基于風(fēng)險控制的大學(xué)信息安全政策體系構(gòu)建

周秀霞?承砹?

〔摘要〕[目的/意義]通過對美國8所大學(xué)的信息安全政策體系進(jìn)行研究，為國內(nèi)大學(xué)加強(qiáng)信息安全政策體系建設(shè)提供有益的參考。[方法/過程]采用網(wǎng)站調(diào)查法和案例分析法研究了美國大學(xué)的信息安全政策構(gòu)建的模式和特點。[結(jié)果/結(jié)論]基于對美國大學(xué)信息安全政策體系構(gòu)建特點的分析，提出了5項啟示性建議。

〔關(guān)鍵詞〕美國大學(xué)；信息安全；風(fēng)險控制；政策體系

DOI：10.3969/j.issn.1008-081.016.10.017

〔中圖分類號〕G03〔文獻(xiàn)標(biāo)識碼〕A〔文章編號〕1008-081（016）10-010-05

〔Abstract〕[Purpose/Significance]The article analyzed the information security policy system based on risk control of 8 universities in the United States，in order to provide useful references for strengthening the information security policy system in our country.[Method/Process]This paper adopted web survey and case analysis methods to study the model and characteristics of the information security policy system.[Result/Conclusion]Based on analyses of the characteristics of the information security policy system in American Universities，this paper put forward five suggestions.

〔Key words〕american university；information security；risk control；policy system

隨著信息時代的到來，信息以前所未有的速度增長著，在帶來巨大效益的同時，也對安全進(jìn)行了重新定義，信息安全成為人們持續(xù)關(guān)注的問題。尤其是機(jī)構(gòu)部門，更注重信息安全政策的制訂與發(fā)展，以控制信息安全風(fēng)險，保護(hù)其組織內(nèi)信息資產(chǎn)的保密性、完整性和可用性，避免因政策缺失而導(dǎo)致的信息損失。作為致力于高等教學(xué)與研究的大學(xué)，其內(nèi)部聚集了大量的信息資產(chǎn)、知識資產(chǎn)和智力資產(chǎn)，信息安全保護(hù)更是不可或缺。

當(dāng)前，越來越多大學(xué)的正常運轉(zhuǎn)取決于其信息技術(shù)基礎(chǔ)設(shè)施的可靠性，從大學(xué)的教學(xué)實施、學(xué)術(shù)使命到大學(xué)行政管理的網(wǎng)絡(luò)化等，信息技術(shù)基礎(chǔ)設(shè)施已成為大學(xué)日常運作的關(guān)鍵。而首要的就是如何通過制訂不同的信息安全政策來保障大學(xué)的信息安全，引導(dǎo)校內(nèi)所有教職工、學(xué)生以及校外人員了解并遵循這些政策，以提升大學(xué)資源的規(guī)范應(yīng)用，維護(hù)大學(xué)利益，維護(hù)個人信息安全。

在這方面，美國的大學(xué)卓有成效，基本上美國的大學(xué)都建立起了一套相對完善的信息安全政策體系，并設(shè)有專門的管理機(jī)構(gòu)，以進(jìn)行風(fēng)險控制，降低信息安全風(fēng)險，應(yīng)對各類信息安全問題。本文采用網(wǎng)絡(luò)調(diào)研的方法，選取了美國8所大學(xué)，包括俄亥俄州立大學(xué)、普林斯頓大學(xué)、斯坦福大學(xué)、卡耐基-梅隆大學(xué)、耶魯大學(xué)、華盛頓大學(xué)、波士頓大學(xué)、亞利桑那大學(xué)作為分析對象，對其信息安全的政策體系進(jìn)行深入地分析，以反映美國大學(xué)信息安全政策體系的建設(shè)情況，為國內(nèi)大學(xué)加強(qiáng)信息安全政策體系建設(shè)提供有益的參考。

1美國大學(xué)信息安全政策的構(gòu)建模式

英國教育家紐曼說過，大學(xué)的職責(zé)是提供智能、理性和思考的練習(xí)環(huán)境，讓年輕人憑借自身所具有的敏銳、坦蕩、同情力、觀察力在共同的學(xué)習(xí)、生活、自由交談和辯論中，得到受益一生的思維訓(xùn)練。

