编者按

美国高等教育信息化协会（EDUCAUSE）2019年年度十大IT议题聚焦于数据的组织、标准化和安全保护，旨在利用数据来面对高等学校最迫切的重点事项：学生成就。2019年EDUCAUSE年度十大IT议题中，几乎每个议题都涉及高等学校面临的数据挑战。正如在科学中那样，要实现高等教育的更加宏伟的目标，关键在于理解那些“最小的部分”。

美国高等院校面临严峻的数据挑战

——EDUCAUSE2019年度十大IT议题（一）

文/Susan Grajek & the 2018-2019 EDUCAUSE IT Issues Panel

上世纪90年代，基因组计划面临的重大挑战都是基础性的，当前高等教育和信息技术面临的挑战也同样如此。经过了近十年的关注和努力，发现我们仍然处于整个数据征程的起点：要可靠和准确地应用数据，实际上还要对数据进行“测序”。2019年，我们集中关注数据的组织、标准化和安全保护，旨在利用数据来应对最迫切的重点事项：学生成就（Student Success）。因此，2019年十大IT议题的副标题被命名为“学生基因组计划”。

2019年度十大IT议题包括：信息安全战略（Information Security Strategy）、 学生成就（Student Success）、 隐私（Privacy）、学生为中心的院校（Student-centered Institution）、数据集成、数据赋能的院校（Data-enabled Institution）、持续的经费投入（Sustainable Funding）、数据管理和治理（Data Management and Governance）、 综合性的首席信息官（Integrative CIO）、 高等教育的经济承受力（Higher Education Affordability）。这十项议题被分为以下三类主题。

更加自主的学生（Empowered Students）：在推动提升学生产出成果的过程中，学校领导者们越来越关注个体学生，关注他们的生活环境和整个教学过程。领导者们越来越依赖于数据分析和信息技术来在学生持续、持续和其他成果方面取得进步。

受到信任的数据（Trusted Data）：这是学生基因组计划的基础工作，即对数据进行“测序”。学校领导者们收集、获取、集成、组织、标准化和保护数据，并准备好认真地和符合伦理地利用数据。

21世纪的业务战略（21-centry Business Strategy）：学校领导者们面临财政挑战，同时也准备参与到竞争更激烈的未来行业生态之中。信息技术已经嵌入到了教学、研究和业务运转之中，也必须要嵌入到学校的整体战略和业务模型中。

十大IT议题中的每个议题单独来看都是由一些挑战和相应战术组成。有那么多的事情要做，该从哪里入手？通过“学生基因组计划”，高等教育就能够赋予学生自主权；能够充分地理解数据，从而对数据和信息技术的利用取得最佳效果；并且能够采纳那些在21世纪实现事业成功所必需的业务战略。

议题一： 信息安全战略

制定基于风险的安全战略，从而有效地检测、响应和防范安全风险和挑战。

确保学校数据和系统的安全是极度重要的事情。威胁在不断增强，我们需要加速努力，将安全保障全面集成到IT战略和措施的各个方面。有效的信息安全战略会运用以风险为焦点的多层次战略来为学校提供安全保障。这需要举全校之力，每个人都要参与其中，而不仅是IT部门或首席信息安全官（CISO）的工作。如果每个人都做好自己的那部分工作，我们就可以在学校的安全保障中取得更大进步。

信息安全的关键词是风险，重大的信息安全破坏会严重损害学校的声誉和财务健康。

IT部门之外最关心此事的应该是谁？

校长、法律顾问、董事会、首席财务官（CFO）和公众视野中可见的其他人。当成为媒体焦点时，学校的负责人都会关心。他们有必要的资金，可以用于在坏事发生前降低风险。

数据管理者。他们要对教职工和学生的个人信息的收集、维护和报告负责；要关心他们收集到的信息所面临的任何风险；要采取具体措施和信息安全团队共同维护数据和保护数据安全。

