基于CDPSE国际认证标准的数据隐私保护微专业构建研究*
2022-10-08欧阳国军欧阳卓然赵艳玲
欧阳国军,欧阳卓然,赵艳玲
(1. 广东农工商职业技术学院,广东 广州 510507;2. 北京嘀嘀无限科技发展有限公司,北京 100045)
近年来,各种轰动一时的电信诈骗案件和隐私泄露事件都是由数据泄露引发的,对数据隐私保护的需求迫在眉睫.为了保证数据和隐私的安全,世界各国都在不断加强立法,美国、欧盟先后制定《2018年加州消费者隐私法》和《通用数据保护条例》,我国先后出台了《网络安全法》、《电子商务法》、《数据安全法》和《个人信息保护法》.
2020年5月,国际信息系统审计和控制协会(ISACA)发布了CDPSE(Certified Data Privacy Solutions Engineer,数据隐私解决方案工程师)认证[1],对评估、构建和实施全面隐私保护解决方案所需的技术技能进行验证,应对各国政府、企业对数据隐私保护合格专业人员的巨大需求.
在我国,由于数据对政府部门、企事业单位管理的影响近几年才开始重视并得到利用[2],相关的数据安全保护和隐私保护专业人才较少,利用数据进行分析工作的基本上是原来的网络管理人员,其专业素质、技术能力达不到要求.并且,专门进行数据安全和隐私保护的管理人员缺乏,无法形成对政府部门、企事业单位数据安全与隐私保护工作的有效管理.
目前,我国高校还没有培养数据隐私保护人才的专业.为解决数据隐私保护人才短缺的问题,主要采取集中培训、轮岗培训、转岗轮训等方式,提高信息安全团队人员的专业素质,通过政府、企事业单位宣传数据安全和隐私保护知识,提高相关人员的数据隐私保护意识.
“微专业”是指根据就业需要,为学习者提供特定专业的专门课程体系,学习者在完成课程和通过考核后获得专业认证[3],使学习者能够在短时间内系统地、专业地掌握相关工作场所的技能和工作方法,帮助他们满足相关工作需求,实现专业技能提升和快速就业[4].通过开设与数据隐私保护高度相关的系列课程和项目实践,快速培养学生数据隐私保护的核心知识和技能,解决高校专业设置与国家部门、企事业单位需求相适应的问题.
因此,开展基于 CDPSE认证的数据隐私保护“微专业”课程体系建设具有重要的现实意义.
1 微专业培养模式
“微专业”这一概念最早是由美国 MOOC平台 EDX提出,2013年 9月,该平台推出“XSeries”(X 系列课程),定位于以职业为导向的大众化领域,学习系列课程后可获得认证证书[5].2014年1月,Coursera平台推出掌握特定领域专业技能的专项课程,强调专业技能与实践性,学习者参加毕业项目,可以获得认证证书[6].2014年6月,Udacity与IT科技企业共同研发“Nanodegrees”职业技能认证项目,学习者学习企业提供的与某职业岗位高度相关的课程,获得认证证书[7].
网易云课堂在2015年4月开设了《前端开发工程师》等3个微专业课程,是国内最早开设“微专业”的机构,并将微专业定位于“针对职业岗位的体系化培训课程”[8],由多门结构清晰、逻辑严密的MOOC课程构成完整严谨的教学内容,向学习者提供了一系列先进、实用和专业的课程,直击就业痛点,行业专家亲授,企业真实案例实践,助学员成为企业关键性人才.目前,中国大学MOOC、学堂在线等在线教育平台开设了微专业,山东大学,华东理工大学,中南大学,同济大学和浙江财经大学根据学校的实际情况和社会需求,开设了“微专业”课程.
综合国内外微专业开设的现状,微专业的特点是:利用高校、用人单位、社会机构的优势资源,结合真实生产活动的实践项目,培养适应社会需要的人才[9].“微专业”培养模式特征如下:
第一,专业内容以职业岗位和技能发展为导向.从市场和就业导向的角度,根据社会的需要开设“微专业”,以提高学生实践技能和职业能力为最终目标,解决高校教育覆盖不到的新技术、新职业、新岗位的矛盾.
第二,专业课程体系性强.“微专业”课程是一套完整专业体系,确保学习者有机会透过课程获得全面的知识和技能,包括符合企业人才需求的企业实践项目.学习者选择某一领域的3-10门核心课程,通过六个月或一年的学习,能够在相对较短的时间内有针对性掌握某项技能.
第三,专业课程体现校企融合.在平台、企业、高校和行业专家参与的“微专业”课程的开发和创建中,其内容基于大学课程,增加企业实战演练和实践项目的比例,反映职业发展和职业能力的需要.
第四,具有专业认证机制.学习者在完成“微专业”课程后,会获得证书,证明已经获得了相关的知识和技能,达到了“微专业”教学的目的.认证机构最好能得到社会广泛认同,从而提高“微专业”的含金量.