大學(xué)信息安全政策屬于大學(xué)行政管理的范疇，從側(cè)面也呈現(xiàn)了大學(xué)的這些職能特征，其制定基本上秉持了以下目標(biāo)：（1）大學(xué)信息資源，尤其是科研數(shù)據(jù)、機(jī)構(gòu)數(shù)據(jù)等的安全保障，以實現(xiàn)大學(xué)的學(xué)術(shù)文化傳承；（2）維護(hù)個人信息、數(shù)據(jù)安全；（3）基于知識產(chǎn)權(quán)與信息道德倫理等的考量，保證信息資源的分級、分類、合規(guī)利用；（4）維護(hù)大學(xué)的信息戰(zhàn)略或?qū)＠⑵放苾r值；（5）信息風(fēng)險控制，減少損失，提高效益；（6）維護(hù)大學(xué)信息基礎(chǔ)設(shè)施的安全；（7）校內(nèi)教職工、學(xué)生的信息行為規(guī)范等。

016年10月第36卷第10期現(xiàn)？代？情？報Journal of Modern InformationOct，016Vol36No10016年10月第36卷第10期基于風(fēng)險控制的大學(xué)信息安全政策體系構(gòu)建Oct，016Vol36No10基于這些目標(biāo)制定的信息安全政策存在著內(nèi)在邏輯性，自然成體系。如俄亥俄州立大學(xué)的信息安全與風(fēng)險管理政策框架（如圖1所示），其將信息安全政策體系以金字塔的形式呈現(xiàn)出來。其中，IT安全政策是高層次的信息安全要求，其具體體現(xiàn)了大學(xué)關(guān)于信息安全的整體設(shè)想，以及具體的支撐和推進(jìn)方法。其下依次是信息安全標(biāo)準(zhǔn)、信息安全控制要求，信息安全控制要求的每個安全控制依據(jù)信息安全標(biāo)準(zhǔn)具體進(jìn)行實施。金字塔最底層為以文件程序、列表、軟件工具形式展示的工作指南，以推進(jìn)政策的有效控制實施。金字塔兩側(cè)為機(jī)構(gòu)數(shù)據(jù)政策和信息風(fēng)險管理框架兩項重點政策，機(jī)構(gòu)數(shù)據(jù)政策通過對數(shù)據(jù)進(jìn)行分類進(jìn)行訪問控制。信息風(fēng)險管理框架是與信息安全標(biāo)準(zhǔn)、信息安全控制要求成體系的，對大學(xué)信息安全更高層次的要求，其實施具體包括3個步驟：（1）評估信息的風(fēng)險；（2）實施信息安全計劃；（3）驗證是否符合信息安全的程序和法律法規(guī)[2]。

在信息安全標(biāo)準(zhǔn)的設(shè)計制訂中，俄亥俄州立大學(xué)遵循了3個原則：（1）簡化設(shè)計，將又長又復(fù)雜的NIST SP 800-53標(biāo)準(zhǔn)進(jìn)行簡化，僅定義了30個風(fēng)險領(lǐng)域，7個業(yè)務(wù)功能，包括管理風(fēng)險、法律風(fēng)險、業(yè)務(wù)（金融）風(fēng)險、采購風(fēng)險、人力資源風(fēng)險、設(shè)施風(fēng)險、信息技術(shù)風(fēng)險，未來還將加入機(jī)構(gòu)數(shù)據(jù)風(fēng)險；（2）編寫人員包括業(yè)務(wù)領(lǐng)導(dǎo)、管理人員和IT專業(yè)人員等，打破了以往信息安全標(biāo)準(zhǔn)編寫人員一般都是IT專業(yè)人員或風(fēng)險管理人員的常規(guī)；（3）對風(fēng)險等級進(jìn)行定義：P1（關(guān)鍵優(yōu)先）、P2（高優(yōu)先）、P3（中等優(yōu)先）[3]。

圖1俄亥俄州立大學(xué)信息安全與風(fēng)險管理政策框架

為保證大學(xué)信息、數(shù)據(jù)的可用性、完整性和機(jī)密性，美國大學(xué)一般都會進(jìn)行信息風(fēng)險管理，用于識別、評估信息風(fēng)險，將其降低到最低或可以接受的水平，并通過政策、機(jī)制等來持續(xù)維持這種水平。其風(fēng)險控制基本上依據(jù)《ISO 27002：信息技術(shù)-安全技術(shù)-信息安全控制使用規(guī)則》（Security Techniques-code of Practice for Information Security Management）、《IT基礎(chǔ)架構(gòu)庫》（ITIL）、《健康信息信任聯(lián)盟公共安全框架》（HITRUST Common Security Framework）、《推薦的聯(lián)邦政府信息和組織的安全控制措施》（NIST SP 800-53，Recommended Security Controls for Federal Information Systems and Organizations）等標(biāo)準(zhǔn)進(jìn)行規(guī)范運作，一般都包括風(fēng)險分析、風(fēng)險管理、風(fēng)險監(jiān)控、風(fēng)險治理等環(huán)節(jié)。可以說，風(fēng)險控制是美國大學(xué)信息安全政策制訂的重要內(nèi)容，也是大學(xué)實施信息安全管理的目標(biāo)之一。

