文/張永強(qiáng)

中山大學(xué)信息安全管理辦法是如何形成的

文/張永強(qiáng)

信息安全管理體系

基本概念

保障信息安全，首先要樹立正確的安全觀。一方面，信息安全問題不單是一個(gè)技術(shù)問題，而是由人、技術(shù)系統(tǒng)和組織內(nèi)部環(huán)境等綜合因素產(chǎn)生的問題，要靠有效的信息安全管理才能彌補(bǔ)單純技術(shù)手段的不足；另一方面，信息安全包含內(nèi)容廣泛，信息安全需要整體防護(hù)。如果還以各自獨(dú)立的視角去看待信息技術(shù)安全工作，就會(huì)出現(xiàn)盲人摸象、只見樹木不見森林的情況。因此，要把高校信息安全管理當(dāng)作一個(gè)整體進(jìn)行研究和實(shí)踐，信息安全管理體系就是從整體上看待高校信息安全工作。

參考體系框架

業(yè)界先后提出過不少信息安全管理體系參考框架。由于各行業(yè)、各單位都具有各自不同的情況，并不存在統(tǒng)一的信息安全管理體系適合所有高校。中山大學(xué)在建設(shè)信息安全管理體系的過程中，重點(diǎn)參考了《信息技術(shù) 安全技術(shù) 信息安全管理體系 要求》（GB/ T 22080-2008，相當(dāng)于 ISO/IEC 27001:2005）及《信息安全技術(shù) 政府部門信息安全管理 基本要求》（GB/T 29245-2012）等兩個(gè)標(biāo)準(zhǔn)，現(xiàn)簡(jiǎn)要介紹如下：

1.《信息技術(shù) 安全技術(shù) 信息安全管理體系 要求》

該標(biāo)準(zhǔn)起源于英國政府一項(xiàng)最佳實(shí)踐，后成為國際標(biāo)準(zhǔn)，用于為建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全管理體系（Information Security Management System，簡(jiǎn)稱 ISMS）提供模型。該標(biāo)準(zhǔn)共列舉了“安全方針”、“信息安全組織”、“資產(chǎn)管理”、“人力資源安全”、“物理和環(huán)境安全”、“通信和操作管理”、“訪

問控制”、“信息系統(tǒng)獲取、開發(fā)和維護(hù)”、“信息安全事故管理”、“業(yè)務(wù)連續(xù)性管理”和“符合性”等11方面的控制目標(biāo)和控制措施。

2.《信息安全技術(shù) 政府部門信息安全管理 基本要求》

該標(biāo)準(zhǔn)用于指導(dǎo)各級(jí)政府部門的信息安全管理工作以及信息安全檢查工作，標(biāo)準(zhǔn)涵蓋信息安全組織管理、日常信息安全管理（包括人員、資產(chǎn)、采購、外包、經(jīng)費(fèi)等）、信息安全防護(hù)管理（包括網(wǎng)絡(luò)邊界、信息系統(tǒng)、門戶網(wǎng)站、電子郵件、終端計(jì)算、存儲(chǔ)介質(zhì)等）、信息安全應(yīng)急管理、信息安全教育培訓(xùn)、信息安全檢查等 6 方面內(nèi)容。其配套制度可見《信息安全技術(shù) 政府部門信息安全管理基本要求：補(bǔ)篇 信息安全管理制度參考模板》。

類似的標(biāo)準(zhǔn)還有《銀行業(yè)信息科技風(fēng)險(xiǎn)管理指引》、《企業(yè)風(fēng)險(xiǎn)管理框架》（COSO）、《信息及相關(guān)技術(shù)的控制目標(biāo)》（COBIT）等。

管理制度框架

當(dāng)前信息安全管理體系普遍采用文件化管理模式。文件化管理模式主張?jiān)诠芾砟稠?xiàng)工作或活動(dòng)時(shí)，應(yīng)建立和實(shí)施程序，程序的執(zhí)行需要保留可追溯的記錄。這與中山大學(xué)目前大力推行的“四有”高校行政管理文化——“有依據(jù)、有流程、有記錄、有節(jié)點(diǎn)”——是高度一致的。