2 CDPSE认证
CDPSE认证是全球首个数据隐私和个人信息保护领域基于经验的IT资格认证.CDPSE认证将隐私和安全融合在一起,主要关注隐私治理、技术架构和数据隐私管理操作[10].获得 CDPSE证书,证明其具备制定信息隐私策略、建立和管理隐私计划以及准备和应对隐私事件的能力,能够协助政府部门、企事业单位管理开发和维护强大有效、符合国际公认的做法和标准的隐私程序.CDPSE认证适合的职业岗位非常广泛[10]:(1)负责 IT架构与管理、企业项目运营、信息安全防护、系统开发和应用等领域的专业人员;(2)负责制定、执行和运维隐私保护政策和流程的专业人员,以及与信息技术和数据治理打交道的人员;(3)负责评估与审计数据隐私合规、执行法律和条例的专业人员.
CDPSE认证标准框架[10]见图1.
图1 CDPSE认证标准框架
3 人才培养模式设计
培养社会急需的 CDPSE认证工程师,非常适合通过建设“数据隐私保护”微专业来进行:有鲜明的行业特色,社会急需的工程应用,技能适用面宽;专业内容根据 CDPSE认证标准制定,与国际标准接轨;专业内涵和核心知识体系以职业岗位和技能发展为导向,应用发展迅速;新兴的职业岗位,教学资源严重不足(师资、实验条件);国际权威的CDPSE证书颁发给通过认证的学习者.
3.1 专业定位
以大学计算机网络技术、信息安全、软件设计开发为基础,基于政府部门、企事业单位数据安全与隐私保护工作的分工对专业进行整合与细分,与数据隐私保护市场需求紧密结合,形成小而微的在线专业形态.
在本科学校,从三年级第一学期开始开设,四年级进行 CDPSE认证培训与考证.在高职学校,从第4学期开始开设,第六学期进行CDPSE认证培训与考证.数据隐私保护微专业的课程可以单独作为一个专业方向,也可采取课程对接的方式由学生进行选修.
3.2 专业模型框架
3.2.1 数据隐私保护微专业的构成要素
1)专业基础知识:计算机网络技术、信息安全、软件设计开发;
2)职业技能内容:数据隐私体系结构、数据生命周期、数据隐私治理等 CDPSE标准中规定的内容;
3)职业化的实践项目:产教融合、校企合作建设校内实践教学基地,在政府机构、企事业单位建设校外实践教学基地;
4)职业通道:数据隐私解决方案工程师,与企业合作打通招聘通道与认证的环节.
数据隐私保护微专业模型框架示意图如图2.
图2 数据隐私保护微专业模型框架示意图
3.2.2 数据隐私保护微专业模型建构在以下方面有独特的特点
1)与就业紧密相关的学习对象与人群.(1)在校生:根据自身需求,计算机网络技术、信息安全、软件设计开发及其他专业的学生,需要跨专业就业的学习者;(2)职场人士:一线隐私防御的专业人员、从事法务和合规的专业人员、流程开发运维人员等职场人士,针对自己的岗位提升职业技能或进行转岗.
数据隐私保护微专业可以为在校生、职场人士、企业需求提供人才流动的闭环.
2)依据CDPSE标准、多方参与共建的课程建设.ISACA发布了CDPSE认证标准,McGraw Hill出版了 CDPSE Certified Data Privacy Solutions Engineer Exam Guide.在此基础上,通过校企合作组建课程开发团队,以职业能力模型为基础,针对数据隐私保护岗位进行项目设计、课程设置、体系构建,将为专业课程与大学专业课程进行横向有机综合,并考虑到国家机构和企业实际项目的特殊性进行设计,同时,开发出MOOC课程.
3)基于项目的真实情境学习模式(如图3所示).面向每一位学生的数据隐私保护领域职业生涯,以形成其职业生涯能力为目标,指导个性化的人才培养活动.以社会服务成果、实实在在的创业项目、教学活动为横轴,以企业经营实践、真正的企业项目、跨专业的培训课程为纵轴,建设生产现场仿真的教学环境.项目借鉴企业的实践经验,建立合作学习和指导机制.项目开发基于跨专业课程系统,同时,跨专业课程系统建立基于项目开发,教学活动指导和引领企业实践.
图3 基于项目的真实情境学习模式
4)基于人才的职业能力的评价模式.以学生职业生涯发展作为评价核心要素,教育管理机构、行业协会、高等学校、企业单位、学生等利益共同体多方参与,“项目课程”评价与CDPSE职业认证融合,学习成果纳入国家资历框架,实现评价可测量和综合化.
4 课程体系构建
课程体系构建是数据隐私保护微专业的专业定位和培养目标实现的关键.构建数据隐私保护微专业课程体系的基础是CDPSE认证标准(见图1)和数据隐私解决方案工程师工作任务[11],如图4.
分析 CDPSE认证标准、数据隐私解决方案工程师工作任务,与大学计算机网络技术、信息安全、软件设计开发类型专业的课程体系比较,数据隐私保护微专业的专业基础课是计算机网络、网络操作系统应用(Windows、各型Linux等)、信息安全保护、程序设计、数据库应用、云计算技术开发与运维、大数据技术应用这几门基础课程.