美國大學(xué)信息安全政策建設(shè)情況

美國非常重視大學(xué)的信息化建設(shè)，早在1990年，美國麻省理工學(xué)院教授Kenneth C Green就提出了“校園信息化”的概念，并啟動了高校信息化科研課題：Campus Computing Project（簡稱CCP）[4]。通過對美國大學(xué)一年一度的調(diào)查研究，著重研究信息技術(shù)在大學(xué)教育中的作用。據(jù)CCP 2015年的調(diào)查報告顯示，有76%的被調(diào)查大學(xué)認(rèn)為網(wǎng)絡(luò)與數(shù)據(jù)安全在校園IT的建設(shè)中非常重要，僅次于“協(xié)助教師整合信息技術(shù)”、“招聘和留住合格的IT員工”、“提供足夠的用戶支持”，位于第4位[5]。因此，美國的大學(xué)不僅重視IT安全技術(shù)的應(yīng)用研究，也比較重視信息安全政策的制訂、實施，一般的大學(xué)都制訂有比較系統(tǒng)、完善的信息安全政策。從公立、私立、大學(xué)的規(guī)模、知名度等角度，筆者選取了以下8所美國大學(xué)，就其信息安全政策的情況進(jìn)行了調(diào)研，以反映美國大學(xué)信息安全政策的建設(shè)情況，具體情況見表1。

表1美國8所大學(xué)信息安全政策的建設(shè)情況

大學(xué)主管機(jī)構(gòu)主管官員政策標(biāo)準(zhǔn)指南俄亥俄州立大學(xué)[6]信息安全工作組，信息安全聯(lián)系小組，信息安全咨詢委員會CIO基于俄亥俄州的信息風(fēng)險管理程序、信息技術(shù)安全政策、數(shù)據(jù)政策、校園內(nèi)計算機(jī)和網(wǎng)絡(luò)資源的合理應(yīng)用等信息安全標(biāo)準(zhǔn)、信息安全控制要求、信息風(fēng)險管理框架等普林斯頓大學(xué)信息技術(shù)辦公室、信息安全辦公室、數(shù)據(jù)治理指導(dǎo)委員會〖〗信息技術(shù)與首席信息官信息安全政策、信息技術(shù)與數(shù)字資源適用許可、大學(xué)敏感數(shù)據(jù)防泄漏規(guī)程等普林斯頓大學(xué)信息保護(hù)的標(biāo)準(zhǔn)和規(guī)程、信息保密協(xié)議模型等研究數(shù)據(jù)安全指南等斯坦福大學(xué)[8]信息安全辦公室、隱私辦公室首席信息安全官〖〗信息安全的行政管理、加密、風(fēng)險分類、第三方認(rèn)證、數(shù)據(jù)處理、PCI/HIPAA/FERPA的規(guī)定等最低安全標(biāo)準(zhǔn)、PCI DSS認(rèn)證、ISO 27002認(rèn)證、OWASP應(yīng)用安全檢驗標(biāo)準(zhǔn)認(rèn)證、SAS 70 Ⅱ認(rèn)證或SSAE-16認(rèn)證等信息安全入門指南、系統(tǒng)管理員指南、信息安全意識視頻、其他安全資源等卡耐基-梅隆大學(xué)[9]信息安全辦公室、咨詢委員會信息安全總監(jiān)信息安全政策、信息安全的角色和責(zé)任、信息安全程序、大學(xué)政策、規(guī)范性管理的相關(guān)政策等信息安全指南、數(shù)據(jù)分類指南、數(shù)據(jù)保護(hù)指南、數(shù)據(jù)管理指南、數(shù)據(jù)保存指南等耶魯大學(xué)[0]信息安全政策委員會、信息技術(shù)服務(wù)辦公室首席信息安全官信息安全政策與法規(guī)、電子郵件政策、主流信息安全政策、網(wǎng)絡(luò)ID認(rèn)證管理政策、IT異地支持政策、安全性和保密性的需求、網(wǎng)絡(luò)政策、隱私政策、身份和訪問管理等〖〗內(nèi)部主應(yīng)用系統(tǒng)的安全標(biāo)準(zhǔn)等數(shù)據(jù)和應(yīng)用安全、設(shè)備安全等華盛頓大學(xué)]首席信息官辦公室、隱私保障和系統(tǒng)安全委員會首席信息官、隱私主管隱私政策、信息安全和隱私的角色、責(zé)任和定義，信息安全和隱私事件管理政策等Husky ID卡及數(shù)據(jù)準(zhǔn)用性標(biāo)準(zhǔn)、社會安全號碼標(biāo)準(zhǔn)等信息安全指南、社會安全號碼的合理使用指南、信息安全控制和操作實踐等波士頓大學(xué)[2]信息服務(wù)與技術(shù)部信息安全政策、計算機(jī)使用道德規(guī)范、賬戶保護(hù)政策、個人信息保護(hù)策略、數(shù)據(jù)中心安全訪問政策、數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)、基于HIPAA的安全政策、群發(fā)電子郵件政策、谷歌APPS的規(guī)范使用及數(shù)據(jù)安全政策等〖〗信息安全管理指南、社交媒體指南等亞利桑那大學(xué)[3]大學(xué)規(guī)范委員會、IT安全委員會、信息安全委員會首席信息官、大學(xué)信息主管信息安全政策（IS-100）、計算機(jī)和網(wǎng)絡(luò)訪問協(xié)議（IS-700）、計算機(jī)的使用許可政策（IS-701）、電子隱私政策（IS-1000）等數(shù)據(jù)分類和處理標(biāo)準(zhǔn)（IS-2321）、亞利桑那大學(xué)安全框架等學(xué)生信息隱私指南、FERPA規(guī)范手冊等