认识误区

技术方案足以应对信息安全风险和威胁。学校如果仅靠技术方案来应对风险和威胁，就低估了人员和业务流程的关键地位。任何个人都可能会引发重大破坏，这就意味着信息安全是每个人的事情。

对IT人员而言，安全是正式工作之外的附加事务，安全需要嵌入到当前运行的IT计划和操作中。

只有破坏事件发生时，安全才会消耗经费和时间。在安全上投入的任何经费和时间都是以影响其他领域中的进步为代价的。通过日常开支投入安全经费依然是当前的最佳选择，因为处理破坏事件比采纳最佳实践的成本要高很多。

常见的陷阱

学校领导对信息安全项目的支持不够积极，拖慢了争取全校关注的努力。作为学校内的关键影响者，校长、教务长、副校长和院长必须有对信息安全项目的投入、标准、要求和指南提供支持的意愿。

由于近年来没有问题发生，学校认为自己的信息安全状态是足够良好的。然而，未发生重大事件并不意味着学校可以停止、减缓甚至退出对信息安全项目的投入。实际上，有些破坏情况可能存在若干年却未能发现，因此，学校应当增加和强化在信息安全项目上的投入。

蕴含的机遇

成功地维持基于风险的有效信息安全战略，学校就可以避免遭受财务、资金和声誉上的严重损失，也更加值得信任。这种信任将会有利于学校与校友、捐赠者、家长、学生和资助机构之间的关系。当争取信息安全领域的研究经费时，或者当争取那些因数据本身性质而极度注重安全的研究经费时，学校将获得竞争优势。而且，学校的资源不必用于处理破坏事件而可以有更好的用途。

建议

起步

加入高等教育的信息安全实践社区，在美国值得注意的有科研教育网络信息共享和分析中心（Research and Education Networking Information Sharing and Analysis Center，REN-ISAC），以及由高等教育信息安全理事会（Higher Education Information Security Council，HEISC）领导的EDUCAUSE网络安全项目。各类高等教育信息技术联盟中也有规模略小但更加聚焦的实践社区。高等教育正在做斗争的安全问题和其他行业类似，不过高等教育的从业者更乐于分享信息，包括那些最敏感事件的细节情况，因此我们可以互相学习。

将信息安全的责任明确落实到个人，哪怕是工作岗位的一部分。如果由你来承担这份责任，那么你就要和其他学校或者和首席信息安全官（CISO）合作，学习和利用有效的最佳实践。与那些能在你艰难处理问题时提供帮助和建议的人形成紧密合作，这要比全部靠自己来解决问题要有效的多，因为这些问题往往真的很大而且来的很快。

进阶

与信息安全领域以外的人以及IT部门以外的关键人物、相关者和决策者建立合作关系。学校必须在整体上认识到信息安全的重要性。因而相关信息的对外传播也是IT安全项目进展的一部分。

基于现状不断评估是否有更好的或更有效的做法或系统。利用诸如HEISC提供的资源，来评估进度和判断差距所在，从而在适当的领域中集中精力，为推进信息安全建设而制定基于风险的全面方案。

采纳对各种信息安全要求加以概要描述的业界框架和最佳实践，从而符合各项法律和制度要求。

优化

每年进行至少一次第三方审计或评估，以评价控制措施并帮助决定是否存在差距。如果可行，考虑进行同行评议。

利用现有的关系网。不要局限自己、只关注高等教育界，可以从企业界和其他行业中也可以学到很多。

回馈社区。讲出自己的故事，并且要经常讲。

行业生态中的机会

高等教育界中致力于改进信息安全战略的联盟的作用是无价的，要不断拓展和演进以支持不断变化的场景。HEISC、REN-ISAC、OmniSOC以及其他团体在应对安全挑战方面为大家提供了最优秀的思想和最先进的实践。当我们重视风险并首先解决最急迫的问题时，这些团体大有裨益。毕竟，高等教育界体量太大、过于多样，而且要解决所有安全风险实在是太复杂了。