McGraw Hill在CDPSE Certified Data Privacy Solutions Engineer Exam Guide一书中,将CDPSE认证知识体系分成隐私治理(Privacy Governance)、隐私体系结构(Privacy Architecture)、数据生命周期(Data Cycle)三个模块.
为了凸显课程之间的数据隐私保护专业特性,必须加强课程间知识与技术的整合,课程体系要包涵专业基础课(网络、信息安全、软件)和专业交叉课(数据),而计算机网络、网络操作系统应用、信息安全保护、程序设计、数据库应用、云计算技术开发与运维、大数据技术应用是需要开设的几门基础课程,数据安全管理是专业交叉课程.专业课程的设置,根据专业小、核心知识结构集中的特点,选择隐私治理、隐私体系结构、数据生命周期三门专业课程作为专业核心课程.具体课程层次体系见表1.
表1所述微专业课程充分考虑了数据隐私保护微专业的特点,基本涵盖了专业知识、技术和技能要求.通识课有助于学生掌握数据隐私保护的基本技术,专业交叉课讲授与数据隐私保护直接相关的信息安全技术和数据隐私保护技术;在专业课程中,将数据隐私权保护的核心主干课程引入到微观专业,体现了知识的系统性、小而精的特点.在课程体系中,通识课程和专业交叉课程与数据隐私保护密切相关,突出了它们在数据隐私保护中的应用.
5 实践教学设计
数据隐私保护微专业实践教学设施、实验课程开设依托计算机网络技术、信息安全与管理、软件技术等专业.为了帮助学生建立起相应的数据隐私保护知识结构,在当前主流的课程模块实验中,要将数据技术的固有风险和控制措施嵌入实验过程中,注重数据隐私风险防范的实操,加强信息处理设施之中嵌入的数据隐私技术应用训练.
一般而言,数据在政府机构、企事业单位中流动路径为数据中心、网络/安全设备、计算机主机/移动终端、操作系统、数据库系统、应用系统和业务处理系统,它们之间的关系见图5.
对照图5,数据流各层都有对应的实践教学模块,一些常规的数据隐私保护实践项目,如账户和权限管理、密码策略、访问控制策略、系统与软件补丁策略、数据灾备方案、用户访问轨迹等,在相应的课程实践环节加以安排,在信息安全实训室[12]进行或通过虚拟仿真系统[13][14]进行.
1)数据中心实践[15]:主要进行基础设施物理安全、物理访问控制、环境控制和系统监控等数据控制与保护措施的实践;
2)操作系统实践:操作系统的注册表、目录系统、数据文件的更新、权限控制,服务与端口启停、应用程序和计划的安装及运行等实践;
3)计算机网络实践:交换路由、防火墙设备、上网行为管理器针对不同业务与数据的重要参数安全设置,减少数据资产暴露的可能性,有效降低攻击者的攻击范围;防火墙策略、共享策略与控制措施、网络漏洞扫描、远程访问和入侵防御等网络安全控制措施设置;无线网络的安全接入相关的DHCP服务器、IP分配设置、基线核查与审核等.
4)数据库实践:表级、行级、列级的数据访问控制;数据库的渗透测试和漏洞扫描;性能监控、活动监控、容量管理和数据库审计.
5)信息系统分析、设计与开发实践:应用系统安全性、可靠性评测与容灾备份;服务器集群及应用容器参数配置;程序错误(error)的处理措施;非必要的服务、协议、模块、脚本、对象和API的禁用(或删除);服务器应用证书使用设置;应用系统的代码检查和版本控制等变更控制设置;渗透测试与漏洞扫描.
6)业务系统实践:系统的输入检查与校验等输入控制配置;风险控制业务规则设置;数据的核对、汇总、错误处理等输出控制设置;应用系统间数据流传输的接口控制措施;制定满足数据安全法和相关行业法规条例的数据分类与妥善保管措施.
6 结束语
为了满足政府机关、企事业单位对数据隐私保护人才的巨大需求,本文结合网络工程(计算机网络技术,高职)、信息安全(信息安全与管理,高职)、信息安全(信息安全与管理,高职)等专业的建设实践和人才培养目标,构建了“数据隐私保护”的微专业人才培养体系,整合了计算机网络技术、信息安全、软件设计开发等专业资源,与 CDPSE认证国际标准相接轨,多方参与共建人才培养模式;课程建设明确了专业核心课程的知识内容和技术要求,从知识内容和技术体系上实现了专业核心课程之间的深度整合;实践教学设计突出数据隐私保护技术与管理的特点;通过“数据隐私保护微专业”的建设与实践,可以快速培养学生的专业核心知识和技能,满足学生的个性化发展,弥补高校专业设置与企业需求相适应的问题,理论学习与实际工作相结合,学习者就业能力快速提升.
在下一阶段的工作中,需要不断建立和完善“数据隐私保护微专业”生态圈,主要与国家机构、企事业单位、其他高校密切合作,共同开发,打造区域性、全国性的“数据隐私保护微专业”平台,为“数据隐私保护微专业”的快速发展提供可靠支撑.