基于ISO/IEC27001标准的高校信息安全治理*

何济玲 陈仕品 程吉麟 艾贤明



基于ISO/IEC27001标准的高校信息安全治理*

何济玲 陈仕品[通讯作者]程吉麟 艾贤明

（西华师范大学教育学院，四川南充 637000）

针对当前我国高校在信息安全方面存在的主要问题，文章根据信息安全管理的ISO/IEC27001标准，从管理层面建立了一套基于ISO/IEC27001标准的高校信息安全治理体系，提出了基于ISO/IEC27001标准的高校信息安全治理过程模型，优化了高校信息安全治理流程，完善了高校信息安全管控机制，从而有利于保障高校信息化服务长期稳定地运行，为改善我国高校的信息安全治理提供参考。

高校信息化；ISO/IEC27001标准；信息安全治理体系；PDCA模型

随着我国高校信息化进程的不断深入，高校信息化基础设施建设已基本完成并日趋完善，高校行政办公系统、网络教学平台、科研管理系统等一系列信息化服务已经取得良好的应用效果，高校信息化总体水平有了显著的提升。然而，自棱镜门事件爆发以来，高校信息安全问题越来越成为高校信息化建设关注的焦点，特别是在云计算和大数据时代，高校的信息越来越需要安全保障。我国高校在信息安全方面主要存在着“信息安全防范意识薄弱，信息安全防控技术单一”[1][2]、“信息安全治理体系不健全，信息安全管控机制缺失”[3][4][5]等主要问题。信息安全问题已经成为影响高校信息化水平的短板，严重地制约着高校信息化服务的质量。如何建立一套完善的高校信息安全治理体系，保障高校信息化服务长期稳定地运行，这已经成为当前我国高校信息化迫切需要解决的问题。长期以来，高校信息化存在着一种技术取向，认为高校信息安全问题只是一个技术问题，因此高校信息安全治理仅仅停留在以技术手段来解决信息安全问题。事实上，高校信息安全治理不仅是技术问题，而且是管理问题。据统计，高校信息安全事件中大约有70%以上的问题是由管理因素造成的，如政策法规的不完善、管理制度的不健全、安全意识的淡薄、操作过程的失误等[6]。因此，高校信息安全治理迫切需要超越传统的从技术层面上解决信息安全问题的观念，而提升到从管理层面上建立一套完善的高校信息安全治理体系，以保障高校信息化服务的质量。

一信息安全治理与ISO/IEC27001标准

1 信息安全治理

国际标准化组织将“信息安全”定义为保护信息的可用性、完整性、保密性和可靠性。综合有关信息安全的各种定义，可将信息安全概括为：始终维护信息的保密性、完整性和可靠性，确保信息不会泄漏给非授权用户、不会被恶意篡改，并确保信息能被正常存储、访问和使用。信息安全主要包括物理安全、网络安全、主机安全、应用系统安全和数据安全。组织的信息安全对于保障信息系统的安全、可靠、高效和正常运行具有重大的意义。

信息安全管理与信息安全治理不是同一概念——信息安全管理是信息安全治理的重要内容；信息安全治理则是动态地执行信息安全管理的整个过程，对此过程的决策和监督由组织的最高层完成。信息安全治理不仅涉及组织结构、组织战略方针，还涉及组织的制度规范、业务运行以及技术应用等方面，无论哪一方面治理措施不到位，都将影响组织的整体信息安全，引发“短板效应”。为全面保障组织的信息安全，高校信息安全治理需要从系统化的角度来考虑其措施的制定和实施。

2 ISO/IEC27001标准

ISO/IEC27001标准是由国际标准化组织颁布的一个信息安全管理国际标准，也是一个专门用于组织为自己的信息安全管理体系（ISMS）量身定做的参照标准，它定义了一整套的信息安全管控目标和方法，并建议组织在实施安全管理流程中应用“计划（Plan）—执行（Do）—检查（Check）—处理（Act）”（简称PDCA模型）过程方法[7]。依据ISO/IEC27001标准所建立的信息安全治理体系，可以在很大程度上提高高校信息安全管理工作的可靠性，使其拥有的安全防护架构、管理措施和保障机制更易于管控，并通过这种系统化的管理方法和持续的改进，来增强高校在不断变化的信息安全风险环境中的自我保护能力。

