“信息安全管理與風險評估”課程建設思考

摘要：根據北京信息科技大學定位、辦學特色和人才培養目標，依據應用型信息安全人才特點和北京信息科技大學信息安全專業人才培養目標與定位，結合“信息安全管理與風險評估”課程教學體會，闡述“信息安全管理與風險評估”課程建設教學改革的內容分析實踐教學模式，初步探討專業交叉融合的教學實踐方式，為突出信息安全專業特色以及形成專業交叉滲透提供思路和方法。

關鍵詞：信息安全管理；風險評估；課程建設；專業特色建設

作者簡介：趙剛（1965-），男，遼寧沈陽人，北京信息科技大學信息管理學院，副教授。（北京 100192）

基金項目：本文系北京信息科技大學課程建設項目的研究成果。

中圖分類號：G642.3 文獻標識碼：A 文章編號：1007-0079（2014）03-0098-02

“誰掌握信息，誰就掌握了世界”，信息就是商機。在當今全球一體化的商業環境中，信息的重要性被廣泛接受。在信息化的今天，眾多組織業務對信息系統的依賴性越來越強，同時在信息系統上運作業務的風險使得信息安全越來越受到組織的關注。

信息安全體系的建設是一個系統工程，要求對信息系統的各個環節進行統一的規劃和設計，遵循國內外相關信息安全標準與最佳實踐經驗，考慮組織對信息安全各層面的需求，兼顧組織內不斷發生的變化。在信息安全風險評估的基礎上引入適當風險控制措施，建立合理的信息安全管理體系，從而達到保障組織賴以生存的信息系統和信息資產的機密性、完整性和可用性的目的。[1]

信息安全專業人才是當前信息化建設和國民經濟發展中急需的專門人才，社會大量需要從事信息安全管理和安全服務的復合型、應用型人才。[2]作為信息安全專業課程體系中的重要組成部分，“信息安全管理與風險評估”課程在信息安全專業人才培養方面起著突出的作用，愈來愈受到各方面的關注。本文主要介紹近幾年在“信息安全管理與風險評估”課程中的教學體會以及對今后教學模式的思考與探討。

一、信息安全專業培養目標與“信息安全管理與風險評估”課程建設

北京信息科技大學（以下簡稱“我校”）人才培養目標為創新能力較強的高素質應用型人才，服務面向為立足北京、服務首都、面向全國。依據我校定位和辦學特色，依據應用型信息安全人才特點，我校信息安全專業人才培養目標與定位確定為“培養德、智、體全面發展，掌握扎實的信息安全基本理論、基本知識和應用技能，具備計算機網絡和信息系統等專業知識，以及綜合解決信息系統安全管理與保障的能力，能夠在國民經濟企事業部門、信息類產業公司和信息安全技術相關行業，從事信息安全理論的初步研究、信息安全技術與產品的研發，以及為客戶提供網絡與信息系統安全保障服務的、具有較強創新能力的應用型高級專門技術人才”。[3]

在專業建設中課程體系建設是極為重要的內容。結合我校發展目標和信息安全專業人才培養目標，我校信息安全專業的學生不僅要掌握大量與計算機、通信和數學等學科相關的信息安全技術，而且還要重視掌握與管理等學科密切相關的信息安全管理知識。“信息安全管理與風險評估”是信息安全專業課程體系中重要的專業核心課程，既培養學生豐富的理論知識，同時又培養學生較強的實踐能力和操作技能。這門課程的作用主要在于幫助信息安全專業的學生掌握信息安全管理和信息安全風險評估的理論知識、完整的信息安全管理體系、信息安全風險評估方法，培養學生解決信息系統安全管理問題的綜合能力。通過課程建設，促進信息安全專業特色建設，為培養信息安全領域具有較強創新能力的應用型高級專門技術人才奠定基礎，使學生具有從事信息安全管理與技術產品的研發及應用能力，以適應在國民經濟企事業部門和信息安全相關行業從事研究和工作的需要。