高等教育界正在投入云技术，这需要厂商和学校技术人员之间形成强有力的合作，同时也需要对现有控制措施加以评估来保护数据安全。HEISC开发的高等教育云供应商评估工具对此很有帮助。另外一个好的举措是召集行业联盟和安全组织来构建专业知识，为安全地启用和管理在微软Azure、谷歌、亚马逊AWS和其他云服务商部署的资源制定指南。

议题二：学生成就

IT部门要作为其他校内单位的可靠伙伴，共同推动和完成学生成就计划。

学生成就主题在过去几年中变得尤为突出，这是一系列议题结合的结果：（1）州立法机关根据学生表现而拨款；（2）校董会和家长关注程度提高；（3）出现了全国性的学生成就计划和项目，包括由基金会等团体设立的；（4）学校意识到提高学生的持续率和毕业率是当务之急，而且为此开始集中力量。帮助学生取得成就的流程是在信息技术促进下形成的。因此，IT部门必须作为合作伙伴参与到学校推动学生进步的解决方案中。

高等教育以学生成就为本。我们从事高等教育正是为了教育学生，让他们做好准备走向世界取得成就。无论我们从哪个角度看待这个问题，经费、技术或者外部力量，最终的核心使命都是为了学生能做好准备。

IT部门之外最关心此事的应该是谁？

教务长、校长或董事会。这是因为：（1）为了在合理的时间内取得效果，应当由他们集中人们的注意力并团结大家共同努力；（2）各州之内学校之间的相互区别也在于是否受到了这些高层领导的重视。

关心和致力于学生生活或学生成就的各个职能部门。这些部门的成员当然会照料学生，不过如果他们仅仅分别负责单项事务的话，这项努力就不太可能会成功。学生成就项目通常都需要教师、辅导员、学生、课程设计师、招生官员等各个领域的人员团结行动和协同前进。

教师。因为他们身处教学一线，而且处于知晓学生需要支持的时机以及向学业困难学生伸出援手的最佳位置。

认识误区

学生成就计划在启动后不久就可以完成。这些计划是可能会持续几十年，甚至更久的社会实验。其中的挑战是复杂和嵌套的：来自哪些源头的哪些数据会被哪些人用来在哪些时间限制下做出哪些决定并造成哪些后果？

学生成就是单个领域或部门的责任。这些问题的复杂性需要各类人员的共同投入和努力，才能确保所有的利益相关者都向同一方向前进。没有这些投入和努力的话，学校就不可能取得预期的收获。对于汇集各方力量的需求也是IT部门成为校园整合者的机会。

学生成就是学生自己的问题。当生活或者学校本身成为学生取得成就的阻碍时，学校要推动学生取得成就，通过采取面向个人的方法为个体学生提供直接帮助，如为忘记填写经济资助申请或忘记选课的学生提供帮助等。

常见的陷阱

劣质的数据催生低劣的决策，这可不是一个你想做出低劣决策的领域，数据也需要解锁。某些人认为他们的工作就是将数据据为己有不允许他人染指，这往往成为计划进度的阻碍。

学校领导者要将思考和关注转向个性化、预测性的方法，消除学生面临的风险。他们必须策划如何系统地消除失误。

我们不能允许学生成就项目将所有事物都变成数字，认为数字为推动采取行动提供了充足的指导，这是个很诱人的想法。不过如果我们忘记了数字背后是活生生的人的话，这就非常危险了。

隐私和伦理会面临威胁。当教师和辅导员看到某些数据将一个学生认定为高风险时，他们会加倍努力来帮助他，还是认为他注定要失败？在采集哪些数据、如何使用数据、哪些人可以看到数据以及如何处理数据等方面，学校必须要非常谨慎，而且要保持一定程度的个人隐私。

蕴含的机遇

预计未来10年内高中毕业生的数量将会下降，对于学院和大学的未来而言，学生的持续性至关重要，那些成功使学生顺利毕业的学校才能生存下来。

精通于变革管理的学校正在为了其他可能而转型。这些学校从成功中提取经验，用以应对其他挑战。而且，达到精通程度的这些学校做了最好的准备，从损失/收益的角度对投资回报率（ROI）进行了深入分析。

