何濟玲 陳仕品 程吉麟 艾賢明

?

基于ISO/IEC27001標準的高校信息安全治理*

何濟玲 陳仕品[通訊作者]程吉麟 艾賢明

（西華師范大學(xué)教育學(xué)院，四川南充 637000）

針對當前我國高校在信息安全方面存在的主要問題，文章根據(jù)信息安全管理的ISO/IEC27001標準，從管理層面建立了一套基于ISO/IEC27001標準的高校信息安全治理體系，提出了基于ISO/IEC27001標準的高校信息安全治理過程模型，優(yōu)化了高校信息安全治理流程，完善了高校信息安全管控機制，從而有利于保障高校信息化服務(wù)長期穩(wěn)定地運行，為改善我國高校的信息安全治理提供參考。

高校信息化；ISO/IEC27001標準；信息安全治理體系；PDCA模型

隨著我國高校信息化進程的不斷深入，高校信息化基礎(chǔ)設(shè)施建設(shè)已基本完成并日趨完善，高校行政辦公系統(tǒng)、網(wǎng)絡(luò)教學(xué)平臺、科研管理系統(tǒng)等一系列信息化服務(wù)已經(jīng)取得良好的應(yīng)用效果，高校信息化總體水平有了顯著的提升。然而，自棱鏡門事件爆發(fā)以來，高校信息安全問題越來越成為高校信息化建設(shè)關(guān)注的焦點，特別是在云計算和大數(shù)據(jù)時代，高校的信息越來越需要安全保障。我國高校在信息安全方面主要存在著“信息安全防范意識薄弱，信息安全防控技術(shù)單一”[1][2]、“信息安全治理體系不健全，信息安全管控機制缺失”[3][4][5]等主要問題。信息安全問題已經(jīng)成為影響高校信息化水平的短板，嚴重地制約著高校信息化服務(wù)的質(zhì)量。如何建立一套完善的高校信息安全治理體系，保障高校信息化服務(wù)長期穩(wěn)定地運行，這已經(jīng)成為當前我國高校信息化迫切需要解決的問題。長期以來，高校信息化存在著一種技術(shù)取向，認為高校信息安全問題只是一個技術(shù)問題，因此高校信息安全治理僅僅停留在以技術(shù)手段來解決信息安全問題。事實上，高校信息安全治理不僅是技術(shù)問題，而且是管理問題。據(jù)統(tǒng)計，高校信息安全事件中大約有70%以上的問題是由管理因素造成的，如政策法規(guī)的不完善、管理制度的不健全、安全意識的淡薄、操作過程的失誤等[6]。因此，高校信息安全治理迫切需要超越傳統(tǒng)的從技術(shù)層面上解決信息安全問題的觀念，而提升到從管理層面上建立一套完善的高校信息安全治理體系，以保障高校信息化服務(wù)的質(zhì)量。

一信息安全治理與ISO/IEC27001標準

1 信息安全治理

國際標準化組織將“信息安全”定義為保護信息的可用性、完整性、保密性和可靠性。綜合有關(guān)信息安全的各種定義，可將信息安全概括為：始終維護信息的保密性、完整性和可靠性，確保信息不會泄漏給非授權(quán)用戶、不會被惡意篡改，并確保信息能被正常存儲、訪問和使用。信息安全主要包括物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用系統(tǒng)安全和數(shù)據(jù)安全。組織的信息安全對于保障信息系統(tǒng)的安全、可靠、高效和正常運行具有重大的意義。

信息安全管理與信息安全治理不是同一概念——信息安全管理是信息安全治理的重要內(nèi)容；信息安全治理則是動態(tài)地執(zhí)行信息安全管理的整個過程，對此過程的決策和監(jiān)督由組織的最高層完成。信息安全治理不僅涉及組織結(jié)構(gòu)、組織戰(zhàn)略方針，還涉及組織的制度規(guī)范、業(yè)務(wù)運行以及技術(shù)應(yīng)用等方面，無論哪一方面治理措施不到位，都將影響組織的整體信息安全，引發(fā)“短板效應(yīng)”。為全面保障組織的信息安全，高校信息安全治理需要從系統(tǒng)化的角度來考慮其措施的制定和實施。

