yè)體系，確保學習者有機會透過課程獲得全面的知識和技能，包括符合企業(yè)人才需求的企業(yè)實踐項目．學習者選擇某一領域的3-10門核心課程，通過六個月或一年的學習，能夠在相對較短的時間內有針對性掌握某項技能．

第三，專業(yè)課程體現(xiàn)校企融合．在平臺、企業(yè)、高校和行業(yè)專家參與的“微專業(yè)”課程的開發(fā)和創(chuàng)建中，其內容基于大學課程，增加企業(yè)實戰(zhàn)演練和實踐項目的比例，反映職業(yè)發(fā)展和職業(yè)能力的需要．

第四，具有專業(yè)認證機制．學習者在完成“微專業(yè)”課程后，會獲得證書，證明已經獲得了相關的知識和技能，達到了“微專業(yè)”教學的目的．認證機構最好能得到社會廣泛認同，從而提高“微專業(yè)”的含金量．

2 CDPSE認證

CDPSE認證是全球首個數(shù)據(jù)隱私和個人信息保護領域基于經驗的IT資格認證．CDPSE認證將隱私和安全融合在一起，主要關注隱私治理、技術架構和數(shù)據(jù)隱私管理操作[10]．獲得 CDPSE證書，證明其具備制定信息隱私策略、建立和管理隱私計劃以及準備和應對隱私事件的能力，能夠協(xié)助政府部門、企事業(yè)單位管理開發(fā)和維護強大有效、符合國際公認的做法和標準的隱私程序．CDPSE認證適合的職業(yè)崗位非常廣泛[10]：（1）負責 IT架構與管理、企業(yè)項目運營、信息安全防護、系統(tǒng)開發(fā)和應用等領域的專業(yè)人員；（2）負責制定、執(zhí)行和運維隱私保護政策和流程的專業(yè)人員，以及與信息技術和數(shù)據(jù)治理打交道的人員；（3）負責評估與審計數(shù)據(jù)隱私合規(guī)、執(zhí)行法律和條例的專業(yè)人員．

CDPSE認證標準框架[10]見圖1．

圖1 CDPSE認證標準框架

3 人才培養(yǎng)模式設計

培養(yǎng)社會急需的 CDPSE認證工程師，非常適合通過建設“數(shù)據(jù)隱私保護”微專業(yè)來進行：有鮮明的行業(yè)特色，社會急需的工程應用，技能適用面寬；專業(yè)內容根據(jù) CDPSE認證標準制定，與國際標準接軌；專業(yè)內涵和核心知識體系以職業(yè)崗位和技能發(fā)展為導向，應用發(fā)展迅速；新興的職業(yè)崗位，教學資源嚴重不足（師資、實驗條件）；國際權威的CDPSE證書頒發(fā)給通過認證的學習者．

3.1 專業(yè)定位

以大學計算機網絡技術、信息安全、軟件設計開發(fā)為基礎，基于政府部門、企事業(yè)單位數(shù)據(jù)安全與隱私保護工作的分工對專業(yè)進行整合與細分，與數(shù)據(jù)隱私保護市場需求緊密結合，形成小而微的在線專業(yè)形態(tài)．

在本科學校，從三年級第一學期開始開設，四年級進行 CDPSE認證培訓與考證．在高職學校，從第4學期開始開設，第六學期進行CDPSE認證培訓與考證．數(shù)據(jù)隱私保護微專業(yè)的課程可以單獨作為一個專業(yè)方向，也可采取課程對接的方式由學生進行選修．

3.2 專業(yè)模型框架

3.2.1 數(shù)據(jù)隱私保護微專業(yè)的構成要素

1）專業(yè)基礎知識：計算機網絡技術、信息安全、軟件設計開發(fā)；

2）職業(yè)技能內容：數(shù)據(jù)隱私體系結構、數(shù)據(jù)生命周期、數(shù)據(jù)隱私治理等 CDPSE標準中規(guī)定的內容；

3）職業(yè)化的實踐項目：產教融合、校企合作建設校內實踐教學基地，在政府機構、企事業(yè)單位建設校外實踐教學基地；

4）職業(yè)通道：數(shù)據(jù)隱私解決方案工程師，與企業(yè)合作打通招聘通道與認證的環(huán)節(jié)．

數(shù)據(jù)隱私保護微專業(yè)模型框架示意圖如圖2．

圖2 數(shù)據(jù)隱私保護微專業(yè)模型框架示意圖

3.2.2 數(shù)據(jù)隱私保護微專業(yè)模型建構在以下方面有獨特的特點

1）與就業(yè)緊密相關的學習對象與人群．（1）在校生：根據(jù)自身需求，計算機網絡技術、信息安全、軟件設計開發(fā)及其他專業(yè)的學生，需要跨專業(yè)就業(yè)的學習者；（2）職場人士：一線隱私防御的專業(yè)人員、從事法務和合規(guī)的專業(yè)人員、流程開發(fā)運維人員等職場人士，針對自己的崗位提升職業(yè)技能或進行轉崗．