最后，这些精通于学生成就的学校也可以为学生成就的理论和应用研究做出贡献，也许会形成新的研究分支或者领域。

建议

起步

找到学生成就方面的一个流程并为此集中力量。最为常见的情况是，学校或各个单位试图寻求“万能灵药”或者终极软件来解决学校中的所有毛病。然而，有时候用一张简单的工作表从范围有限的一组议题或问题开始入手是最好的。

牢记每个学生都是独特的个体。学生成就实际上并不是同一件事：帮助一个学生取得成就的事物未必能在另一个学生那里奏效。许多公司出售的平台吸收了学校数据后提供仪表盘来帮助确定下一步措施。不过，学校为了学生成就而真正采取案例管理方法的话，就会超越数据去尝试理解每一位学生的问题：没有保姆、没有停车位、没有工作、无法在课堂时间出勤等。擅长于学生成就的学校对学生采取了整体视角，不仅局限于数据或学业因素，而且围绕“做任何可做之事”的策略加以组织。

进阶

大量的极其诱人的项目正在全国和全世界范围内的小型、大型学校乃至社区学院中开展。与创新开展了学生成就计划的学校进行个别接触，特别是更关注定性数据的学校，而不是那些仅关注传统量化数据的学校。

接受这样的一个概念，即学生成就计划是长达一代人的，而且永远不会达到100%。达到60%就要瞄准70%，达到85%则要向着90%而奋斗。学生成就和毕业率的目标越高，更上一层楼的难度也就更大。

优化

关注计划的可持续性，做到即使若干关键人物离开学校，项目的势头也不会削弱。退后一步来确定长期可持续性；对部门内部的人员进行投入，从而使得即便人事变动发生的时候学校还可以继续保持增长。

持续地与和你处于同样状态的人们沟通，学习了解他们下一步的想法和突破点，做好长期准备。要让学校达到应有的水平可不是几年之间的事情，而经常是几十年甚至更久。

行业生态中的机会

学生成就领域中存在多层行业生态。在全国层面有资助机构、研究基金、高校项目，以及开展行动或者共享信息的产业联盟。有些联盟想要高校参加，有些邀请高校参加，还有些对共享信息的高校提供收益。对于有些解决方案供应商建立的产业联盟，不少高校认为是十分宝贵的。新出现的纵向联盟很有发展前景。例如，中佛罗里达教育生态数据库（Central Florida Education Ecosystem Database，CFEED）就是由两个主要的K-12学校系统、巴伦西亚学院（Valencia College）和中佛罗里达大学（University of Central Florida）组成的。他们构建了一个基于云的数据“湖”和相应的数据分析工具，其目标是理解如何能促使学生在这些教育系统中无缝衔接地取得学位。

议题三： 隐私

保护院校成员的隐私权利，并持续落实各类受限数据的保护责任。

隐私与适当地处理学校手机、创建、存储、共享、使用和销毁个人身份信息有关，隐私关系到每个人。离开敏感的个人信息，学校无法注册学生、聘用人员、开展研究和达成组织使命。要辨别学校在信息保护中的角色，关键在于掌握数据收集的范围、使用的场所和方式。

IT部门之外最关心此事的应该是谁？

法律总顾问。他们需要从法律角度对隐私问题提出建议，确保学校成员遵守隐私规定，特别是当新的法律和规章实施的时候。

数据管理者。他们必须不可或缺地参与到所控制的数据和信息的隐私管理之中。

利用敏感的个人数据来完成工作的部门和个人。如研究者、注册官员、财务部门、医疗部门、国际事务和人事部门等，因为他们必须正确地处理信息。

图书馆。图书馆应当对他们的顾客的隐私有特别的关注和敏感性，尤其是那些有时为了敏感主题或个人需要而利用图书馆资源的内部和外部人员。

认识误区

提及隐私，人们的想法首先都围绕着保护和安全，他们认为隐私就是要对某些东西进行加密。然而，隐私要比安全的内涵更广，隐私包括在使用个人数据时尊重他们的意愿，例如在个人通讯之中是否采用“选择进入”和“选择退出”策略。在尽可能的情况下，学校成员应当可以选择他们想收到哪些通讯信息。人们为了某项用途而提供个人邮件地址，并不代表他们同意用于其他用途。

