基于国际标准构建信息安全管理体系

admin

信息安全管理是维护和组织所有信息资产安全的系统，维护信息的保密性、完整性和可用性，是各种协调活动的集合，用以指导、管理和控制各类信息安全风险。对于信息安全管理来说，成本有限，所以要在安全风险可承受的范围内做好成本控制。

长期以来，高校的信息安全管理往往停留在以技术方法解决信息安全问题的层面上，但根据相关统计结果，只有20%~30%的信息安全事故是由于黑客或者其他不确定因素造成的，70%~80%是由于内部员工的过失或者故意造成的。实际上，信息安全问题产生的原因往往是人，所以仅仅通过提高信息安全技术来提升信息安全管理水平是完全不可能的。

信息安全管理水平的提升是多个维度综合作用的结果，所以不进行综合规划和考量，而仅根据当下的信息安全需求去出台某些控制手段或购置某类安全设备，都可能陷入顾此失彼的状况，从而导致信息安全管理的“barrel（木桶）”出现某些“短板”，信息安全整体管理水平提升受到很大限制。

如何快速有效地提升信息安全管理水平?首先应该完全理解国内外相关的信息安全管理体系和标准，熟悉其最佳实践；其次在高校目前的信息安全管理水平上，基于实际需要，对风险进行分析，采用适当的控制，最终建立理想的信息安全管理体系。

01

安全框架和过程模型

信息安全管理体系（ISMS）

信息安全管理体系（Information Security Management System，简称ISMS）是一个建立在整体或局部范围内的信息安全方针策略和目标，以及实现这一目标所要进行的操作和步骤的集合。

图1 ISMS体系框架

ISMS是构建高校信息安全管理系统的一部分。以风险分析为核心，对高校信息系统的状况进行监测、评审、维护以及持续改进，提升高校信息安全管理水平。如图1所示，安全方针是组织制定的一个高层文件，用来指出组织怎样对资产，或者说敏感信息进行管理、保护、分配；安全组织体系包括安全管理组织结构、绩效考核、安全意识教育、法律法规和上级部门规范要求；安全策略体系主要包括物理安全、网络安全、系统安全等方面，安全策略比制度和规范更抽象；安全管理制度、操作规范和表单具体定义了安全策略实施途径、方法和日志记录。

ISO/IEC 27001标准

ISO/IEC 27001是由信息安全规范示例构成的综合性控制集合，是ISO 27000标准产品群的核心，是目前信息安全管理的国际标准，如今最新版是ISO/IEC 27001:2022。

在最新的ISO/IEC 27001:2022标准中，明确列出了93个控制项，这些控制项涵盖了4个主题和15个安全运营能力域。ISO/IEC 27001标准是一种信息安全管理系统建设、运行、监控、检测、维护和持续改进模式，它建立并且执行了信息安全管理系统，并将要求事项指定为执行机构应遵守的风险评估标准。比较全面的管理标准ISO/IEC 27001为相关员工提供了熟练使用它的方法，以达到创造适合组织的信息安全管理系统的目的。图2为ISO/IEC 27001:2022的15个安全运营能力域。

图2 ISO/IEC 27001:2022的15个安全运营能力域

PDCA模型

PDCA是1930年由美国质量管理专家休哈特博士提出的一种管理流程模型，在此之后持续改进。PDCA动态持续改进的一个循环体就是ISMS（如图3所示）。

图3 PDCA 的循环体系

02

华中师范大学ISMS建设实践

安全方针建设

高校信息安全方针由领导班子公开发布，用以指导高校对信息资产的管理，其中包含了对敏感信息的管理、保护以及发布的规则和方式。

信息安全方针应详细说明高校管理层的努力，介绍高校管理信息安全的方法，通过后需采取适当方法向全体师生宣传信息安全相关策略。信息安全策略应简短易懂，内容需包含：信息安全是什么以及重要性，上级的意见，介绍信息安全管理，信息安全管理的法律效力。华中师范大学的信息安全方针包含以下内容。

