文/張永強(qiáng)

中山大學(xué)信息安全管理辦法是如何形成的

文/張永強(qiáng)

信息安全管理體系

基本概念

保障信息安全，首先要樹立正確的安全觀。一方面，信息安全問題不單是一個技術(shù)問題，而是由人、技術(shù)系統(tǒng)和組織內(nèi)部環(huán)境等綜合因素產(chǎn)生的問題，要靠有效的信息安全管理才能彌補(bǔ)單純技術(shù)手段的不足；另一方面，信息安全包含內(nèi)容廣泛，信息安全需要整體防護(hù)。如果還以各自獨立的視角去看待信息技術(shù)安全工作，就會出現(xiàn)盲人摸象、只見樹木不見森林的情況。因此，要把高校信息安全管理當(dāng)作一個整體進(jìn)行研究和實踐，信息安全管理體系就是從整體上看待高校信息安全工作。

參考體系框架

業(yè)界先后提出過不少信息安全管理體系參考框架。由于各行業(yè)、各單位都具有各自不同的情況，并不存在統(tǒng)一的信息安全管理體系適合所有高校。中山大學(xué)在建設(shè)信息安全管理體系的過程中，重點參考了《信息技術(shù) 安全技術(shù) 信息安全管理體系 要求》（GB/ T 22080-2008，相當(dāng)于 ISO/IEC 27001:2005）及《信息安全技術(shù) 政府部門信息安全管理 基本要求》（GB/T 29245-2012）等兩個標(biāo)準(zhǔn)，現(xiàn)簡要介紹如下：

1.《信息技術(shù) 安全技術(shù) 信息安全管理體系 要求》

該標(biāo)準(zhǔn)起源于英國政府一項最佳實踐，后成為國際標(biāo)準(zhǔn)，用于為建立、實施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)信息安全管理體系（Information Security Management System，簡稱 ISMS）提供模型。該標(biāo)準(zhǔn)共列舉了“安全方針”、“信息安全組織”、“資產(chǎn)管理”、“人力資源安全”、“物理和環(huán)境安全”、“通信和操作管理”、“訪

問控制”、“信息系統(tǒng)獲取、開發(fā)和維護(hù)”、“信息安全事故管理”、“業(yè)務(wù)連續(xù)性管理”和“符合性”等11方面的控制目標(biāo)和控制措施。

2.《信息安全技術(shù) 政府部門信息安全管理 基本要求》

該標(biāo)準(zhǔn)用于指導(dǎo)各級政府部門的信息安全管理工作以及信息安全檢查工作，標(biāo)準(zhǔn)涵蓋信息安全組織管理、日常信息安全管理（包括人員、資產(chǎn)、采購、外包、經(jīng)費(fèi)等）、信息安全防護(hù)管理（包括網(wǎng)絡(luò)邊界、信息系統(tǒng)、門戶網(wǎng)站、電子郵件、終端計算、存儲介質(zhì)等）、信息安全應(yīng)急管理、信息安全教育培訓(xùn)、信息安全檢查等 6 方面內(nèi)容。其配套制度可見《信息安全技術(shù) 政府部門信息安全管理基本要求：補(bǔ)篇 信息安全管理制度參考模板》。

類似的標(biāo)準(zhǔn)還有《銀行業(yè)信息科技風(fēng)險管理指引》、《企業(yè)風(fēng)險管理框架》（COSO）、《信息及相關(guān)技術(shù)的控制目標(biāo)》（COBIT）等。

管理制度框架

當(dāng)前信息安全管理體系普遍采用文件化管理模式。文件化管理模式主張在管理某項工作或活動時，應(yīng)建立和實施程序，程序的執(zhí)行需要保留可追溯的記錄。這與中山大學(xué)目前大力推行的“四有”高校行政管理文化——“有依據(jù)、有流程、有記錄、有節(jié)點”——是高度一致的。