关心隐私是为了遵守法律规定。遵守法律当然是重要的，不过学校对待其成员隐私的方式也会影响其声誉。如果人们认为学校处理个人信息的方式体现了对自己的尊重，他们会更倾向于和学校交流并信任学校使用自己的个人数据。

常见的陷阱

着手启动工作时范围太宽泛和太局限都有风险。试图一次性地在多个方面都取得进步的学校，会因不堪重负而无法推进。另一方面，仅专注于一件事情也会导致忽视学校中的其他隐私风险。其中最坏的风险在于，对存放学校大部分敏感数据的主要中心系统的破坏（如ERP系统）。

学生和教师在教学、研究和学术活动中使用的“免费”服务，以及关于个人爱好和普遍兴趣的网站，可能会成为学校数据隐私的重大风险。免费服务并不是免费的，其中也会产生收入，而且往往是来源于对用户提供的自身信息的有意和无意的利用。

如果对人们在互联网、网页工具和社交网站上行为的研究数据没有得到适当的处理，那么可能会对研究人员在此领域中的持续研究造成障碍。这是当前学校审查委员会（Institutional Review Board）通常应当小心，并且能够做到的地方。

蕴含的机遇

如果学校决定将信息视为资产而加以管理，正如当前对设备管理的那样，那么就更可能会擅长面对隐私问题。信息是谁的、有哪些、在哪里？学校回答好这些问题，就可以运作得更加有效和安全。

擅长于此的学校会教育学生和赋予他们能力来做出隐私相关的决定，关于他们的数据是如何被收集和利用的。这是相当好的成果，因为我们正在为世界、政府和社群培养知道如何管理他们的数据和隐私的公民。

建议

起步

在从事隐私工作的岗位上安排人员，让他们有时间致力于隐私保护。在理想情况下，隐私专员（“首席隐私官”的头衔可有可无）不应该是承担持续业务运行和应急职责的人员，因为这样的话隐私将会是他们事项列表中的最末一项。

为综合性的项目打下基础，而不是逐个处理遵守每一部法律的要求。建立通用的资源和渠道来帮助学校社群理解和解决隐私问题，制定满足绝大部分法律和制度要求的隐私策略。

进阶

借助自评工具或外部专家力量，列出现状清单。对于每个活动领域，评估当前项目的成熟度。与全校范围内的利益相关者合作，发现差距并排出优先级，然后消除最大的风险。当前差距通常要参考最近出台的GDPR和CCPA等数据保护法律。

帮助人们理解他们的个人隐私问题来推动全校参与。将学校的隐私要求和教职员工希望自己的个人数据的处理方式结合起来。可以在每年1月28日庆祝“数据隐私节”，开展加密技术普及运动（Cryptoparty）。

优化

将隐私责任提升到学校领导层面并扩大到全校范围。建立学校隐私保护委员会或理事会，纳入隐私保护方面的主要行动者。

在符合法律和制度要求的基础上再进一步。如果学校内的各方相关者能参与隐私保护，他们就会有更加宽广的视野，并且可以发现学术研究、社群参与、人力资源和学生数据之中凸显学校隐私管理的机会。

行业生态中的机会

EDUCAUSE正在采取措施来支持隐私保护社区。隐私保护社区小组（Privacy Community Group）正式开展讨论、合作和学习的有用论坛。EDUCAUSE安全专业人员大会现在也有了专门的隐私业务线。

（来源：EDUCAUSE Review，翻译：陈强 清华大学信息化工作办公室）

本文转载于《中国教育网络》