文/张永强
中山大学信息安全管理办法是如何形成的
文/张永强
基本概念
保障信息安全,首先要树立正确的安全观。一方面,信息安全问题不单是一个技术问题,而是由人、技术系统和组织内部环境等综合因素产生的问题,要靠有效的信息安全管理才能弥补单纯技术手段的不足;另一方面,信息安全包含内容广泛,信息安全需要整体防护。如果还以各自独立的视角去看待信息技术安全工作,就会出现盲人摸象、只见树木不见森林的情况。因此,要把高校信息安全管理当作一个整体进行研究和实践,信息安全管理体系就是从整体上看待高校信息安全工作。
参考体系框架
业界先后提出过不少信息安全管理体系参考框架。由于各行业、各单位都具有各自不同的情况,并不存在统一的信息安全管理体系适合所有高校。中山大学在建设信息安全管理体系的过程中,重点参考了《信息技术 安全技术 信息安全管理体系 要求》(GB/ T 22080-2008,相当于 ISO/IEC 27001:2005)及《信息安全技术 政府部门信息安全管理 基本要求》(GB/T 29245-2012)等两个标准,现简要介绍如下:
1.《信息技术 安全技术 信息安全管理体系 要求》
该标准起源于英国政府一项最佳实践,后成为国际标准,用于为建立、实施、运行、监视、评审、保持和改进信息安全管理体系(Information Security Management System,简称 ISMS)提供模型。该标准共列举了“安全方针”、“信息安全组织”、“资产管理”、“人力资源安全”、“物理和环境安全”、“通信和操作管理”、“访
问控制”、“信息系统获取、开发和维护”、“信息安全事故管理”、“业务连续性管理”和“符合性”等11方面的控制目标和控制措施。
2.《信息安全技术 政府部门信息安全管理 基本要求》
该标准用于指导各级政府部门的信息安全管理工作以及信息安全检查工作,标准涵盖信息安全组织管理、日常信息安全管理(包括人员、资产、采购、外包、经费等)、信息安全防护管理(包括网络边界、信息系统、门户网站、电子邮件、终端计算、存储介质等)、信息安全应急管理、信息安全教育培训、信息安全检查等 6 方面内容。其配套制度可见《信息安全技术 政府部门信息安全管理基本要求:补篇 信息安全管理制度参考模板》。
类似的标准还有《银行业信息科技风险管理指引》、《企业风险管理框架》(COSO)、《信息及相关技术的控制目标》(COBIT)等。
管理制度框架
当前信息安全管理体系普遍采用文件化管理模式。文件化管理模式主张在管理某项工作或活动时,应建立和实施程序,程序的执行需要保留可追溯的记录。这与中山大学目前大力推行的“四有”高校行政管理文化——“有依据、有流程、有记录、有节点”——是高度一致的。
典型的信息安全制度采用的是金字塔式层级框架,如图1所示:1.一级文件:信息安全方针
信息安全方针是信息安全管理的上层文件,也是纲领性文件,其他文件如管理办法、规范、流程、记录文件等都必须遵从一级文件。
2.二级文件:管理办法
管理办法是信息安全管理制度的约束性文件,是对信息安全某一方面的原则性规定。
3.三级文件:规定、规范、流程和细则等
规定、细则是对管理办法的细化规定和要求;规范是实现管理办法需要遵守的准则和规定,包括技术规范和管理规范;流程是对管理办法的过程描述,侧重工作过程中输入、输出、活动、职责的界定。
4. 四级文件:表单模板、业务流程图、记录文件等
为第一至三级文件制度在执行过程中用的相关表单和记录。
图1 典型的信息安全制度层级框架
起草历程
《中山大学信息技术安全管理办法》是学校信息安全管理的纲领性和基础性文件。信息化管理办公室在制定办法时候,根据学校实际,没有采用指导意见体例,采用的是二级文件管理办法体例,将方针政策的内容融于管理办法体系当中。
