基于ISO、IEC 20000&27001体系认证的高校信息安全服务优化研究

张波　宋毅君　王文剑

摘 要：随着教育信息化的升级，如何保障高校的信息安全及服务，是一个值得探究的问题。ISO/IEC 20000&27001体系认证，可以帮助高校弥补信息安全漏洞，制定安全完善的信息化管理体系。文章通过对山西大学认证过程的研究，探讨如何将ISO/IEC 20000&27001标准与高校信息安全建设相融合，真正帮助高校提升信息安全及信息服务能力。

关键词：高校;信息安全建设;ISO/IEC 20000&27001

1 高校信息安全现状

在信息化时代，计算机和网络在军事、政治、金融、工业、商业、生活和工作中等方面的应用越来越广泛，社会对计算机和网络的依赖也越来越大[1]。重点高校作为我国各行业人才储备、科研项目承建机构，一旦发生师生信息泄露、科研数据被窃取等事件将会造成重大损失。2017年，WannaCry病毒肆虐，中国部分Windows操作系统用户遭受感染，校园网用户首当其冲，受害严重，大量实验室数据和毕业设计被锁定加密;2018年，江苏常州大学怀德学院发生大规模信息泄露，上千名学生信息被不法企业盗用;2020年郑州西亚斯学院近两万名学生信息遭泄露。

来自安全牛网站的2017年教育行业网络安全报告指出，重点高校面对的威胁相对最严重的;行业发现605个CVE安全漏洞，19%教育机构受影响;42%教育机构遭受到总计166 997次DDOS拒绝服务攻击，其中重点高校成了黑客的主要目标[2]。同样，来自安全牛网站的2016年第一季度全国重点高校网络安全报告中指出，通过对985和211工程共115所高校信息安全进行风险量化分析，其中21所（18%）为良好;54所（47%）为一般;40所（35%）为较差[3]。

2020年，教育部印发的《2020年教育信息化和网络安全工作要点》提出：教育网络安全支撑体系应不断完善，教育系统网络安全防护水平需不断提高[4]。

2 ISO/IEC 20000&27001体系认证过程及意义

信息安全及服务管理体系的目的，是为包括高校在内的组织在建立、实施、运行、监视、评审、保持和改进信息安全和服务管理体系时提供参考模型，该体系涉及了最广泛意义上的信息安全，让管理者有一个参考框架用来管理信息服务。

近年来，新闻屡屡报道一些银行、企业通过该体系认证，但国内高校目前还鲜有报道。

认证过程可以大致划分为以下几个阶段：认证组织了解认证目的并识别适用范围;理解认证术语及定义;学习体系结构及管理思想;组织管理者制定管理体系方针，并指定管理者代表，制定管理者代表职责;制定可实现的信息安全及服务目标和计划;建立和改进服务管理体系;信息安全管理体系的运行;文档化管理和改进;总结。

ISO/IEC 20000&27001体系认证，可以帮助高校建立健全网络信息安全保障体系，提高安全防护能力，确保学校网络信息安全工作规范、有序开展。

3 山西大学体系认证初探

3.1  制定信息安全及技术服务管理方针

为了满足适用法律法规及相关方要求，维持计算机机房运行与维护服务的正常进行，实现业务可持续发展的目的。山西大学根据业务特征、组织结构、地理位置、资产和技术等实际情况，并结合相关方的需求定义了信息安全、信息技术服务管理体系方针如下：统筹规划，主动防御，快速反应，持续改进;以师生为中心，主动服务，规范完整，高效高质。

3.2  制定信息安全及技術服务管理目标

学院一般于每年初将信息安全及信息安全服务管理目标分解到信息安全服务部门，形成部门信息安全及信息安全服务管理目标，并对信息安全及信息安全服务部门的管理目标的达成情况进行考核。信息安全服务管理目标实施一段时期后，根据学院发展情况，做适宜的调整，确定新的信息安全服务管理目标。