典型的信息安全制度采用的是金字塔式層級框架，如圖1所示：1.一級文件：信息安全方針

信息安全方針是信息安全管理的上層文件，也是綱領(lǐng)性文件，其他文件如管理辦法、規(guī)范、流程、記錄文件等都必須遵從一級文件。

2.二級文件：管理辦法

管理辦法是信息安全管理制度的約束性文件，是對信息安全某一方面的原則性規(guī)定。

3.三級文件：規(guī)定、規(guī)范、流程和細(xì)則等

規(guī)定、細(xì)則是對管理辦法的細(xì)化規(guī)定和要求；規(guī)范是實現(xiàn)管理辦法需要遵守的準(zhǔn)則和規(guī)定，包括技術(shù)規(guī)范和管理規(guī)范；流程是對管理辦法的過程描述，側(cè)重工作過程中輸入、輸出、活動、職責(zé)的界定。

4. 四級文件：表單模板、業(yè)務(wù)流程圖、記錄文件等

為第一至三級文件制度在執(zhí)行過程中用的相關(guān)表單和記錄。

圖1 典型的信息安全制度層級框架

《中山大學(xué)信息技術(shù)安全管理辦法》介紹

起草歷程

《中山大學(xué)信息技術(shù)安全管理辦法》是學(xué)校信息安全管理的綱領(lǐng)性和基礎(chǔ)性文件。信息化管理辦公室在制定辦法時候，根據(jù)學(xué)校實際，沒有采用指導(dǎo)意見體例，采用的是二級文件管理辦法體例，將方針政策的內(nèi)容融于管理辦法體系當(dāng)中。

文件起草工作由信息化管理辦公室牽頭，網(wǎng)絡(luò)與信息技術(shù)中心配合，歷時大半年時間。起草單位在總結(jié)過去校園網(wǎng)建設(shè)和數(shù)字化校園建設(shè)經(jīng)驗和成果、剖析信息安全風(fēng)險評估及信息安全等級測評結(jié)果和問題的基礎(chǔ)上，充分參透《教育部關(guān)于加強(qiáng)教育行業(yè)網(wǎng)絡(luò)與信息安全工作的指導(dǎo)意見》（教技 [2014]4 號）、《教育部關(guān)于進(jìn)一步加強(qiáng)直屬高校直屬單位信息技術(shù)安全工作的通知》（教技 [2015]1 號）、《教育部 公安部關(guān)于全面推進(jìn)教育行業(yè)信息安全等級保護(hù)工作的通知》（教技 [2015]2 號）等上位精神，反復(fù)討論修改形成當(dāng)前版本。期間，學(xué)校還聘請了有豐富政府機(jī)關(guān)、企事業(yè)單位實施經(jīng)驗的信息安全咨詢服務(wù)公司提供咨詢意見。在辦法制定后期，起草單位還吸收了《中華人民共和國網(wǎng)絡(luò)安全法》（簡稱《網(wǎng)絡(luò)安全法》）部分內(nèi)容，最終辦法于 2017 年 1 月通過學(xué)校黨委常委會審議，并在《網(wǎng)絡(luò)安全法》正式實施（2017 年 6月1日）前印發(fā)。

名稱由來

教育部將《網(wǎng)絡(luò)安全法》中規(guī)定的網(wǎng)絡(luò)安全工作分解成三部分：第一部分稱為“信息技術(shù)安全”（《網(wǎng)絡(luò)安全法》的第三、五章內(nèi)容，由科技司牽頭，信息中心、辦公廳配合做好工作）；第二部分稱為“信息內(nèi)容安全”（《網(wǎng)絡(luò)安全法》的第四章部分內(nèi)容，由思政司牽頭，相關(guān)司局配合做好工作）；第三部分稱為“網(wǎng)絡(luò)數(shù)據(jù)安全”（《網(wǎng)絡(luò)安全法》的第四章部分內(nèi)容，由規(guī)劃司牽頭，相關(guān)司局配合做好工作）。

本辦法絕大部分內(nèi)容是關(guān)于信息技術(shù)安全的，僅少量條款觸及內(nèi)容管理和數(shù)據(jù)管理的原則性要求。因此，辦法名稱定為《中山大學(xué)信息技術(shù)安全管理辦法》。

