基于ISO/IEC27001標準的高校信息安全治理*

何濟玲 陳仕品 程吉麟 艾賢明

?

基于ISO/IEC27001標準的高校信息安全治理*

何濟玲 陳仕品[通訊作者]程吉麟 艾賢明

（西華師范大學教育學院，四川南充 637000）

針對當前我國高校在信息安全方面存在的主要問題，文章根據信息安全管理的ISO/IEC27001標準，從管理層面建立了一套基于ISO/IEC27001標準的高校信息安全治理體系，提出了基于ISO/IEC27001標準的高校信息安全治理過程模型，優化了高校信息安全治理流程，完善了高校信息安全管控機制，從而有利于保障高校信息化服務長期穩定地運行，為改善我國高校的信息安全治理提供參考。

高校信息化；ISO/IEC27001標準；信息安全治理體系；PDCA模型

隨著我國高校信息化進程的不斷深入，高校信息化基礎設施建設已基本完成并日趨完善，高校行政辦公系統、網絡教學平臺、科研管理系統等一系列信息化服務已經取得良好的應用效果，高校信息化總體水平有了顯著的提升。然而，自棱鏡門事件爆發以來，高校信息安全問題越來越成為高校信息化建設關注的焦點，特別是在云計算和大數據時代，高校的信息越來越需要安全保障。我國高校在信息安全方面主要存在著“信息安全防范意識薄弱，信息安全防控技術單一”[1][2]、“信息安全治理體系不健全，信息安全管控機制缺失”[3][4][5]等主要問題。信息安全問題已經成為影響高校信息化水平的短板，嚴重地制約著高校信息化服務的質量。如何建立一套完善的高校信息安全治理體系，保障高校信息化服務長期穩定地運行，這已經成為當前我國高校信息化迫切需要解決的問題。長期以來，高校信息化存在著一種技術取向，認為高校信息安全問題只是一個技術問題，因此高校信息安全治理僅僅停留在以技術手段來解決信息安全問題。事實上，高校信息安全治理不僅是技術問題，而且是管理問題。據統計，高校信息安全事件中大約有70%以上的問題是由管理因素造成的，如政策法規的不完善、管理制度的不健全、安全意識的淡薄、操作過程的失誤等[6]。因此，高校信息安全治理迫切需要超越傳統的從技術層面上解決信息安全問題的觀念，而提升到從管理層面上建立一套完善的高校信息安全治理體系，以保障高校信息化服務的質量。

一信息安全治理與ISO/IEC27001標準

1 信息安全治理

國際標準化組織將“信息安全”定義為保護信息的可用性、完整性、保密性和可靠性。綜合有關信息安全的各種定義，可將信息安全概括為：始終維護信息的保密性、完整性和可靠性，確保信息不會泄漏給非授權用戶、不會被惡意篡改，并確保信息能被正常存儲、訪問和使用。信息安全主要包括物理安全、網絡安全、主機安全、應用系統安全和數據安全。組織的信息安全對于保障信息系統的安全、可靠、高效和正常運行具有重大的意義。

信息安全管理與信息安全治理不是同一概念——信息安全管理是信息安全治理的重要內容；信息安全治理則是動態地執行信息安全管理的整個過程，對此過程的決策和監督由組織的最高層完成。信息安全治理不僅涉及組織結構、組織戰略方針，還涉及組織的制度規范、業務運行以及技術應用等方面，無論哪一方面治理措施不到位，都將影響組織的整體信息安全，引發“短板效應”。為全面保障組織的信息安全，高校信息安全治理需要從系統化的角度來考慮其措施的制定和實施。

2 ISO/IEC27001標準

ISO/IEC27001標準是由國際標準化組織頒布的一個信息安全管理國際標準，也是一個專門用于組織為自己的信息安全管理體系（ISMS）量身定做的參照標準，它定義了一整套的信息安全管控目標和方法，并建議組織在實施安全管理流程中應用“計劃（Plan）—執行（Do）—檢查（Check）—處理（Act）”（簡稱PDCA模型）過程方法[7]。依據ISO/IEC27001標準所建立的信息安全治理體系，可以在很大程度上提高高校信息安全管理工作的可靠性，使其擁有的安全防護架構、管理措施和保障機制更易于管控，并通過這種系統化的管理方法和持續的改進，來增強高校在不斷變化的信息安全風險環境中的自我保護能力。