2 ISO/IEC27001標準

ISO/IEC27001標準是由國際標準化組織頒布的一個信息安全管理國際標準，也是一個專門用于組織為自己的信息安全管理體系（ISMS）量身定做的參照標準，它定義了一整套的信息安全管控目標和方法，并建議組織在實施安全管理流程中應(yīng)用“計劃（Plan）—執(zhí)行（Do）—檢查（Check）—處理（Act）”（簡稱PDCA模型）過程方法[7]。依據(jù)ISO/IEC27001標準所建立的信息安全治理體系，可以在很大程度上提高高校信息安全管理工作的可靠性，使其擁有的安全防護架構(gòu)、管理措施和保障機制更易于管控，并通過這種系統(tǒng)化的管理方法和持續(xù)的改進，來增強高校在不斷變化的信息安全風險環(huán)境中的自我保護能力。

PDCA模型是信息安全防護體系的核心，它是一個持續(xù)改進模型，主張管理過程按照“計劃—執(zhí)行—檢查—處理”這四個階段的順序依次展開，然后總結(jié)成功經(jīng)驗并制定出相應(yīng)的標準，再把未解決的或新出現(xiàn)的問題轉(zhuǎn)入下一個PDCA循環(huán)——這樣層層循環(huán)，將不斷出現(xiàn)的問題逐步解決，管理水平在這一過程中就能得到進一步的提高。將PDCA模型引入到高校信息安全治理體系中，按照“計劃—執(zhí)行—檢查—處理”的順序進行信息安全保障工作，使高校在信息安全管理流程中每經(jīng)過一個PDCA周期，管理體系都會得到一定程度的改善；總結(jié)治理經(jīng)驗文檔化管理標準，再進入到下一個更高層次的管理周期，以期通過連續(xù)不斷的PDCA循環(huán)，使高校的信息安全管理體系能夠得到持續(xù)的改進，并使管理水平得以不斷提升。簡而言之，基于ISO/IEC27001標準的高校信息安全治理體系是一種動態(tài)管理模式，核心在于通過持續(xù)不斷地改進信息安全管理體系，使高校的各項業(yè)務(wù)運作能夠在有效控制的狀態(tài)下達到穩(wěn)步發(fā)展的安全治理目標[8]。

二基于ISO/IEC27001標準的高校信息安全治理體系

根據(jù)ISO/IEC27001標準開展高校信息安全治理，其首要任務(wù)是建立和完善高校信息安全治理體系。高校信息安全治理體系主要由信息安全組織體系、信息安全管控體系、信息安全技術(shù)體系、信息安全政策體系構(gòu)成，通過合理的組織、政策與技術(shù)的協(xié)調(diào)管理、完善的信息安全保障體系，為信息安全治理提供有效的保障與支持。

1 高校信息安全組織體系

高校信息安全組織體系為高校內(nèi)部信息安全治理提供組織保障。該體系包括決策層、管理層和執(zhí)行層，如表1所示。其中，高校信息化領(lǐng)導(dǎo)小組（包括高校的CIO在內(nèi)）位于決策層，負責研判高?？梢越邮艿娘L險程度、制定高校內(nèi)部風險管控的決策；高校信息化辦公室位于管理層，負責貫徹落實高校的信息安全治理決策，評估高校內(nèi)部的信息安全風險級別，制定可執(zhí)行的信息安全治理策略、標準和程序，提出具體的高校信息安全治理的解決方案；高校信息安全管理中心則位于執(zhí)行層，主要由信息安全管理人員和技術(shù)人員組成，負責實施、運行并維護高校的信息安全解決方案，并向信息化辦公室反饋信息安全治理的績效。信息化辦公室對信息安全治理的整個過程和績效進行監(jiān)督，并以報告的形式向信息化領(lǐng)導(dǎo)小組進行匯報，同時進一步完善高校的信息安全治理策略。

