基于ISO、IEC 20000&27001體系認(rèn)證的高校信息安全服務(wù)優(yōu)化研究

張波　宋毅君　王文劍

摘 要：隨著教育信息化的升級，如何保障高校的信息安全及服務(wù)，是一個值得探究的問題。ISO/IEC 20000&27001體系認(rèn)證，可以幫助高校彌補(bǔ)信息安全漏洞，制定安全完善的信息化管理體系。文章通過對山西大學(xué)認(rèn)證過程的研究，探討如何將ISO/IEC 20000&27001標(biāo)準(zhǔn)與高校信息安全建設(shè)相融合，真正幫助高校提升信息安全及信息服務(wù)能力。

關(guān)鍵詞：高校;信息安全建設(shè);ISO/IEC 20000&27001

1 高校信息安全現(xiàn)狀

在信息化時代，計算機(jī)和網(wǎng)絡(luò)在軍事、政治、金融、工業(yè)、商業(yè)、生活和工作中等方面的應(yīng)用越來越廣泛，社會對計算機(jī)和網(wǎng)絡(luò)的依賴也越來越大[1]。重點(diǎn)高校作為我國各行業(yè)人才儲備、科研項目承建機(jī)構(gòu)，一旦發(fā)生師生信息泄露、科研數(shù)據(jù)被竊取等事件將會造成重大損失。2017年，WannaCry病毒肆虐，中國部分Windows操作系統(tǒng)用戶遭受感染，校園網(wǎng)用戶首當(dāng)其沖，受害嚴(yán)重，大量實(shí)驗(yàn)室數(shù)據(jù)和畢業(yè)設(shè)計被鎖定加密;2018年，江蘇常州大學(xué)懷德學(xué)院發(fā)生大規(guī)模信息泄露，上千名學(xué)生信息被不法企業(yè)盜用;2020年鄭州西亞斯學(xué)院近兩萬名學(xué)生信息遭泄露。

來自安全牛網(wǎng)站的2017年教育行業(yè)網(wǎng)絡(luò)安全報告指出，重點(diǎn)高校面對的威脅相對最嚴(yán)重的;行業(yè)發(fā)現(xiàn)605個CVE安全漏洞，19%教育機(jī)構(gòu)受影響;42%教育機(jī)構(gòu)遭受到總計166 997次DDOS拒絕服務(wù)攻擊，其中重點(diǎn)高校成了黑客的主要目標(biāo)[2]。同樣，來自安全牛網(wǎng)站的2016年第一季度全國重點(diǎn)高校網(wǎng)絡(luò)安全報告中指出，通過對985和211工程共115所高校信息安全進(jìn)行風(fēng)險量化分析，其中21所（18%）為良好;54所（47%）為一般;40所（35%）為較差[3]。

2020年，教育部印發(fā)的《2020年教育信息化和網(wǎng)絡(luò)安全工作要點(diǎn)》提出：教育網(wǎng)絡(luò)安全支撐體系應(yīng)不斷完善，教育系統(tǒng)網(wǎng)絡(luò)安全防護(hù)水平需不斷提高[4]。

2 ISO/IEC 20000&27001體系認(rèn)證過程及意義

信息安全及服務(wù)管理體系的目的，是為包括高校在內(nèi)的組織在建立、實(shí)施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)信息安全和服務(wù)管理體系時提供參考模型，該體系涉及了最廣泛意義上的信息安全，讓管理者有一個參考框架用來管理信息服務(wù)。

近年來，新聞屢屢報道一些銀行、企業(yè)通過該體系認(rèn)證，但國內(nèi)高校目前還鮮有報道。

認(rèn)證過程可以大致劃分為以下幾個階段：認(rèn)證組織了解認(rèn)證目的并識別適用范圍;理解認(rèn)證術(shù)語及定義;學(xué)習(xí)體系結(jié)構(gòu)及管理思想;組織管理者制定管理體系方針，并指定管理者代表，制定管理者代表職責(zé);制定可實(shí)現(xiàn)的信息安全及服務(wù)目標(biāo)和計劃;建立和改進(jìn)服務(wù)管理體系;信息安全管理體系的運(yùn)行;文檔化管理和改進(jìn);總結(jié)。

ISO/IEC 20000&27001體系認(rèn)證，可以幫助高校建立健全網(wǎng)絡(luò)信息安全保障體系，提高安全防護(hù)能力，確保學(xué)校網(wǎng)絡(luò)信息安全工作規(guī)范、有序開展。

3 山西大學(xué)體系認(rèn)證初探

3.1? 制定信息安全及技術(shù)服務(wù)管理方針

為了滿足適用法律法規(guī)及相關(guān)方要求，維持計算機(jī)機(jī)房運(yùn)行與維護(hù)服務(wù)的正常進(jìn)行，實(shí)現(xiàn)業(yè)務(wù)可持續(xù)發(fā)展的目的。山西大學(xué)根據(jù)業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)等實(shí)際情況，并結(jié)合相關(guān)方的需求定義了信息安全、信息技術(shù)服務(wù)管理體系方針如下：統(tǒng)籌規(guī)劃，主動防御，快速反應(yīng)，持續(xù)改進(jìn);以師生為中心，主動服務(wù)，規(guī)范完整，高效高質(zhì)。

3.2? 制定信息安全及技術(shù)服務(wù)管理目標(biāo)