二、深入理解課程內涵，深化教學內容的改革

隨著對信息安全要求的提高和信息安全技術的發展，國內外對信息安全管理及信息安全風險評估的重視程度不斷提高。國家網絡與信息安全協調小組指出，我國信息安全風險評估工作正處于快速發展階段，急需專業技術人才和技術工具。而國內信息安全專業目前尚極少設有“信息安全管理與風險評估”課程。在教學內容建設方面，著重信息安全管理理論與技術內容緊密結合，使本課程形成健全的課程內容體系；在教學條件上，著重建設本課程優質教材，建立完善高水平的教學參考資料和實踐教學資料，完善相關實踐教學環境。在教學方法與手段方面，完善課堂理論教學與實踐教學緊密結合的、以學生為主體的教學方法，以案例教學為主線，組織學生分析討論，提高學生對信息安全管理與風險評估的整體認識和綜合分析應用能力。在教學隊伍上，建設結構合理、教學水平高、教學效果好的教師梯隊。使這門課在培養學生“厚基礎、寬口徑、強實踐、高素質”方面具有鮮明的特色。因此，如何成功開設這門課程是擺在課程建設隊伍的首要難題。通過教學實踐和總結，筆者從深入理解課程內涵著手，圍繞社會需求，分別從以下幾點著手深化教學內容的改革。

1.管理理論和標準

根據培養信息化管理人員、信息安全管理人員的實際需求，全面介紹信息安全管理基本概念、信息安全管理體系，圍繞國內外信息安全管理標準，介紹信息安全管理的各項內容和任務，其內容涉及信息安全管理體系建立和實施的工作方法和工作流程。

2.案例教學

收集、整理信息安全管理體系構建案例、信息安全管理體系認證案例、信息安全風險評估案例，充分闡釋信息安全管理的內涵，使學生能夠在系統準確地把握信息安全管理思想的基礎上，準確有效地運用信息安全管理的方法和技術分析解決實際問題。

3.技術支持基礎上的安全管理

強調技術與管理并重，在技術平臺支持基礎上進行管理的有效管理方法，將信息安全管理與學生所學信息安全技術相結合進行教學內容的充實和改進，提高學生有效實施信息安全管理的真正能力。

4.采用“理論→實驗→實踐”相結合的方法組織實施教學

教學過程中探索培養學生增長實踐經驗方法，將特色體現在學生知識體系和操作能力上。在理論教學方面，著重強調信息安全管理體系和國內外信息安全管理標準；在實驗方面，采用適合我國信息化建設所需的信息安全風險管理系統軟件，結合“信息安全綜合模擬實驗平臺”以及漏洞掃描技術軟件，實現高度仿真，同時使學生接觸國際上先進的信息安全風險管理軟件，培養學生管理實施過程中所需專業理念；在社會實踐方面，探討摸索適于學生進行信息安全管理與評估實際體驗的實踐基地和實踐方式。

三、實踐教學模式分析

信息安全專業建設思路是在本專業建設中，不僅要重視構建合理完備的理論課程體系，而且還要強調建立良好的實踐教學體系，幫助學生在實踐中把握理論知識，掌握基本的信息安全技能，培養綜合素質高、善于理論聯系實踐的信息安全應用型人才。

“信息安全管理與風險評估”課程的實踐教學模式改革緊緊圍繞信息安全管理與風險評估的發展趨勢，遵循信息安全專業建設思路，突出信息安全專業應用型人才培養的特色，強調理論與實踐、管理與技術相結合。培養本科層次應用型人才所強調的是對學生崗位操作技能與實務經驗、溝通能力與團隊合作、理論應用的鍛煉和培養。“信息安全管理與風險評估”課程的實踐教學模式改革正是從上述考慮出發，在現有“信息安全綜合模擬實驗平臺”的基礎上，配置適于國情的信息安全管理軟件以及符合信息安全管理國際標準的國際先進軟件系統，利用高校優勢配置信息安全風險評估綜合環境。通過綜合實驗，使學生深入理解信息安全管理、信息安全風險評估相關的國際、國內標準，培養具有信息安全技術應用能力，掌握先進相關工具的利用手段與方法，達到滿足實際工作需要的信息安全專業高素質、應用型人才培養目標，進一步為創新性人才培養奠定基礎。