對以上8所美國大學(xué)信息安全政策制訂情況進(jìn)行分析，可以發(fā)現(xiàn)其基本具有以下特點：

（1）受體制、文化、管理制度等的影響，美國大學(xué)基本上都很重視信息安全政策的制訂和落實，一般都設(shè)有實體的信息安全管理部門，譬如波士頓大學(xué)的信息服務(wù)與技術(shù)部、卡耐基-梅隆大學(xué)的信息安全辦公室等；并設(shè)有專門的人員負(fù)責(zé)信息安全政策的制訂、協(xié)調(diào)各項信息安全工作、制定技術(shù)解決方案等，其直接向校董事會匯報，如耶魯大學(xué)的首席信息安全官、普林斯頓大學(xué)的信息技術(shù)與首席信息官等。沒有實體信息安全管理機(jī)構(gòu)的大學(xué)，一般由大學(xué)規(guī)范委員會、IT安全委員會、信息安全委員會等負(fù)責(zé)信息安全政策的制訂、實施與評價。有的大學(xué)還建有數(shù)據(jù)治理指導(dǎo)委員會、信息安全咨詢委員會等機(jī)構(gòu)，其主要是指導(dǎo)、監(jiān)督信息安全政策的制訂、實施，確保其有效、合規(guī)、合法。