學(xué)院一般于每年初將信息安全及信息安全服務(wù)管理目標(biāo)分解到信息安全服務(wù)部門，形成部門信息安全及信息安全服務(wù)管理目標(biāo)，并對信息安全及信息安全服務(wù)部門的管理目標(biāo)的達(dá)成情況進(jìn)行考核。信息安全服務(wù)管理目標(biāo)實(shí)施一段時期后，根據(jù)學(xué)院發(fā)展情況，做適宜的調(diào)整，確定新的信息安全服務(wù)管理目標(biāo)。

（1）確保信息安全事件發(fā)現(xiàn)率100%、上報和處理率100%。

（2）確保全年無重大信息安全事件（事故）發(fā)生。

（3）對于所有運(yùn)維項目，學(xué)院收到服務(wù)對象重大投訴不得超過3次。

（4）用戶滿意度≥90%。

（5）服務(wù)事件解決率≥90%。

（6）工單及時響應(yīng)率≥95%。

3.3? 風(fēng)險管理

ISO/IEC 20000&27001 對風(fēng)險的管理有一套嚴(yán)格的治理方法。對每一項資產(chǎn)按自身承載信息的保密性、完整性、可用性、合規(guī)性進(jìn)行量化賦值，使用合理的公式計算出資產(chǎn)的重要性[5];對在定義范圍內(nèi)的資產(chǎn)評估其風(fēng)險，風(fēng)險評估主要從威脅嚴(yán)重性、資產(chǎn)重要性、脆弱性、安全措施有效性方面進(jìn)行分析，還需評估控制風(fēng)險所需的代價，形成風(fēng)險清單，并制定相應(yīng)的風(fēng)險處置措施。制定風(fēng)險處置措施時，應(yīng)考慮風(fēng)險與代價的平衡原則，兩者之間的關(guān)系是互相制約的，付出的代價低，風(fēng)險就較大;反之，要使風(fēng)險降到很低，付出的代價就越大。這個代價不單指資金投入，還包括信息系統(tǒng)效率下降等隱性代價。一個好的風(fēng)險控制措施，應(yīng)該有效控制兩者的平衡點(diǎn)，既保證風(fēng)險在可接受范圍之內(nèi)，又使風(fēng)險管控措施付出的代價可接受，達(dá)到適度安全的平衡點(diǎn)。在進(jìn)行風(fēng)險評估過程中，要實(shí)現(xiàn)動態(tài)評估，即評估過程、指標(biāo)和時間點(diǎn)都不是一成不變的，需要隨著信息系統(tǒng)的使用環(huán)境、使用背景、使用單位的變化而變化，平衡點(diǎn)也不是固定不變的。隨著安全風(fēng)險和代價的變化，平衡點(diǎn)也在動態(tài)變化，從而使適度安全成為一個動態(tài)平衡的狀態(tài)。

通常，使用如下4種策略（表1）來應(yīng)對風(fēng)險，分別是規(guī)避、轉(zhuǎn)移、減輕與接受。

4 結(jié)語

在大數(shù)據(jù)和信息化飛速發(fā)展的時代背景下，高校信息安全建設(shè)也成為高校一項重點(diǎn)建設(shè)的項目。而信息安全建設(shè)不能僅依靠技術(shù)手段，需建立一套科學(xué)完善的信息安全管理體系。本文基于山西大學(xué)認(rèn)證過程，將ISO/IEC 20000&27001標(biāo)準(zhǔn)與高校信息安全及服務(wù)標(biāo)準(zhǔn)相結(jié)合，引入風(fēng)險管理和評審管理，工作實(shí)踐與體系標(biāo)準(zhǔn)全面對標(biāo)，在信息安全及服務(wù)規(guī)范化管理進(jìn)程上邁出扎實(shí)一步。

[參考文獻(xiàn)]

[1]張煥國，王麗娜，黃傳河，等.武漢大學(xué)信息安全學(xué)科建設(shè)與人才培養(yǎng)的探索與實(shí)踐[J].計算機(jī)教育，2007（23）：53-57.

[2]教育部辦公廳.2017年教育行業(yè)網(wǎng)絡(luò)安全報告.安全牛[R/OL].（2018-1-25）[2021-11-15].https：//www.aqniu.com/industry/31169.html.

[3]教育部辦公廳.2016年第一季度全國重點(diǎn)高校網(wǎng)絡(luò)安全報告.安全牛[R/OL].（2016-5-27）[2021-11-15].https：//www.aqniu.com/industry/16304.html.

[4]教育部辦公廳.2020年教育信息化和網(wǎng)絡(luò)安全工作要點(diǎn)[R/OL].（2020-02-26-）[2021-11-15].https：//www.ict.edu.cn/news/jrgz/xxhdt/n20200303_66025.shtml.

[5]趙鋒，趙首花.一種實(shí)用可行的信息資產(chǎn)登記及風(fēng)險評估方法研究[J].情報雜志，2009（11）：97-100.

（編輯 王永超）

Optimize the information security service of universities based on

ISO/IEC 20000 & 27001 system certification

Zhang Bo1， Song Yijun1， Wang Wenjian2

（1.Shanxi University? Modern Educational Technology College， Taiyuan 030006， China; 2.Shanxi University? Computer and

Information Technology College， Taiyuan 030006， China）

Abstract：With the transformation of educational informationization， how to guarantee? information security and service of colleges is a problem. Passing the ISO/IEC 20000&27001 system certification can help colleges make up the loopholes and develop a safe information management system. Through Shanxi University certification process， this paper discusses how to integrate ISO/IEC 20000&27001 with information security construction， so as to help colleges improve information security and information service ability.

Key words：college; information security construction; ISO/IEC 20000&27001

作者簡介：張波（1987— ），女，山西太原人，實(shí)驗(yàn)師，碩士;研究方向：高校信息化建設(shè)，信息安全。