表1 高校信息安全組織體系

2 高校信息安全管控體系

高校信息安全管控體系是保障整個信息化安全治理體系有效運行并得以持續(xù)改進的框架體系。該體系涉及的管理內(nèi)容范圍廣泛，其基本框架包括業(yè)務(wù)連續(xù)性監(jiān)管、設(shè)備與環(huán)境的管理與合規(guī)性監(jiān)管等，并負責正確解讀和落實信息安全法律法規(guī)、建立校內(nèi)信息安全規(guī)章制度、制定信息安全事件的應(yīng)急響應(yīng)機制和審計與評審機制、開展信息安全教育培訓(xùn)等工作。在管理實踐過程中，不僅應(yīng)該注重逐步程序化工作機制，還要對規(guī)章制度實現(xiàn)文件化管理。需要注意的是，在管理過程中應(yīng)注重與高?，F(xiàn)有業(yè)務(wù)的融合。因為信息安全治理的最終目的就是為了給高校業(yè)務(wù)發(fā)展提供最安全的環(huán)境，而信息安全治理體系是為高校業(yè)務(wù)發(fā)展服務(wù)的，所以要注重在信息安全管理的過程中與業(yè)務(wù)應(yīng)用相結(jié)合，將信息安全管理中先進的理念和有效的措施逐步融合到高校的業(yè)務(wù)流程中，保障高校業(yè)務(wù)穩(wěn)定地運行。與信息安全管控體系配套的是信息安全管控機制，它包含響應(yīng)機制和監(jiān)督機制——響應(yīng)機制是處理信息安全事故的應(yīng)急機制，若缺乏信息安全響應(yīng)機制，出現(xiàn)安全事故時將不知如何處理，也無法追蹤相關(guān)蹤跡，從而延誤事故的解決時機、增加安全事故帶來的損失；監(jiān)督機制是信息安全各項措施得以有效實施的保障，若缺乏信息安全的監(jiān)督機制，將削弱信息安全各項措施的執(zhí)行效果，導(dǎo)致責任追究制度無法有效履行。

3 高校信息安全技術(shù)體系

表2 高校信息安全技術(shù)體系[9]

高校信息安全技術(shù)體系如表2所示，采用“縱深防御模型”，分為物理、網(wǎng)絡(luò)、主機、應(yīng)用、數(shù)據(jù)等五個層級：①物理安全是為了防止物理基礎(chǔ)設(shè)施等資產(chǎn)的損壞或丟失、敏感信息的泄露和業(yè)務(wù)的中斷，可通過門禁系統(tǒng)、警衛(wèi)和監(jiān)控系統(tǒng)增加物理安全預(yù)警功能；②網(wǎng)絡(luò)是入侵者攻擊網(wǎng)絡(luò)信息系統(tǒng)的渠道，精心設(shè)計的網(wǎng)絡(luò)體系結(jié)構(gòu)可以提供更加安全可靠的網(wǎng)絡(luò)服務(wù)，網(wǎng)絡(luò)安全需要防火墻、安全入侵檢測和漏洞掃描等技術(shù)進行管控，確保有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)安全；③主機主要包括服務(wù)器和客戶機，主機安全主要針對默認操作系統(tǒng)的安裝情況和配置情況，可以通過禁用服務(wù)、設(shè)置用戶權(quán)限等開展主機防御，對其操作系統(tǒng)進行安全加固，再加上身份驗證和主機入侵檢測等措施，確保主機安全；④應(yīng)用系統(tǒng)安全主要從應(yīng)用系統(tǒng)的設(shè)計、開發(fā)、運行和維護等四個方面進行防護，可以通過應(yīng)用系統(tǒng)安全加固、防病毒和身份認證等技術(shù)手段保障應(yīng)用系統(tǒng)的安全；⑤數(shù)據(jù)是一個組織最重要的資產(chǎn)，數(shù)據(jù)安全是組織信息安全的最后一道防線，可以在信息系統(tǒng)中通過加密來確保數(shù)據(jù)傳輸?shù)陌踩€可采用多種介質(zhì)定期備份來保證數(shù)據(jù)存儲的安全。

高校信息安全技術(shù)體系是保護校內(nèi)信息資產(chǎn)和應(yīng)用系統(tǒng)免遭外部攻擊的堅實屏障，其五個層級具有各自不同的治理技術(shù)手段和管理方法，旨在維護高校資產(chǎn)及系統(tǒng)的安全性和穩(wěn)定性。這五個層級只有結(jié)合其自身的管理優(yōu)勢，并通過校內(nèi)組織決策層的合理調(diào)配，才能形成“穩(wěn)固”的信息安全保障體系。