（2）美國大學(xué)的信息安全政策是美國政府政策、法規(guī)、標(biāo)準(zhǔn)等在大學(xué)的實踐應(yīng)用。如俄亥俄州立大學(xué)制訂了大學(xué)的機(jī)構(gòu)數(shù)據(jù)分類標(biāo)準(zhǔn)，其依據(jù)的是《美國聯(lián)邦信息處理標(biāo)準(zhǔn)》（Federal Information Processing Standards，F(xiàn)IPS 199）、《聯(lián)邦信息和信息系統(tǒng)的安全分類標(biāo)準(zhǔn)》（Standards for Security Categorization of Federal Information and Information Systems）、美國國家標(biāo)準(zhǔn)與技術(shù)研究院（Standards for Security Categorization of Federal Information and Information Systems）發(fā)布的SP 80-53第4次修訂版《聯(lián)邦組織和信息系統(tǒng)的安全與隱私控制》（Security and Privacy Controls for Federal Information Systems and Organizations）等；波士頓大學(xué)的《基于HIPAA的安全政策》是美國《醫(yī)治保險攜帶和責(zé)任法》（Health Insurance Portability and Accountability Act，HIPAA）在大學(xué)的具體應(yīng)用。諸如此類，美國大學(xué)的信息安全政策或多或少體現(xiàn)了以下的美國法規(guī)、政策：《信息自由法》（Freedom of Information Act，簡稱FOIA）、《聯(lián)邦信息資源的管理》（The Management of Federal Information Resources）、《數(shù)字千年版權(quán)法》（The Digital Millennium Copyright Act of 1998，DMCA）、《懲治計算機(jī)與濫用法》（Computer Fraud Abuse Act of 1984，CFAA）、《聯(lián)邦信息安全管理法案》（Federal Information Security Management Act of 2002，F(xiàn)ISMA）、《隱私保護(hù)法》（The Right to Privacy Protection Act of 1980）、《電子通訊隱私法》（The Electronic Communicatio Privacy Act）、《網(wǎng)絡(luò)安全法案》（Cybersecurity Act）、《關(guān)鍵基礎(chǔ)設(shè)施信息保護(hù)法》（Critical Infrastructure Information Act）、《醫(yī)治保險攜帶和責(zé)任法》（Health Insurance Portability and Accountability Act，HIPAA）、《家庭教育權(quán)利和隱私權(quán)法》（Family Educational Rights and Privacy Act of 1974，F(xiàn)ERPA）、PCI數(shù)據(jù)安全標(biāo)準(zhǔn)（Payment Card Industry Data Security Standard）、《薩班斯法案》（SOX）等。

（3）美國大學(xué)的信息安全政策基本是都是體系化、系統(tǒng)化的，具體表現(xiàn)在以下幾個方面：①覆蓋了大學(xué)使用信息技術(shù)、需要信息保護(hù)的各個領(lǐng)域范圍，包括機(jī)構(gòu)數(shù)據(jù)、研究數(shù)據(jù)、健康數(shù)據(jù)、支付卡數(shù)據(jù)、個人隱私、信息技術(shù)設(shè)施使用等各個方面；②適用群體基本全覆蓋，一般在政策的開始都會闡明政策適用的群體，對于例外的一些群體會有解釋，或有其他政策適用于這些例外的群體；③會根據(jù)聯(lián)邦政府、州政府等政策的修訂，信息技術(shù)的發(fā)展等情況，定期對政策進(jìn)行修訂或者制訂適應(yīng)的新的政策，一般在政策上都會標(biāo)明制訂政策的最初時間、上次修訂的時間、最新修訂的時間等。④政策在美國大學(xué)中是一個泛指的概念，它既包括那些用來指導(dǎo)和溝通思想與行動方針的政策，也包括那些為規(guī)范、精確定位某些活動及其結(jié)果而采用的標(biāo)準(zhǔn)，還包括具體情況中允許或許允許采用某些行為的規(guī)定以及那些有指導(dǎo)意義的指南等，基本上形成了集政策、標(biāo)準(zhǔn)、規(guī)范、程序、指南于一體的政策體系。

（4）信息安全政策內(nèi)容框架清晰、規(guī)范，基本上都明確了闡述了政策的制訂背景、目的、適用范圍、適用群體、術(shù)語解釋、內(nèi)容、版本等。有的政策還闡述了政策的權(quán)威性，政策中不同群體的職責(zé)，政策執(zhí)行的程序等。筆者以上述8所大學(xué)為例，各選取了一項政策，以展示政策內(nèi)容框架的規(guī)范性，詳見表。