PDCA模型是信息安全防護體系的核心，它是一個持續改進模型，主張管理過程按照“計劃—執行—檢查—處理”這四個階段的順序依次展開，然后總結成功經驗并制定出相應的標準，再把未解決的或新出現的問題轉入下一個PDCA循環——這樣層層循環，將不斷出現的問題逐步解決，管理水平在這一過程中就能得到進一步的提高。將PDCA模型引入到高校信息安全治理體系中，按照“計劃—執行—檢查—處理”的順序進行信息安全保障工作，使高校在信息安全管理流程中每經過一個PDCA周期，管理體系都會得到一定程度的改善；總結治理經驗文檔化管理標準，再進入到下一個更高層次的管理周期，以期通過連續不斷的PDCA循環，使高校的信息安全管理體系能夠得到持續的改進，并使管理水平得以不斷提升。簡而言之，基于ISO/IEC27001標準的高校信息安全治理體系是一種動態管理模式，核心在于通過持續不斷地改進信息安全管理體系，使高校的各項業務運作能夠在有效控制的狀態下達到穩步發展的安全治理目標[8]。

二基于ISO/IEC27001標準的高校信息安全治理體系

根據ISO/IEC27001標準開展高校信息安全治理，其首要任務是建立和完善高校信息安全治理體系。高校信息安全治理體系主要由信息安全組織體系、信息安全管控體系、信息安全技術體系、信息安全政策體系構成，通過合理的組織、政策與技術的協調管理、完善的信息安全保障體系，為信息安全治理提供有效的保障與支持。

1 高校信息安全組織體系

高校信息安全組織體系為高校內部信息安全治理提供組織保障。該體系包括決策層、管理層和執行層，如表1所示。其中，高校信息化領導小組（包括高校的CIO在內）位于決策層，負責研判高校可以接受的風險程度、制定高校內部風險管控的決策；高校信息化辦公室位于管理層，負責貫徹落實高校的信息安全治理決策，評估高校內部的信息安全風險級別，制定可執行的信息安全治理策略、標準和程序，提出具體的高校信息安全治理的解決方案；高校信息安全管理中心則位于執行層，主要由信息安全管理人員和技術人員組成，負責實施、運行并維護高校的信息安全解決方案，并向信息化辦公室反饋信息安全治理的績效。信息化辦公室對信息安全治理的整個過程和績效進行監督，并以報告的形式向信息化領導小組進行匯報，同時進一步完善高校的信息安全治理策略。

表1 高校信息安全組織體系

2 高校信息安全管控體系

高校信息安全管控體系是保障整個信息化安全治理體系有效運行并得以持續改進的框架體系。該體系涉及的管理內容范圍廣泛，其基本框架包括業務連續性監管、設備與環境的管理與合規性監管等，并負責正確解讀和落實信息安全法律法規、建立校內信息安全規章制度、制定信息安全事件的應急響應機制和審計與評審機制、開展信息安全教育培訓等工作。在管理實踐過程中，不僅應該注重逐步程序化工作機制，還要對規章制度實現文件化管理。需要注意的是，在管理過程中應注重與高校現有業務的融合。因為信息安全治理的最終目的就是為了給高校業務發展提供最安全的環境，而信息安全治理體系是為高校業務發展服務的，所以要注重在信息安全管理的過程中與業務應用相結合，將信息安全管理中先進的理念和有效的措施逐步融合到高校的業務流程中，保障高校業務穩定地運行。與信息安全管控體系配套的是信息安全管控機制，它包含響應機制和監督機制——響應機制是處理信息安全事故的應急機制，若缺乏信息安全響應機制，出現安全事故時將不知如何處理，也無法追蹤相關蹤跡，從而延誤事故的解決時機、增加安全事故帶來的損失；監督機制是信息安全各項措施得以有效實施的保障，若缺乏信息安全的監督機制，將削弱信息安全各項措施的執行效果，導致責任追究制度無法有效履行。

3 高校信息安全技術體系

表2 高校信息安全技術體系[9]