4 高校信息安全政策體系

從宏觀上分析，信息安全治理實際上屬于一項系統(tǒng)工程，它不僅僅涉及管理層面和技術(shù)層面的內(nèi)容，還設(shè)計法律法規(guī)和政策體系層面的內(nèi)容。高校應(yīng)根據(jù)國家相關(guān)法律法規(guī)，建構(gòu)符合本校的信息安全政策體系。高校信息安全政策體系所針對的對象不僅僅包含高校信息安全管理人員，還應(yīng)該包括所有與高校業(yè)務(wù)有相關(guān)聯(lián)系的人員。要做好信息安全治理這項大工程，就要從各個角度和層面來具體分析學(xué)校在信息安全管理上存在的問題和現(xiàn)實情況，同時需要決策者和管理層從戰(zhàn)略角度綜合考慮影響高校的信息安全因素和一線信息安全實踐者的意見，在制定相關(guān)政策的同時嚴格執(zhí)行，系統(tǒng)化地管理校內(nèi)信息資源、物力資源、人力資源及財產(chǎn)的安全。

三基于ISO/IEC27001標準的高校信息安全治理過程模型

高校信息安全風險治理過程是一個高校信息安全治理組織依據(jù)學(xué)校制定的信息安全需求與目標，按照特定的執(zhí)行程序和防控措施，引導(dǎo)每一輪信息安全治理的流程，達到防控和解決信息安全的過程。根據(jù)ISO/IEC27001標準開展高校信息安全治理，不僅要建立高校信息安全治理體系，還要完善高校信息安全治理過程。高校信息安全治理過程以高校信息安全治理體系為依托，依據(jù)ISO/IEC27001標準，利用PDCA管理模式執(zhí)行相應(yīng)的信息安全治理策略，在經(jīng)過一個周期的治理過程后，通過改進完善策略進入下一輪的治理過程，以期通過這種持續(xù)動態(tài)的治理過程，達到理想的信息安全治理效果。

ISO/IEC27001標準為高校信息安全治理過程提供了依據(jù)。2011年，Humphreys[10]在《信息安全管理體系標準》一文中提出了風險管理過程模型。將該模型應(yīng)用于高校信息安全治理，可以構(gòu)建出基于ISO/IEC27001標準的高校信息安全治理過程模型?；贗SO/IEC27001標準的高校信息安全治理過程模型是一個動態(tài)PDCA循環(huán)過程，包括計劃、執(zhí)行、檢查和處理四個環(huán)節(jié)的循環(huán)過程（如圖1所示）：①在計劃環(huán)節(jié)，需要明確高校信息安全治理的遠景目標，開展高校信息安全管理體系的風險評估，制定管理決策，擬定風險控制策略（包括風險預(yù)警策略、安全防護策略、安全控制策略、事故應(yīng)急響應(yīng)管理策略等）；②在執(zhí)行環(huán)節(jié)，針對高校信息安全管理體系中存在的風險問題，確定信息安全事件等級，采取相應(yīng)的風險管控策略對風險事故開展風險控制；③在檢查環(huán)節(jié)，主要監(jiān)控和評估高校信息安全控制的績效，檢查信息安全風險問題是否已經(jīng)妥善解決，并對實施的風險管控體系和應(yīng)急控制措施是否到位予以評估；④在處理環(huán)節(jié)，主要改進和完善高校信息安全管控體系的風險控制策略。若信息安全風險問題已經(jīng)解決，則依據(jù)檢測結(jié)果，把成功的風險管控經(jīng)驗進行標準化或存檔；若信息安全風險問題尚未解決妥當，則及時采取行動，對先前擬定的相關(guān)安全管控體系進行改善，重新制定新的風險管制策略，并進入下一次循環(huán)，再次對出現(xiàn)的風險問題進行評估和治理。