PDCA模型是信息安全防护体系的核心，它是一个持续改进模型，主张管理过程按照“计划—执行—检查—处理”这四个阶段的顺序依次展开，然后总结成功经验并制定出相应的标准，再把未解决的或新出现的问题转入下一个PDCA循环——这样层层循环，将不断出现的问题逐步解决，管理水平在这一过程中就能得到进一步的提高。将PDCA模型引入到高校信息安全治理体系中，按照“计划—执行—检查—处理”的顺序进行信息安全保障工作，使高校在信息安全管理流程中每经过一个PDCA周期，管理体系都会得到一定程度的改善；总结治理经验文档化管理标准，再进入到下一个更高层次的管理周期，以期通过连续不断的PDCA循环，使高校的信息安全管理体系能够得到持续的改进，并使管理水平得以不断提升。简而言之，基于ISO/IEC27001标准的高校信息安全治理体系是一种动态管理模式，核心在于通过持续不断地改进信息安全管理体系，使高校的各项业务运作能够在有效控制的状态下达到稳步发展的安全治理目标[8]。

二基于ISO/IEC27001标准的高校信息安全治理体系

根据ISO/IEC27001标准开展高校信息安全治理，其首要任务是建立和完善高校信息安全治理体系。高校信息安全治理体系主要由信息安全组织体系、信息安全管控体系、信息安全技术体系、信息安全政策体系构成，通过合理的组织、政策与技术的协调管理、完善的信息安全保障体系，为信息安全治理提供有效的保障与支持。

1 高校信息安全组织体系

高校信息安全组织体系为高校内部信息安全治理提供组织保障。该体系包括决策层、管理层和执行层，如表1所示。其中，高校信息化领导小组（包括高校的CIO在内）位于决策层，负责研判高校可以接受的风险程度、制定高校内部风险管控的决策；高校信息化办公室位于管理层，负责贯彻落实高校的信息安全治理决策，评估高校内部的信息安全风险级别，制定可执行的信息安全治理策略、标准和程序，提出具体的高校信息安全治理的解决方案；高校信息安全管理中心则位于执行层，主要由信息安全管理人员和技术人员组成，负责实施、运行并维护高校的信息安全解决方案，并向信息化办公室反馈信息安全治理的绩效。信息化办公室对信息安全治理的整个过程和绩效进行监督，并以报告的形式向信息化领导小组进行汇报，同时进一步完善高校的信息安全治理策略。

表1 高校信息安全组织体系

2 高校信息安全管控体系

高校信息安全管控体系是保障整个信息化安全治理体系有效运行并得以持续改进的框架体系。该体系涉及的管理内容范围广泛，其基本框架包括业务连续性监管、设备与环境的管理与合规性监管等，并负责正确解读和落实信息安全法律法规、建立校内信息安全规章制度、制定信息安全事件的应急响应机制和审计与评审机制、开展信息安全教育培训等工作。在管理实践过程中，不仅应该注重逐步程序化工作机制，还要对规章制度实现文件化管理。需要注意的是，在管理过程中应注重与高校现有业务的融合。因为信息安全治理的最终目的就是为了给高校业务发展提供最安全的环境，而信息安全治理体系是为高校业务发展服务的，所以要注重在信息安全管理的过程中与业务应用相结合，将信息安全管理中先进的理念和有效的措施逐步融合到高校的业务流程中，保障高校业务稳定地运行。与信息安全管控体系配套的是信息安全管控机制，它包含响应机制和监督机制——响应机制是处理信息安全事故的应急机制，若缺乏信息安全响应机制，出现安全事故时将不知如何处理，也无法追踪相关踪迹，从而延误事故的解决时机、增加安全事故带来的损失；监督机制是信息安全各项措施得以有效实施的保障，若缺乏信息安全的监督机制，将削弱信息安全各项措施的执行效果，导致责任追究制度无法有效履行。

3 高校信息安全技术体系

表2 高校信息安全技术体系[9]