高校信息安全技術體系如表2所示，采用“縱深防御模型”，分為物理、網絡、主機、應用、數據等五個層級：①物理安全是為了防止物理基礎設施等資產的損壞或丟失、敏感信息的泄露和業務的中斷，可通過門禁系統、警衛和監控系統增加物理安全預警功能；②網絡是入侵者攻擊網絡信息系統的渠道，精心設計的網絡體系結構可以提供更加安全可靠的網絡服務，網絡安全需要防火墻、安全入侵檢測和漏洞掃描等技術進行管控，確保有線網絡和無線網絡安全；③主機主要包括服務器和客戶機，主機安全主要針對默認操作系統的安裝情況和配置情況，可以通過禁用服務、設置用戶權限等開展主機防御，對其操作系統進行安全加固，再加上身份驗證和主機入侵檢測等措施，確保主機安全；④應用系統安全主要從應用系統的設計、開發、運行和維護等四個方面進行防護，可以通過應用系統安全加固、防病毒和身份認證等技術手段保障應用系統的安全；⑤數據是一個組織最重要的資產，數據安全是組織信息安全的最后一道防線，可以在信息系統中通過加密來確保數據傳輸的安全，還可采用多種介質定期備份來保證數據存儲的安全。

高校信息安全技術體系是保護校內信息資產和應用系統免遭外部攻擊的堅實屏障，其五個層級具有各自不同的治理技術手段和管理方法，旨在維護高校資產及系統的安全性和穩定性。這五個層級只有結合其自身的管理優勢，并通過校內組織決策層的合理調配，才能形成“穩固”的信息安全保障體系。

4 高校信息安全政策體系

從宏觀上分析，信息安全治理實際上屬于一項系統工程，它不僅僅涉及管理層面和技術層面的內容，還設計法律法規和政策體系層面的內容。高校應根據國家相關法律法規，建構符合本校的信息安全政策體系。高校信息安全政策體系所針對的對象不僅僅包含高校信息安全管理人員，還應該包括所有與高校業務有相關聯系的人員。要做好信息安全治理這項大工程，就要從各個角度和層面來具體分析學校在信息安全管理上存在的問題和現實情況，同時需要決策者和管理層從戰略角度綜合考慮影響高校的信息安全因素和一線信息安全實踐者的意見，在制定相關政策的同時嚴格執行，系統化地管理校內信息資源、物力資源、人力資源及財產的安全。

三基于ISO/IEC27001標準的高校信息安全治理過程模型

高校信息安全風險治理過程是一個高校信息安全治理組織依據學校制定的信息安全需求與目標，按照特定的執行程序和防控措施，引導每一輪信息安全治理的流程，達到防控和解決信息安全的過程。根據ISO/IEC27001標準開展高校信息安全治理，不僅要建立高校信息安全治理體系，還要完善高校信息安全治理過程。高校信息安全治理過程以高校信息安全治理體系為依托，依據ISO/IEC27001標準，利用PDCA管理模式執行相應的信息安全治理策略，在經過一個周期的治理過程后，通過改進完善策略進入下一輪的治理過程，以期通過這種持續動態的治理過程，達到理想的信息安全治理效果。

ISO/IEC27001標準為高校信息安全治理過程提供了依據。2011年，Humphreys[10]在《信息安全管理體系標準》一文中提出了風險管理過程模型。將該模型應用于高校信息安全治理，可以構建出基于ISO/IEC27001標準的高校信息安全治理過程模型。基于ISO/IEC27001標準的高校信息安全治理過程模型是一個動態PDCA循環過程，包括計劃、執行、檢查和處理四個環節的循環過程（如圖1所示）：①在計劃環節，需要明確高校信息安全治理的遠景目標，開展高校信息安全管理體系的風險評估，制定管理決策，擬定風險控制策略（包括風險預警策略、安全防護策略、安全控制策略、事故應急響應管理策略等）；②在執行環節，針對高校信息安全管理體系中存在的風險問題，確定信息安全事件等級，采取相應的風險管控策略對風險事故開展風險控制；③在檢查環節，主要監控和評估高校信息安全控制的績效，檢查信息安全風險問題是否已經妥善解決，并對實施的風險管控體系和應急控制措施是否到位予以評估；④在處理環節，主要改進和完善高校信息安全管控體系的風險控制策略。若信息安全風險問題已經解決，則依據檢測結果，把成功的風險管控經驗進行標準化或存檔；若信息安全風險問題尚未解決妥當，則及時采取行動，對先前擬定的相關安全管控體系進行改善，重新制定新的風險管制策略，并進入下一次循環，再次對出現的風險問題進行評估和治理。