表美國8所大學(xué)信息安全政策的內(nèi)容框架

大學(xué)政策名稱政策內(nèi)容框架俄亥俄州立大學(xué)Institutional Data適用對象、政策發(fā)布及修改時間、政策目的、術(shù)語定義、政策內(nèi)容、程序、職責(zé)、參考資源、聯(lián)系方式、修訂記錄普林斯頓大學(xué)Information Security Policy政策聲明，適用對象，術(shù)語定義，政策內(nèi)容，職責(zé)，相關(guān)的大學(xué)政策、程序、標(biāo)準(zhǔn)和模型，政策審查，政策發(fā)布及修改時間，聯(lián)系方式斯坦福大學(xué)Information Security Incident Response上次修改時間、政策編號、權(quán)威性、適用范圍、政策目的、定義、響應(yīng)、調(diào)查、信息安全事件響應(yīng)小組、準(zhǔn)備報告、相關(guān)文獻(xiàn)、聯(lián)系方式卡耐基-梅隆大學(xué)Information Security Policy政策目的、適用范圍、修訂、例外、定義、政策內(nèi)容、相關(guān)信息、政策發(fā)布及修改時間、聯(lián)系方式耶魯大學(xué)Information Technology Appropriate Use Policy政策發(fā)布及修改時間、政策內(nèi)容目錄、適用范圍、政策聲明、政策目的、定義、政策內(nèi)容華盛頓大學(xué)Information Security Controls and Operational Practices政策目的、適用范圍、安全計劃、執(zhí)行控制、技術(shù)安全及訪問控制、監(jiān)控、物理控制、資產(chǎn)控制、賬戶、身份管理、政策修訂、附件波士頓大學(xué)Information Security Policy生效日期、政策聲明、政策目的、適用范圍、定義、職責(zé)、程序、相關(guān)文獻(xiàn)、聯(lián)系方式亞利桑那大學(xué)Information Security Policy政策信息（包括有效日期、政策編號、負(fù)責(zé)單位、聯(lián)系方式）、政策目的、適用范圍、定義、政策內(nèi)容、規(guī)范性和職責(zé)、相關(guān)信息

3幾點啟示

在研究中，我們發(fā)現(xiàn)美國大學(xué)信息安全政策的制訂有以下幾方面經(jīng)驗值得借鑒：

信息安全政策制訂科學(xué)化、系統(tǒng)化

美國大學(xué)的信息安全政策制訂既有具體的管理部門和管理人員負(fù)責(zé)，從科學(xué)研究、符合客觀需要的角度具體進(jìn)行政策的設(shè)計、制訂、實施與評估；又有咨詢委員會、政策委員會等組織進(jìn)行政策的審議、監(jiān)督，從整體性、全局性和科學(xué)性等的角度進(jìn)行“頂層協(xié)調(diào)”；使信息政策從行政管理的角度防止了“片面化”和“碎片化”的傾向。同時，政策的制訂還考慮了適用人群、適用時間、負(fù)責(zé)機(jī)構(gòu)、負(fù)責(zé)人員等諸多影響因素，并有相對完善的約束機(jī)制，從整體上保證了政策的科學(xué)性、系統(tǒng)性和有效性。

風(fēng)險控制是美國大學(xué)信息政策制訂的基本思想

為了控制風(fēng)險，美國大學(xué)通用的做法是以風(fēng)險的高低程度將信息、數(shù)據(jù)進(jìn)行分類，以分別確定哪些風(fēng)險分類適用于哪些信息、數(shù)據(jù)類型。當(dāng)一項信息、數(shù)據(jù)混合了多種數(shù)據(jù)信息、適用于多個風(fēng)險類別時，將使用最高的風(fēng)險分類。針對不同的風(fēng)險級別，大學(xué)制訂了不同級別的信息安全管理規(guī)范和安全預(yù)防措施，以在保證信息、數(shù)據(jù)的安全、提升管理效率的同時，最大限度地共享信息資產(chǎn)。斯坦福大學(xué)還發(fā)布了《最低安全標(biāo)準(zhǔn)》，是斯坦福大學(xué)對敏感信息的最低安全標(biāo)準(zhǔn)。以個人筆記本終端的系統(tǒng)配置管理為例，其認(rèn)為最低的安全標(biāo)準(zhǔn)是要安裝GigFix和SWDE，如果不安裝，認(rèn)為存在高信息安全風(fēng)險。

33數(shù)據(jù)分級管控是美國大學(xué)信息安全管理的通行做法，以在保護(hù)大學(xué)機(jī)構(gòu)數(shù)據(jù)的同時，保持?jǐn)?shù)據(jù)開放，實現(xiàn)信息共享一般的，美國大學(xué)會依據(jù)數(shù)據(jù)的受法律保護(hù)性、敏感程度、價值、重要性、對大學(xué)的潛在影響、知識產(chǎn)權(quán)和道德考慮等將大學(xué)數(shù)據(jù)分成公共數(shù)據(jù)、內(nèi)部數(shù)據(jù)、私人數(shù)據(jù)、機(jī)密數(shù)據(jù)等幾類，以確定不同數(shù)據(jù)安全保護(hù)的底線，施行不同的管理、訪問、服務(wù)、存儲政策。數(shù)據(jù)分級管控是有周期性的，是基于數(shù)據(jù)的生命周期的，超出生命周期的數(shù)據(jù)要重新進(jìn)行評估、分類，并調(diào)整安全控制的策略。