數(shù)據(jù)隱私保護微專業(yè)可以為在校生、職場人士、企業(yè)需求提供人才流動的閉環(huán)．

2）依據(jù)CDPSE標準、多方參與共建的課程建設．ISACA發(fā)布了CDPSE認證標準，McGraw Hill出版了 CDPSE Certified Data Privacy Solutions Engineer Exam Guide．在此基礎上，通過校企合作組建課程開發(fā)團隊，以職業(yè)能力模型為基礎，針對數(shù)據(jù)隱私保護崗位進行項目設計、課程設置、體系構建，將為專業(yè)課程與大學專業(yè)課程進行橫向有機綜合，并考慮到國家機構和企業(yè)實際項目的特殊性進行設計，同時，開發(fā)出MOOC課程．

3）基于項目的真實情境學習模式（如圖3所示）．面向每一位學生的數(shù)據(jù)隱私保護領域職業(yè)生涯，以形成其職業(yè)生涯能力為目標，指導個性化的人才培養(yǎng)活動．以社會服務成果、實實在在的創(chuàng)業(yè)項目、教學活動為橫軸，以企業(yè)經營實踐、真正的企業(yè)項目、跨專業(yè)的培訓課程為縱軸，建設生產現(xiàn)場仿真的教學環(huán)境．項目借鑒企業(yè)的實踐經驗，建立合作學習和指導機制．項目開發(fā)基于跨專業(yè)課程系統(tǒng)，同時，跨專業(yè)課程系統(tǒng)建立基于項目開發(fā)，教學活動指導和引領企業(yè)實踐．

圖3 基于項目的真實情境學習模式

4）基于人才的職業(yè)能力的評價模式．以學生職業(yè)生涯發(fā)展作為評價核心要素，教育管理機構、行業(yè)協(xié)會、高等學校、企業(yè)單位、學生等利益共同體多方參與，“項目課程”評價與CDPSE職業(yè)認證融合，學習成果納入國家資歷框架，實現(xiàn)評價可測量和綜合化．

4 課程體系構建

課程體系構建是數(shù)據(jù)隱私保護微專業(yè)的專業(yè)定位和培養(yǎng)目標實現(xiàn)的關鍵．構建數(shù)據(jù)隱私保護微專業(yè)課程體系的基礎是CDPSE認證標準（見圖1）和數(shù)據(jù)隱私解決方案工程師工作任務[11]，如圖4．

分析 CDPSE認證標準、數(shù)據(jù)隱私解決方案工程師工作任務，與大學計算機網絡技術、信息安全、軟件設計開發(fā)類型專業(yè)的課程體系比較，數(shù)據(jù)隱私保護微專業(yè)的專業(yè)基礎課是計算機網絡、網絡操作系統(tǒng)應用（Windows、各型Linux等）、信息安全保護、程序設計、數(shù)據(jù)庫應用、云計算技術開發(fā)與運維、大數(shù)據(jù)技術應用這幾門基礎課程．

McGraw Hill在CDPSE Certified Data Privacy Solutions Engineer Exam Guide一書中，將CDPSE認證知識體系分成隱私治理（Privacy Governance）、隱私體系結構（Privacy Architecture）、數(shù)據(jù)生命周期（Data Cycle）三個模塊．

為了凸顯課程之間的數(shù)據(jù)隱私保護專業(yè)特性，必須加強課程間知識與技術的整合，課程體系要包涵專業(yè)基礎課（網絡、信息安全、軟件）和專業(yè)交叉課（數(shù)據(jù)），而計算機網絡、網絡操作系統(tǒng)應用、信息安全保護、程序設計、數(shù)據(jù)庫應用、云計算技術開發(fā)與運維、大數(shù)據(jù)技術應用是需要開設的幾門基礎課程，數(shù)據(jù)安全管理是專業(yè)交叉課程．專業(yè)課程的設置，根據(jù)專業(yè)小、核心知識結構集中的特點，選擇隱私治理、隱私體系結構、數(shù)據(jù)生命周期三門專業(yè)課程作為專業(yè)核心課程．具體課程層次體系見表1．

表1所述微專業(yè)課程充分考慮了數(shù)據(jù)隱私保護微專業(yè)的特點，基本涵蓋了專業(yè)知識、技術和技能要求．通識課有助于學生掌握數(shù)據(jù)隱私保護的基本技術，專業(yè)交叉課講授與數(shù)據(jù)隱私保護直接相關的信息安全技術和數(shù)據(jù)隱私保護技術；在專業(yè)課程中，將數(shù)據(jù)隱私權保護的核心主干課程引入到微觀專業(yè)，體現(xiàn)了知識的系統(tǒng)性、小而精的特點．在課程體系中，通識課程和專業(yè)交叉課程與數(shù)據(jù)隱私保護密切相關，突出了它們在數(shù)據(jù)隱私保護中的應用．