高校信息安全技术体系如表2所示，采用“纵深防御模型”，分为物理、网络、主机、应用、数据等五个层级：①物理安全是为了防止物理基础设施等资产的损坏或丢失、敏感信息的泄露和业务的中断，可通过门禁系统、警卫和监控系统增加物理安全预警功能；②网络是入侵者攻击网络信息系统的渠道，精心设计的网络体系结构可以提供更加安全可靠的网络服务，网络安全需要防火墙、安全入侵检测和漏洞扫描等技术进行管控，确保有线网络和无线网络安全；③主机主要包括服务器和客户机，主机安全主要针对默认操作系统的安装情况和配置情况，可以通过禁用服务、设置用户权限等开展主机防御，对其操作系统进行安全加固，再加上身份验证和主机入侵检测等措施，确保主机安全；④应用系统安全主要从应用系统的设计、开发、运行和维护等四个方面进行防护，可以通过应用系统安全加固、防病毒和身份认证等技术手段保障应用系统的安全；⑤数据是一个组织最重要的资产，数据安全是组织信息安全的最后一道防线，可以在信息系统中通过加密来确保数据传输的安全，还可采用多种介质定期备份来保证数据存储的安全。

高校信息安全技术体系是保护校内信息资产和应用系统免遭外部攻击的坚实屏障，其五个层级具有各自不同的治理技术手段和管理方法，旨在维护高校资产及系统的安全性和稳定性。这五个层级只有结合其自身的管理优势，并通过校内组织决策层的合理调配，才能形成“稳固”的信息安全保障体系。

4 高校信息安全政策体系

从宏观上分析，信息安全治理实际上属于一项系统工程，它不仅仅涉及管理层面和技术层面的内容，还设计法律法规和政策体系层面的内容。高校应根据国家相关法律法规，建构符合本校的信息安全政策体系。高校信息安全政策体系所针对的对象不仅仅包含高校信息安全管理人员，还应该包括所有与高校业务有相关联系的人员。要做好信息安全治理这项大工程，就要从各个角度和层面来具体分析学校在信息安全管理上存在的问题和现实情况，同时需要决策者和管理层从战略角度综合考虑影响高校的信息安全因素和一线信息安全实践者的意见，在制定相关政策的同时严格执行，系统化地管理校内信息资源、物力资源、人力资源及财产的安全。

三基于ISO/IEC27001标准的高校信息安全治理过程模型

高校信息安全风险治理过程是一个高校信息安全治理组织依据学校制定的信息安全需求与目标，按照特定的执行程序和防控措施，引导每一轮信息安全治理的流程，达到防控和解决信息安全的过程。根据ISO/IEC27001标准开展高校信息安全治理，不仅要建立高校信息安全治理体系，还要完善高校信息安全治理过程。高校信息安全治理过程以高校信息安全治理体系为依托，依据ISO/IEC27001标准，利用PDCA管理模式执行相应的信息安全治理策略，在经过一个周期的治理过程后，通过改进完善策略进入下一轮的治理过程，以期通过这种持续动态的治理过程，达到理想的信息安全治理效果。

ISO/IEC27001标准为高校信息安全治理过程提供了依据。2011年，Humphreys[10]在《信息安全管理体系标准》一文中提出了风险管理过程模型。将该模型应用于高校信息安全治理，可以构建出基于ISO/IEC27001标准的高校信息安全治理过程模型。基于ISO/IEC27001标准的高校信息安全治理过程模型是一个动态PDCA循环过程，包括计划、执行、检查和处理四个环节的循环过程（如图1所示）：①在计划环节，需要明确高校信息安全治理的远景目标，开展高校信息安全管理体系的风险评估，制定管理决策，拟定风险控制策略（包括风险预警策略、安全防护策略、安全控制策略、事故应急响应管理策略等）；②在执行环节，针对高校信息安全管理体系中存在的风险问题，确定信息安全事件等级，采取相应的风险管控策略对风险事故开展风险控制；③在检查环节，主要监控和评估高校信息安全控制的绩效，检查信息安全风险问题是否已经妥善解决，并对实施的风险管控体系和应急控制措施是否到位予以评估；④在处理环节，主要改进和完善高校信息安全管控体系的风险控制策略。若信息安全风险问题已经解决，则依据检测结果，把成功的风险管控经验进行标准化或存档；若信息安全风险问题尚未解决妥当，则及时采取行动，对先前拟定的相关安全管控体系进行改善，重新制定新的风险管制策略，并进入下一次循环，再次对出现的风险问题进行评估和治理。