圖1 基于ISO/IEC27001標準的高校信息安全治理過程模型

安全只是一個相對概念，信息安全問題是長期存在的，并非一次性就能得以解決。因此，在實施高校信息安全治理的過程中，需要遵循防控為首、系統(tǒng)化、動態(tài)改進、規(guī)范化、全員參與的原則。而要保障高校的信息資產(chǎn)不受損失，首要的任務(wù)就是防控，把好“門”這道關(guān)——這也是高校信息安全治理的首要任務(wù)。隨著信息技術(shù)的不斷發(fā)展，高校的信息安全環(huán)境也在不斷變化，由于信息安全管理涉及高校各個方面的管理，這就需要按照實施要求，多角度、多層次地制定相關(guān)的信息安全策略。除此之外，信息安全治理應(yīng)該由全員廣泛參與，故需要強化學(xué)校內(nèi)部全體師生和管理人員的安全防護意識，將信息安全保護落實為全員的行動。

四小結(jié)

信息安全治理是高校信息化治理的重要內(nèi)容，也是高校信息化服務(wù)穩(wěn)定運行的重要保障。高校信息安全治理必須超越傳統(tǒng)的從技術(shù)層面上解決信息安全問題，而提升到從治理層面上建立一套完善的信息安全治理體系，優(yōu)化信息化治理的流程，健全信息安全治理機制?；诖?，本研究構(gòu)建了基于ISO/IEC27001標準的高校信息安全治理體系，提出了基于ISO/IEC27001標準的高校信息安全治理過程模型，采用PDCA管理模式優(yōu)化了高校信息安全治理的流程?；贗SO/IEC27001標準的高校信息安全治理體系從信息安全組織體系、信息安全管控體系、信息安全技術(shù)體系和信息安全政策體系等四個方面，為高校信息安全治理提供了有效的保障。在云計算和大數(shù)據(jù)時代，高校信息安全治理對于保障高校的信息安全、提升高校信息化服務(wù)水平具有重要的戰(zhàn)略價值。

[1][3]王延明,許寧.高校信息安全風險分析與保障策略研究[J].情報科學(xué),2014,(10):134-138.

[2]羅國富,王乙明.校園網(wǎng)絡(luò)安全防范體系研究與應(yīng)用[J].現(xiàn)代教育技術(shù),2012,(9):53-56.

[4]黃瑞,鄒霞,黃艷.高校信息化建設(shè)進程中信息安全問題成因及對策探析[J].現(xiàn)代教育技術(shù),2014,(3):57-63.

[5]陳憲宇.IT治理在高校信息化建設(shè)中的應(yīng)用研究[J].科技管理研究,2010,(7):133-136.

[6]梁藝軍.高校信息安全管理探討[J].計算機科學(xué),2012,(10):195-197.

[7]The British Standards Institution. Moving from ISO/IEC 27001:2005 to ISO/IEC 27001:2013[OL].

[8]Saxena S, Ramer L, Shulman I. A comprehensive assessment program to improve blood-administering practices using the FOCUS–PDCA model[J]. Transfusion, 2004, (9):1350-1356.

[9]趙剛,羅文.IT管理體系——戰(zhàn)略、管理和服務(wù)[M].北京:電子工業(yè)出版社,2009:11

[10]Humphreys E. Information security management system standards[J]. Datenschutz und Datensicherheit-DuD, 2011,(1):7-11.

編輯：小米

The Information Security Governance in University based on ISO/IEC27001 Standard

HE Ji-ling CHEN Shi-pin[Corresponding Author]CHEN Ji-lin AI Xian-ming

Aiming at solving the main problems of information security existing in our colleges and universities, this paper established a set of information security governance system according to ISO/IEC27001 standard, and put forward the university information security governance process model based on ISO/ IEC27001 standard. The university information security management process was optimized, the university information security management control mechanism was perfected, which was conducive to the long-term stable operation of the information service and provided reference for improving information security management in universities.

university informatization; ISO/IEC27001 standard; information security governance system; PDCA model

G40-057

A

1009—8097（2016）09—0060—06

10.3969/j.issn.1009-8097.2016.09.009

本文為國家社科基金一般項目“高校信息化建設(shè)的機構(gòu)、過程和機制研究”(項目編號:12BGL097)的階段性研究成果。

何濟玲，副研究員，碩士，研究方向為高等教育信息化，郵箱為jilinghe@163.com。

2016年1月27日