主要內(nèi)容

辦法共 17 章、89 條款、7275 字，是中山大學(xué)信息技術(shù)安全管理的綱領(lǐng)性、基礎(chǔ)性文件。各章節(jié)內(nèi)容如下：

1.總則

2.組織機(jī)構(gòu)與職責(zé)

3.校園網(wǎng)絡(luò)管理

4.數(shù)據(jù)中心管理

5.信息系統(tǒng)建設(shè)、運(yùn)行和運(yùn)維管理

6.信息系統(tǒng)數(shù)據(jù)安全管理

7.互聯(lián)網(wǎng)網(wǎng)站安全管理

8.電子郵件安全管理

9.終端計算機(jī)安全管理

10.存儲介質(zhì)安全管理

11.人員安全管理

12.外包服務(wù)安全管理

13.信息安全應(yīng)急管理

14.信息安全教育培訓(xùn)

15.信息安全檢查監(jiān)督

16.信息安全責(zé)任追究

17.附則

第二章明確學(xué)校信息技術(shù)安全工作的主要責(zé)任人、歸口管理部門和技術(shù)支撐部門及其主要職責(zé)，并規(guī)定校內(nèi)各單位的安全責(zé)任；中山大學(xué)校長是信息技術(shù)安全工作的第一責(zé)任人；中山大學(xué)信息化工作機(jī)制堅持“管建分離”原則，信息化管理辦公室是信息安全的職能部門，網(wǎng)絡(luò)與信息技術(shù)中心是信息安全的技術(shù)支撐部門。

后續(xù)推進(jìn)措施

信息安全管理體系建設(shè)是一項系統(tǒng)工程，也是一項長期艱巨的任務(wù)。綱領(lǐng)性、基礎(chǔ)性文件的頒布出臺，是體系建設(shè)的重要里程碑，但這僅僅是萬里長征的第一步。

信息安全咨詢服務(wù)公司為學(xué)校設(shè)計了一個信息安全制度文件框架，作為信息安全管理體系的藍(lán)圖和計劃。

信息化管理辦公室整合各部門力量，采取“成熟一個、出臺一個”、“急用先上”等原則，推動各級文件的制定頒布。例如，信息化管理辦公室在一級文件頒布幾乎同時，制定出臺了《中山大學(xué)互聯(lián)網(wǎng)網(wǎng)站管理辦法》、《中山大學(xué)公務(wù)電子郵箱使用管理辦法》（兩個分別對應(yīng)于第七、八章內(nèi)容的二級文件）。

管理制度的制定是一項艱巨的任務(wù)，但其有效執(zhí)行更是學(xué)校信息安全工作的重點和難點，也是決定工作的成敗關(guān)鍵點。為此，信息化管理辦公室抓住一切機(jī)會進(jìn)行宣傳。例如，信息化管理辦公室主任利用年終部門述職、全校中層干部學(xué)習(xí)講座等機(jī)會和場合積極宣講相關(guān)制度文件精神；信息化管理辦公室會同網(wǎng)絡(luò)與信息技術(shù)中心舉辦了面向二級單位辦公室主任的信息化管理工作專題培訓(xùn)，從管理和服務(wù)兩個角度進(jìn)行制度文件內(nèi)容解讀。

為改進(jìn)管理工作效率和用戶體驗，信息化管理辦公室將信息技術(shù)引入到信息安全管理當(dāng)中去，將互聯(lián)網(wǎng)網(wǎng)站備案、網(wǎng)站信息更新和年審等功能設(shè)計為大學(xué)服務(wù)中心（University Service Center，簡稱 USC）平臺上的標(biāo)準(zhǔn)流程，讓網(wǎng)站負(fù)責(zé)人通過手機(jī)端、通過網(wǎng)絡(luò)的簡單操作就能完成以往繁瑣的手工填表和交表工作。

（責(zé)編：王左利）

（作者單位為中山大學(xué)信息化管理辦公室）