5 實踐教學設計

數(shù)據(jù)隱私保護微專業(yè)實踐教學設施、實驗課程開設依托計算機網絡技術、信息安全與管理、軟件技術等專業(yè)．為了幫助學生建立起相應的數(shù)據(jù)隱私保護知識結構，在當前主流的課程模塊實驗中，要將數(shù)據(jù)技術的固有風險和控制措施嵌入實驗過程中，注重數(shù)據(jù)隱私風險防范的實操，加強信息處理設施之中嵌入的數(shù)據(jù)隱私技術應用訓練．

一般而言，數(shù)據(jù)在政府機構、企事業(yè)單位中流動路徑為數(shù)據(jù)中心、網絡/安全設備、計算機主機/移動終端、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應用系統(tǒng)和業(yè)務處理系統(tǒng)，它們之間的關系見圖5．

對照圖5，數(shù)據(jù)流各層都有對應的實踐教學模塊，一些常規(guī)的數(shù)據(jù)隱私保護實踐項目，如賬戶和權限管理、密碼策略、訪問控制策略、系統(tǒng)與軟件補丁策略、數(shù)據(jù)災備方案、用戶訪問軌跡等，在相應的課程實踐環(huán)節(jié)加以安排，在信息安全實訓室[12]進行或通過虛擬仿真系統(tǒng)[13][14]進行．

1）數(shù)據(jù)中心實踐[15]：主要進行基礎設施物理安全、物理訪問控制、環(huán)境控制和系統(tǒng)監(jiān)控等數(shù)據(jù)控制與保護措施的實踐；

2）操作系統(tǒng)實踐：操作系統(tǒng)的注冊表、目錄系統(tǒng)、數(shù)據(jù)文件的更新、權限控制，服務與端口啟停、應用程序和計劃的安裝及運行等實踐；

3）計算機網絡實踐：交換路由、防火墻設備、上網行為管理器針對不同業(yè)務與數(shù)據(jù)的重要參數(shù)安全設置，減少數(shù)據(jù)資產暴露的可能性，有效降低攻擊者的攻擊范圍；防火墻策略、共享策略與控制措施、網絡漏洞掃描、遠程訪問和入侵防御等網絡安全控制措施設置；無線網絡的安全接入相關的DHCP服務器、IP分配設置、基線核查與審核等．

4）數(shù)據(jù)庫實踐：表級、行級、列級的數(shù)據(jù)訪問控制；數(shù)據(jù)庫的滲透測試和漏洞掃描；性能監(jiān)控、活動監(jiān)控、容量管理和數(shù)據(jù)庫審計．

5）信息系統(tǒng)分析、設計與開發(fā)實踐：應用系統(tǒng)安全性、可靠性評測與容災備份；服務器集群及應用容器參數(shù)配置；程序錯誤（error）的處理措施；非必要的服務、協(xié)議、模塊、腳本、對象和API的禁用（或刪除）；服務器應用證書使用設置；應用系統(tǒng)的代碼檢查和版本控制等變更控制設置；滲透測試與漏洞掃描．

6）業(yè)務系統(tǒng)實踐：系統(tǒng)的輸入檢查與校驗等輸入控制配置；風險控制業(yè)務規(guī)則設置；數(shù)據(jù)的核對、匯總、錯誤處理等輸出控制設置；應用系統(tǒng)間數(shù)據(jù)流傳輸?shù)慕涌诳刂拼胧?；制定滿足數(shù)據(jù)安全法和相關行業(yè)法規(guī)條例的數(shù)據(jù)分類與妥善保管措施．

6 結束語

為了滿足政府機關、企事業(yè)單位對數(shù)據(jù)隱私保護人才的巨大需求，本文結合網絡工程（計算機網絡技術，高職）、信息安全（信息安全與管理，高職）、信息安全（信息安全與管理，高職）等專業(yè)的建設實踐和人才培養(yǎng)目標，構建了“數(shù)據(jù)隱私保護”的微專業(yè)人才培養(yǎng)體系，整合了計算機網絡技術、信息安全、軟件設計開發(fā)等專業(yè)資源，與 CDPSE認證國際標準相接軌，多方參與共建人才培養(yǎng)模式；課程建設明確了專業(yè)核心課程的知識內容和技術要求，從知識內容和技術體系上實現(xiàn)了專業(yè)核心課程之間的深度整合；實踐教學設計突出數(shù)據(jù)隱私保護技術與管理的特點；通過“數(shù)據(jù)隱私保護微專業(yè)”的建設與實踐，可以快速培養(yǎng)學生的專業(yè)核心知識和技能，滿足學生的個性化發(fā)展，彌補高校專業(yè)設置與企業(yè)需求相適應的問題，理論學習與實際工作相結合，學習者就業(yè)能力快速提升．

在下一階段的工作中，需要不斷建立和完善“數(shù)據(jù)隱私保護微專業(yè)”生態(tài)圈，主要與國家機構、企事業(yè)單位、其他高校密切合作，共同開發(fā)，打造區(qū)域性、全國性的“數(shù)據(jù)隱私保護微專業(yè)”平臺，為“數(shù)據(jù)隱私保護微專業(yè)”的快速發(fā)展提供可靠支撐．