文件起草工作由信息化管理办公室牵头,网络与信息技术中心配合,历时大半年时间。起草单位在总结过去校园网建设和数字化校园建设经验和成果、剖析信息安全风险评估及信息安全等级测评结果和问题的基础上,充分参透《教育部关于加强教育行业网络与信息安全工作的指导意见》(教技 [2014]4 号)、《教育部关于进一步加强直属高校直属单位信息技术安全工作的通知》(教技 [2015]1 号)、《教育部 公安部关于全面推进教育行业信息安全等级保护工作的通知》(教技 [2015]2 号)等上位精神,反复讨论修改形成当前版本。期间,学校还聘请了有丰富政府机关、企事业单位实施经验的信息安全咨询服务公司提供咨询意见。在办法制定后期,起草单位还吸收了《中华人民共和国网络安全法》(简称《网络安全法》)部分内容,最终办法于 2017 年 1 月通过学校党委常委会审议,并在《网络安全法》正式实施(2017 年 6月1日)前印发。
名称由来
教育部将《网络安全法》中规定的网络安全工作分解成三部分:第一部分称为“信息技术安全”(《网络安全法》的第三、五章内容,由科技司牵头,信息中心、办公厅配合做好工作);第二部分称为“信息内容安全”(《网络安全法》的第四章部分内容,由思政司牵头,相关司局配合做好工作);第三部分称为“网络数据安全”(《网络安全法》的第四章部分内容,由规划司牵头,相关司局配合做好工作)。
本办法绝大部分内容是关于信息技术安全的,仅少量条款触及内容管理和数据管理的原则性要求。因此,办法名称定为《中山大学信息技术安全管理办法》。
主要内容
办法共 17 章、89 条款、7275 字,是中山大学信息技术安全管理的纲领性、基础性文件。各章节内容如下:
1.总则
2.组织机构与职责
3.校园网络管理
4.数据中心管理
5.信息系统建设、运行和运维管理
6.信息系统数据安全管理
7.互联网网站安全管理
8.电子邮件安全管理
9.终端计算机安全管理
10.存储介质安全管理
11.人员安全管理
12.外包服务安全管理
13.信息安全应急管理
14.信息安全教育培训
15.信息安全检查监督
16.信息安全责任追究
17.附则
第二章明确学校信息技术安全工作的主要责任人、归口管理部门和技术支撑部门及其主要职责,并规定校内各单位的安全责任;中山大学校长是信息技术安全工作的第一责任人;中山大学信息化工作机制坚持“管建分离”原则,信息化管理办公室是信息安全的职能部门,网络与信息技术中心是信息安全的技术支撑部门。
信息安全管理体系建设是一项系统工程,也是一项长期艰巨的任务。纲领性、基础性文件的颁布出台,是体系建设的重要里程碑,但这仅仅是万里长征的第一步。
信息安全咨询服务公司为学校设计了一个信息安全制度文件框架,作为信息安全管理体系的蓝图和计划。
信息化管理办公室整合各部门力量,采取“成熟一个、出台一个”、“急用先上”等原则,推动各级文件的制定颁布。例如,信息化管理办公室在一级文件颁布几乎同时,制定出台了《中山大学互联网网站管理办法》、《中山大学公务电子邮箱使用管理办法》(两个分别对应于第七、八章内容的二级文件)。
管理制度的制定是一项艰巨的任务,但其有效执行更是学校信息安全工作的重点和难点,也是决定工作的成败关键点。为此,信息化管理办公室抓住一切机会进行宣传。例如,信息化管理办公室主任利用年终部门述职、全校中层干部学习讲座等机会和场合积极宣讲相关制度文件精神;信息化管理办公室会同网络与信息技术中心举办了面向二级单位办公室主任的信息化管理工作专题培训,从管理和服务两个角度进行制度文件内容解读。
为改进管理工作效率和用户体验,信息化管理办公室将信息技术引入到信息安全管理当中去,将互联网网站备案、网站信息更新和年审等功能设计为大学服务中心(University Service Center,简称 USC)平台上的标准流程,让网站负责人通过手机端、通过网络的简单操作就能完成以往繁琐的手工填表和交表工作。
(责编:王左利)
(作者单位为中山大学信息化管理办公室)