圖1 基于ISO/IEC27001標準的高校信息安全治理過程模型

安全只是一個相對概念，信息安全問題是長期存在的，并非一次性就能得以解決。因此，在實施高校信息安全治理的過程中，需要遵循防控為首、系統化、動態改進、規范化、全員參與的原則。而要保障高校的信息資產不受損失，首要的任務就是防控，把好“門”這道關——這也是高校信息安全治理的首要任務。隨著信息技術的不斷發展，高校的信息安全環境也在不斷變化，由于信息安全管理涉及高校各個方面的管理，這就需要按照實施要求，多角度、多層次地制定相關的信息安全策略。除此之外，信息安全治理應該由全員廣泛參與，故需要強化學校內部全體師生和管理人員的安全防護意識，將信息安全保護落實為全員的行動。

四小結

信息安全治理是高校信息化治理的重要內容，也是高校信息化服務穩定運行的重要保障。高校信息安全治理必須超越傳統的從技術層面上解決信息安全問題，而提升到從治理層面上建立一套完善的信息安全治理體系，優化信息化治理的流程，健全信息安全治理機制。基于此，本研究構建了基于ISO/IEC27001標準的高校信息安全治理體系，提出了基于ISO/IEC27001標準的高校信息安全治理過程模型，采用PDCA管理模式優化了高校信息安全治理的流程。基于ISO/IEC27001標準的高校信息安全治理體系從信息安全組織體系、信息安全管控體系、信息安全技術體系和信息安全政策體系等四個方面，為高校信息安全治理提供了有效的保障。在云計算和大數據時代，高校信息安全治理對于保障高校的信息安全、提升高校信息化服務水平具有重要的戰略價值。

[1][3]王延明,許寧.高校信息安全風險分析與保障策略研究[J].情報科學,2014,(10):134-138.

[2]羅國富,王乙明.校園網絡安全防范體系研究與應用[J].現代教育技術,2012,(9):53-56.

[4]黃瑞,鄒霞,黃艷.高校信息化建設進程中信息安全問題成因及對策探析[J].現代教育技術,2014,(3):57-63.

[5]陳憲宇.IT治理在高校信息化建設中的應用研究[J].科技管理研究,2010,(7):133-136.

[6]梁藝軍.高校信息安全管理探討[J].計算機科學,2012,(10):195-197.

[7]The British Standards Institution. Moving from ISO/IEC 27001:2005 to ISO/IEC 27001:2013[OL].

[8]Saxena S, Ramer L, Shulman I. A comprehensive assessment program to improve blood-administering practices using the FOCUS–PDCA model[J]. Transfusion, 2004, (9):1350-1356.

[9]趙剛,羅文.IT管理體系——戰略、管理和服務[M].北京:電子工業出版社,2009:11

[10]Humphreys E. Information security management system standards[J]. Datenschutz und Datensicherheit-DuD, 2011,(1):7-11.

編輯：小米

The Information Security Governance in University based on ISO/IEC27001 Standard

HE Ji-ling CHEN Shi-pin[Corresponding Author]CHEN Ji-lin AI Xian-ming

Aiming at solving the main problems of information security existing in our colleges and universities, this paper established a set of information security governance system according to ISO/IEC27001 standard, and put forward the university information security governance process model based on ISO/ IEC27001 standard. The university information security management process was optimized, the university information security management control mechanism was perfected, which was conducive to the long-term stable operation of the information service and provided reference for improving information security management in universities.

university informatization; ISO/IEC27001 standard; information security governance system; PDCA model

G40-057

A

1009—8097（2016）09—0060—06

10.3969/j.issn.1009-8097.2016.09.009

本文為國家社科基金一般項目“高校信息化建設的機構、過程和機制研究”(項目編號:12BGL097)的階段性研究成果。

何濟玲，副研究員，碩士，研究方向為高等教育信息化，郵箱為jilinghe@163.com。

2016年1月27日