（1）确保信息安全事件发现率100%、上报和处理率100%。

（2）确保全年无重大信息安全事件（事故）发生。

（3）对于所有运维项目，学院收到服务对象重大投诉不得超过3次。

（4）用户满意度≥90%。

（5）服务事件解决率≥90%。

（6）工单及时响应率≥95%。

3.3  风险管理

ISO/IEC 20000&27001 对风险的管理有一套严格的治理方法。对每一项资产按自身承载信息的保密性、完整性、可用性、合规性进行量化赋值，使用合理的公式计算出资产的重要性[5];对在定义范围内的资产评估其风险，风险评估主要从威胁严重性、资产重要性、脆弱性、安全措施有效性方面进行分析，还需评估控制风险所需的代价，形成风险清单，并制定相应的风险处置措施。制定风险处置措施时，应考虑风险与代价的平衡原则，两者之间的关系是互相制约的，付出的代价低，风险就较大;反之，要使风险降到很低，付出的代价就越大。这个代价不单指资金投入，还包括信息系统效率下降等隐性代价。一个好的风险控制措施，应该有效控制两者的平衡点，既保证风险在可接受范围之内，又使风险管控措施付出的代价可接受，达到适度安全的平衡点。在进行风险评估过程中，要实现动态评估，即评估过程、指标和时间点都不是一成不变的，需要随着信息系统的使用环境、使用背景、使用单位的变化而变化，平衡点也不是固定不变的。随着安全风险和代价的变化，平衡点也在动态变化，从而使适度安全成为一个动态平衡的状态。

通常，使用如下4种策略（表1）来应对风险，分别是规避、转移、减轻与接受。

4 结语

在大数据和信息化飞速发展的时代背景下，高校信息安全建设也成为高校一项重点建设的项目。而信息安全建设不能仅依靠技术手段，需建立一套科学完善的信息安全管理体系。本文基于山西大学认证过程，将ISO/IEC 20000&27001标准与高校信息安全及服务标准相结合，引入风险管理和评审管理，工作实践与体系标准全面对标，在信息安全及服务规范化管理进程上迈出扎实一步。

[参考文献]

[1]张焕国，王丽娜，黄传河，等.武汉大学信息安全学科建设与人才培养的探索与实践[J].计算机教育，2007（23）：53-57.

[2]教育部办公厅.2017年教育行业网络安全报告.安全牛[R/OL].（2018-1-25）[2021-11-15].https：//www.aqniu.com/industry/31169.html.

[3]教育部办公厅.2016年第一季度全国重点高校网络安全报告.安全牛[R/OL].（2016-5-27）[2021-11-15].https：//www.aqniu.com/industry/16304.html.

[4]教育部办公厅.2020年教育信息化和网络安全工作要点[R/OL].（2020-02-26-）[2021-11-15].https：//www.ict.edu.cn/news/jrgz/xxhdt/n20200303_66025.shtml.

[5]赵锋，赵首花.一种实用可行的信息资产登记及风险评估方法研究[J].情报杂志，2009（11）：97-100.

（编辑 王永超）

Optimize the information security service of universities based on

ISO/IEC 20000 & 27001 system certification

Zhang Bo1， Song Yijun1， Wang Wenjian2

（1.Shanxi University  Modern Educational Technology College， Taiyuan 030006， China; 2.Shanxi University  Computer and

Information Technology College， Taiyuan 030006， China）

Abstract：With the transformation of educational informationization， how to guarantee  information security and service of colleges is a problem. Passing the ISO/IEC 20000&27001 system certification can help colleges make up the loopholes and develop a safe information management system. Through Shanxi University certification process， this paper discusses how to integrate ISO/IEC 20000&27001 with information security construction， so as to help colleges improve information security and information service ability.

Key words：college; information security construction; ISO/IEC 20000&27001

作者簡介：张波（1987— ），女，山西太原人，实验师，硕士;研究方向：高校信息化建设，信息安全。