通過深化“信息安全管理與風險評估”課程的實踐教學模式，培養信息安全專業學生熟悉信息安全管理和風險評估標準，精通安全產品體系以及安全產品、系統安全評估準則，熟練運用信息安全管理與風險評估軟件，并具有工具軟件的使用與開發能力。通過綜合實驗，使學生深入理解信息安全管理、信息安全風險評估相關的國際、國內標準，培養具有信息安全技術應用能力，掌握先進相關工具的利用手段與方法，達到滿足實際工作需要的信息安全專業應用型、能力型人才培養目標，進一步為創新性人才培養奠定基礎。

四、專業交叉融合實踐探討

在課程建設和教學過程中，力求以“信息安全管理與風險評估”課程建設為例，促進我校信息管理學院各專業間交叉滲透，推動學院工作發展，凝練辦學特色。

我校信息管理學院設有信息管理與信息系統、信息安全、計算機審計、電子商務、管理科學與工程5個專業。“信息安全管理與風險評估”其管理思想根源于管理科學與工程，符合管理學原理與方法，與現代質量管理學特別是質量管理體系高度一致。“信息安全管理與風險評估”其管理和評估的對象正是信息化中占重要地位的信息系統和電子商務系統，并且未來系統的安全是要求建立在供應鏈上節點間電子商務系統安全需求之上的。教學過程中強調學生要充分理解業務流程才能有效實現信息系統安全。諸如此類信息系統的安全將成為“信息安全管理與風險評估”的“的”，而“信息安全管理”也會為信息管理與信息系統以及電子商務系統添加一把鋒利的“矢”。與此呼應，“信息安全管理與風險評估”同樣支撐信息管理與信息系統、計算機審計等專業建設。國家審計署強調的“電算化系統審計中的一個重要部分是信息安全風險評估”是最有力的佐證。既理解業務流程和安全需求，又掌握支撐軟件開發技術的學生，具有開發信息安全管理系統、風險評估系統的能力。鑒于上述問題，在教學上實現交叉滲透，支撐特色專業建設。

五、結束語

本文在介紹信息安全專業培養目標的基礎上，總結了在“信息安全管理與風險評估”課程建設中教學內容改革和實踐教學模式分析等方面的相關工作，初步對專業交叉融合的實踐進行探討。為提高“信息安全管理與風險評估”課程教學效果，從而促進信息安全專業課程體系建設以及信息安全專業特色建設奠定了基礎。

積極開展教學研究，著重探討信息安全管理理論與信息安全技術內容緊密結合的教學內容，從學生的實際水平和社會的實際需求出發，按照教學規律，依據教育部信息安全類專業教學指導委員會編制的《信息安全類專業指導性專業規范》，理順信息安全管理與評估先修課程設置內容及其內在聯系，形成并逐步完善信息安全管理與評估課程體系。通過調研和培訓等方式，用實際內容充實課程內容建設。將教師的科研與教學相結合，并以科研促進教學，將前沿的信息安全管理理論與方法以及實用的信息安全風險評估方法和技術引入到課堂教學內容中來。使信息安全專業的學生了解掌握先進的信息安全標準和信息安全管理最佳實踐，以充分發揮學生在信息安全技術方面的特長，使信息安全專業學生緊跟信息安全管理的新思想，使信息安全管理與評估課程在培養學生“厚基礎、寬口徑、強實踐、高素質”方面具有鮮明的特色。

參考文獻：

[1]李建華.信息安全技術發展與信息安全保密管理[J].保密科學技術，2013，（3）：6-12.

[2]沈昌祥.云計算安全與等級保護[J].信息安全與通信保密，2012，

（1）：16-17.

[3]蔣文保，李忱.高校信息安全專業應用型人才培養模式探討[J].信息安全與通信保密，2007，（9）：172-175.

（責任編輯：王意琴）