图1 基于ISO/IEC27001标准的高校信息安全治理过程模型

安全只是一个相对概念，信息安全问题是长期存在的，并非一次性就能得以解决。因此，在实施高校信息安全治理的过程中，需要遵循防控为首、系统化、动态改进、规范化、全员参与的原则。而要保障高校的信息资产不受损失，首要的任务就是防控，把好“门”这道关——这也是高校信息安全治理的首要任务。随着信息技术的不断发展，高校的信息安全环境也在不断变化，由于信息安全管理涉及高校各个方面的管理，这就需要按照实施要求，多角度、多层次地制定相关的信息安全策略。除此之外，信息安全治理应该由全员广泛参与，故需要强化学校内部全体师生和管理人员的安全防护意识，将信息安全保护落实为全员的行动。

四小结

信息安全治理是高校信息化治理的重要内容，也是高校信息化服务稳定运行的重要保障。高校信息安全治理必须超越传统的从技术层面上解决信息安全问题，而提升到从治理层面上建立一套完善的信息安全治理体系，优化信息化治理的流程，健全信息安全治理机制。基于此，本研究构建了基于ISO/IEC27001标准的高校信息安全治理体系，提出了基于ISO/IEC27001标准的高校信息安全治理过程模型，采用PDCA管理模式优化了高校信息安全治理的流程。基于ISO/IEC27001标准的高校信息安全治理体系从信息安全组织体系、信息安全管控体系、信息安全技术体系和信息安全政策体系等四个方面，为高校信息安全治理提供了有效的保障。在云计算和大数据时代，高校信息安全治理对于保障高校的信息安全、提升高校信息化服务水平具有重要的战略价值。

[1][3]王延明,许宁.高校信息安全风险分析与保障策略研究[J].情报科学,2014,(10):134-138.

[2]罗国富,王乙明.校园网络安全防范体系研究与应用[J].现代教育技术,2012,(9):53-56.

[4]黄瑞,邹霞,黄艳.高校信息化建设进程中信息安全问题成因及对策探析[J].现代教育技术,2014,(3):57-63.

[5]陈宪宇.IT治理在高校信息化建设中的应用研究[J].科技管理研究,2010,(7):133-136.

[6]梁艺军.高校信息安全管理探讨[J].计算机科学,2012,(10):195-197.

[7]The British Standards Institution. Moving from ISO/IEC 27001:2005 to ISO/IEC 27001:2013[OL].

[8]Saxena S, Ramer L, Shulman I. A comprehensive assessment program to improve blood-administering practices using the FOCUS–PDCA model[J]. Transfusion, 2004, (9):1350-1356.

[9]赵刚,罗文.IT管理体系——战略、管理和服务[M].北京:电子工业出版社,2009:11

[10]Humphreys E. Information security management system standards[J]. Datenschutz und Datensicherheit-DuD, 2011,(1):7-11.

编辑：小米

The Information Security Governance in University based on ISO/IEC27001 Standard

HE Ji-ling CHEN Shi-pin[Corresponding Author]CHEN Ji-lin AI Xian-ming

Aiming at solving the main problems of information security existing in our colleges and universities, this paper established a set of information security governance system according to ISO/IEC27001 standard, and put forward the university information security governance process model based on ISO/ IEC27001 standard. The university information security management process was optimized, the university information security management control mechanism was perfected, which was conducive to the long-term stable operation of the information service and provided reference for improving information security management in universities.

university informatization; ISO/IEC27001 standard; information security governance system; PDCA model

G40-057

A

1009—8097（2016）09—0060—06

10.3969/j.issn.1009-8097.2016.09.009

本文为国家社科基金一般项目“高校信息化建设的机构、过程和机制研究”(项目编号:12BGL097)的阶段性研究成果。

何济玲，副研究员，硕士，研究方向为高等教育信息化，邮箱为jilinghe@163.com。

2016年1月27日