隱私保護(hù)的政策比較完善

美國大學(xué)非常注重隱私政策的制訂，幾乎所有的大學(xué)都制訂有隱私政策。有的大學(xué)，如華盛頓大學(xué)還設(shè)有隱私主管的崗位，具體負(fù)責(zé)適合大學(xué)的隱私政策、標(biāo)準(zhǔn)、指南等的制訂和推進(jìn)。美國的隱私政策一般都依據(jù)最小特權(quán)原則，在保證大學(xué)相關(guān)人員履行工作職責(zé)的前提下，最大限度地進(jìn)行隱私保護(hù)。

35重視信息安全政策的普及與培訓(xùn)

美國非常重視信息安全的教育與意識培訓(xùn)，并具體體現(xiàn)在美國大學(xué)中。為使大學(xué)的教職員工、學(xué)生、相關(guān)人員等了解信息安全動態(tài)，掌握保障信息安全的方法，熟知大學(xué)相關(guān)的信息安全政策，提高信息安全意識，很多美國大學(xué)都推出了系列的信息安全培訓(xùn)活動，是信息安全政策培訓(xùn)的踐行者。有的大學(xué)的培訓(xùn)并不限于信息安全政策的培訓(xùn)，還包括信息技術(shù)服務(wù)、信息工具應(yīng)用、信息安全評估等。以卡耐基-梅隆大學(xué)為例，其信息安全培訓(xùn)不僅包括文件共享和數(shù)字版權(quán)、網(wǎng)絡(luò)部門的信息安全建議、網(wǎng)絡(luò)安全承諾等政策方面的內(nèi)容，還包括網(wǎng)絡(luò)釣魚訓(xùn)練、網(wǎng)絡(luò)漏洞掃描、信息安全工具輔導(dǎo)應(yīng)用等能力方面的培訓(xùn)，還包括權(quán)威認(rèn)證、安全評估等信息安全服務(wù)方面的內(nèi)容。

4結(jié)語

正如普林斯頓大學(xué)在制訂信息安全政策聲明中所說的，信息安全政策提供了一個安全框架，確保了大學(xué)信息的安全，防止未經(jīng)授權(quán)的訪問、丟失或損壞；同時也是為了支持大學(xué)學(xué)術(shù)文化的開放、共享。總之，信息安全管理是一個大學(xué)的責(zé)任，而且不是僅靠IT技術(shù)就能解決的，信息安全政策是其中重要的一環(huán)。

參考文獻(xiàn)

百度百科.大學(xué)[EB/OL].http：∥baike.baidu.com/link？url=JdaQSg2xLn1rzVJFr9MpzOYBBGeSo2LUxhCYNu1LCd9erXGBIXfhO0 trX4ZPHqcypYIQ191Cmg5XJP5I2SWaXHnKf7tGmMVzu5fjhhu，2015-12-08.

[2]IT security framework[EB/OL].http：∥ocio.osu.edu/itsecurity/framework，2015-12-08.

[3]IT security framework[EB/OL].http：∥ocio.osu.edu/itsecurity/framework，2015-12-08.

[4]林新.美國高校圖書館信息安全管理分析與啟示[J].圖書館建設(shè)，2014，（3）：80-82.

[5]Great faith in the instructional benefits of digital technologies；great expectations for the rising use of OER[EB/OL].http：∥www.campuscomputing.net/item/2015-campus-computing-survey-0，2015-12-08.

[6]Information technology（IT）security university policy[EB/OL].http：∥ocio.osu.edu/sites/default/files/assets/Policies/ITSecurity.pdf，2015-12-08.

Information security policy[EB/OL].http：∥www.princeton.edu/oit/it-policies/it-security-policy/Documents/InformationSecurityPolicy.pdf，2015-12-08.

[8]Information security[EB/OL].http：∥itservices.stanford.edu/security，2015-12-08.

[9]Policies & practices[EB/OL].http：∥www.cmu.edu/iso/governance/index.html，2015-12-08.

[0]Secure computing[EB/OL].http：∥its.yale.edu/secure-computing/security-standards-and-guidance，2015-12-08.

]Policies，standards，and guidelines[EB/OL].http：∥passcouncil.washington.edu/psg/，2015-12-08.

[2]Information security policy and guides[EB/OL].http：∥www.bu.edu/tech/about/policies/info-security/，2015-12-08.