典型的信息安全制度采用的是金字塔式層級(jí)框架，如圖1所示：1.一級(jí)文件：信息安全方針

信息安全方針是信息安全管理的上層文件，也是綱領(lǐng)性文件，其他文件如管理辦法、規(guī)范、流程、記錄文件等都必須遵從一級(jí)文件。

2.二級(jí)文件：管理辦法

管理辦法是信息安全管理制度的約束性文件，是對(duì)信息安全某一方面的原則性規(guī)定。

3.三級(jí)文件：規(guī)定、規(guī)范、流程和細(xì)則等

規(guī)定、細(xì)則是對(duì)管理辦法的細(xì)化規(guī)定和要求；規(guī)范是實(shí)現(xiàn)管理辦法需要遵守的準(zhǔn)則和規(guī)定，包括技術(shù)規(guī)范和管理規(guī)范；流程是對(duì)管理辦法的過程描述，側(cè)重工作過程中輸入、輸出、活動(dòng)、職責(zé)的界定。

4. 四級(jí)文件：表單模板、業(yè)務(wù)流程圖、記錄文件等

為第一至三級(jí)文件制度在執(zhí)行過程中用的相關(guān)表單和記錄。

圖1 典型的信息安全制度層級(jí)框架

《中山大學(xué)信息技術(shù)安全管理辦法》介紹

起草歷程

《中山大學(xué)信息技術(shù)安全管理辦法》是學(xué)校信息安全管理的綱領(lǐng)性和基礎(chǔ)性文件。信息化管理辦公室在制定辦法時(shí)候，根據(jù)學(xué)校實(shí)際，沒有采用指導(dǎo)意見體例，采用的是二級(jí)文件管理辦法體例，將方針政策的內(nèi)容融于管理辦法體系當(dāng)中。

文件起草工作由信息化管理辦公室牽頭，網(wǎng)絡(luò)與信息技術(shù)中心配合，歷時(shí)大半年時(shí)間。起草單位在總結(jié)過去校園網(wǎng)建設(shè)和數(shù)字化校園建設(shè)經(jīng)驗(yàn)和成果、剖析信息安全風(fēng)險(xiǎn)評(píng)估及信息安全等級(jí)測(cè)評(píng)結(jié)果和問題的基礎(chǔ)上，充分參透《教育部關(guān)于加強(qiáng)教育行業(yè)網(wǎng)絡(luò)與信息安全工作的指導(dǎo)意見》（教技 [2014]4 號(hào)）、《教育部關(guān)于進(jìn)一步加強(qiáng)直屬高校直屬單位信息技術(shù)安全工作的通知》（教技 [2015]1 號(hào)）、《教育部 公安部關(guān)于全面推進(jìn)教育行業(yè)信息安全等級(jí)保護(hù)工作的通知》（教技 [2015]2 號(hào)）等上位精神，反復(fù)討論修改形成當(dāng)前版本。期間，學(xué)校還聘請(qǐng)了有豐富政府機(jī)關(guān)、企事業(yè)單位實(shí)施經(jīng)驗(yàn)的信息安全咨詢服務(wù)公司提供咨詢意見。在辦法制定后期，起草單位還吸收了《中華人民共和國網(wǎng)絡(luò)安全法》（簡(jiǎn)稱《網(wǎng)絡(luò)安全法》）部分內(nèi)容，最終辦法于 2017 年 1 月通過學(xué)校黨委常委會(huì)審議，并在《網(wǎng)絡(luò)安全法》正式實(shí)施（2017 年 6月1日）前印發(fā)。

名稱由來

教育部將《網(wǎng)絡(luò)安全法》中規(guī)定的網(wǎng)絡(luò)安全工作分解成三部分：第一部分稱為“信息技術(shù)安全”（《網(wǎng)絡(luò)安全法》的第三、五章內(nèi)容，由科技司牽頭，信息中心、辦公廳配合做好工作）；第二部分稱為“信息內(nèi)容安全”（《網(wǎng)絡(luò)安全法》的第四章部分內(nèi)容，由思政司牽頭，相關(guān)司局配合做好工作）；第三部分稱為“網(wǎng)絡(luò)數(shù)據(jù)安全”（《網(wǎng)絡(luò)安全法》的第四章部分內(nèi)容，由規(guī)劃司牽頭，相關(guān)司局配合做好工作）。

本辦法絕大部分內(nèi)容是關(guān)于信息技術(shù)安全的，僅少量條款觸及內(nèi)容管理和數(shù)據(jù)管理的原則性要求。因此，辦法名稱定為《中山大學(xué)信息技術(shù)安全管理辦法》。

主要內(nèi)容

辦法共 17 章、89 條款、7275 字，是中山大學(xué)信息技術(shù)安全管理的綱領(lǐng)性、基礎(chǔ)性文件。各章節(jié)內(nèi)容如下：

1.總則

2.組織機(jī)構(gòu)與職責(zé)

3.校園網(wǎng)絡(luò)管理

4.數(shù)據(jù)中心管理

5.信息系統(tǒng)建設(shè)、運(yùn)行和運(yùn)維管理

6.信息系統(tǒng)數(shù)據(jù)安全管理

7.互聯(lián)網(wǎng)網(wǎng)站安全管理

8.電子郵件安全管理

9.終端計(jì)算機(jī)安全管理

10.存儲(chǔ)介質(zhì)安全管理

11.人員安全管理

12.外包服務(wù)安全管理

13.信息安全應(yīng)急管理

14.信息安全教育培訓(xùn)

15.信息安全檢查監(jiān)督

16.信息安全責(zé)任追究

17.附則

第二章明確學(xué)校信息技術(shù)安全工作的主要責(zé)任人、歸口管理部門和技術(shù)支撐部門及其主要職責(zé)，并規(guī)定校內(nèi)各單位的安全責(zé)任；中山大學(xué)校長(zhǎng)是信息技術(shù)安全工作的第一責(zé)任人；中山大學(xué)信息化工作機(jī)制堅(jiān)持“管建分離”原則，信息化管理辦公室是信息安全的職能部門，網(wǎng)絡(luò)與信息技術(shù)中心是信息安全的技術(shù)支撐部門。

后續(xù)推進(jìn)措施

信息安全管理體系建設(shè)是一項(xiàng)系統(tǒng)工程，也是一項(xiàng)長(zhǎng)期艱巨的任務(wù)。綱領(lǐng)性、基礎(chǔ)性文件的頒布出臺(tái)，是體系建設(shè)的重要里程碑，但這僅僅是萬里長(zhǎng)征的第一步。

信息安全咨詢服務(wù)公司為學(xué)校設(shè)計(jì)了一個(gè)信息安全制度文件框架，作為信息安全管理體系的藍(lán)圖和計(jì)劃。

信息化管理辦公室整合各部門力量，采取“成熟一個(gè)、出臺(tái)一個(gè)”、“急用先上”等原則，推動(dòng)各級(jí)文件的制定頒布。例如，信息化管理辦公室在一級(jí)文件頒布幾乎同時(shí)，制定出臺(tái)了《中山大學(xué)互聯(lián)網(wǎng)網(wǎng)站管理辦法》、《中山大學(xué)公務(wù)電子郵箱使用管理辦法》（兩個(gè)分別對(duì)應(yīng)于第七、八章內(nèi)容的二級(jí)文件）。

管理制度的制定是一項(xiàng)艱巨的任務(wù)，但其有效執(zhí)行更是學(xué)校信息安全工作的重點(diǎn)和難點(diǎn)，也是決定工作的成敗關(guān)鍵點(diǎn)。為此，信息化管理辦公室抓住一切機(jī)會(huì)進(jìn)行宣傳。例如，信息化管理辦公室主任利用年終部門述職、全校中層干部學(xué)習(xí)講座等機(jī)會(huì)和場(chǎng)合積極宣講相關(guān)制度文件精神；信息化管理辦公室會(huì)同網(wǎng)絡(luò)與信息技術(shù)中心舉辦了面向二級(jí)單位辦公室主任的信息化管理工作專題培訓(xùn)，從管理和服務(wù)兩個(gè)角度進(jìn)行制度文件內(nèi)容解讀。

為改進(jìn)管理工作效率和用戶體驗(yàn)，信息化管理辦公室將信息技術(shù)引入到信息安全管理當(dāng)中去，將互聯(lián)網(wǎng)網(wǎng)站備案、網(wǎng)站信息更新和年審等功能設(shè)計(jì)為大學(xué)服務(wù)中心（University Service Center，簡(jiǎn)稱 USC）平臺(tái)上的標(biāo)準(zhǔn)流程，讓網(wǎng)站負(fù)責(zé)人通過手機(jī)端、通過網(wǎng)絡(luò)的簡(jiǎn)單操作就能完成以往繁瑣的手工填表和交表工作。

（責(zé)編：王左利）

（作者單位為中山大學(xué)信息化管理辦公室）