第一，负责人为学校信息安全的第一责任人。有关信息安全的总体方向及行动方针则由学校的信息化领导小组确立，并向相关部门发出通告。

第二，确保现有信息资产的保密性、完整性和可操作性，继续进行风险评估，管理和技术手段并重，从而建立全面覆盖学校的可度量、可管理的信息安全管理系统，为各种信息系统的平稳运行提供可信的支撑环境。

第三，所有教职工和学生应遵守法律法规要求和上级部门的要求。

第四，定期对所有管理人员及工作人员进行信息安全的必要教育和培训，增强其信息安全意识。

第五，定期进行信息安全相关的内部审计，在采取必要且妥当的改正措施时，尽力防止偶发灾害、故障、过失及因故意滥用信息资产等而导致的业务中断，确保业务连续性。

第六，因学校教职工故意或重大过失而违反学校有关信息安全的各项规定时，或其行为已违反信息安全相关法律时，应按相关文件规定进行处罚。

ISMS范围界定

ISMS范围界定的原则包括：与ISMS合作的法律机构是哪个？该机构将拥有、经营和依赖哪些信息资产？机构的信息资产具体有哪些？

在小型组织里，所有事物都应在ISMS的范围内。高校的部门和信息点众多，ISMS范围的划定非常复杂。高校内部教师或学生私自创建了大量的科研、学术、生活类网站，再加上服务器部署时间长、人员更迭，服务器的应用情况很难摸清。对此，我们采用了以下两种方法。

第一，使用流量采集工具对服务器访问流量采集、处理、存储及分析，建立服务器应用和URL（统一资源定位符）的列表，当数据采集一月左右，基本可以发现该网段所有的活动URL。然后，对这些URL进行分析，剔除非本校域名网站或者直接使用IP访问的网站，便可以形成资产清单。这种方法的优点是对现有信息系统和网络设备的运行影响很小，缺点是不能发现没有流量的信息系统。

第二，使用扫描器对目标网段进行主动扫描，发现、处理、分析存活的信息系统，建立资产列表。这种方法的优点是可以发现流量采集工具所不能发现的信息资产，缺点是会对现有信息系统和网络设备的性能产生压力，只能选择业务非高峰时段进行。

结合上述两种方法，我们对产生的资产列表进行了交叉比对，并将资产列表中的“双非”信息系统（“双非”信息系统指使用非本校IP地址和域名的信息系统）排除，得到最终的资产列表。我们按照“谁主管谁负责”的原则，确定每个部门所属的信息资产，进而汇总确定ISMS边界。

安全组织体系建设

高校安全组织体系建设的首要任务就是要明确学校信息资产的保护责任和完成特定安全流程的责任。学校在信息安全政策中应当对信息安全角色与责任分配提供总的指导，同时对特定的站点、服务和相关安全流程提供更详细的指南。图4为华中师范大学网络安全组织架构。

图4 华中师范大学网络安全组织架构

网络安全与信息化领导小组是学校网络与信息安全工作的领导机构，负责学校网络与信息安全工作的政策制定、统筹部署与监督检查。领导小组下设教育信息化工作小组和网络与信息安全工作小组。网络与信息安全工作小组负责研究制定学校网络与信息安全技术方案和管理规定，负责对校内各单位网络与信息安全工作进行监督、评价、指导及审批，指挥、协调、督促学校网络信息安全事件的处理。网络与信息安全工作小组由学校办公室、宣传部、信息化办公室、学生工作部、研究生院和保卫处等单位构成。

安全策略体系建设

信息安全策略是解决信息安全问题最重要的步骤，也是整个信息安全体系的基础。华中师范大学的安全策略体系建设内容如下。

系统安全策略：操作系统的选用、操作系统的安装、操作系统的使用规范、操作系统的加固、操作系统的漏洞扫描、操作系统的升级管理、操作系统的变更管理等。

数据安全策略：关键业务数据（存储和传输）加密要求策略、个人计算机的数据保密策略、学校机密文档保护策略等。

账号口令策略：口令设置规则、口令更换周期、口令管理方式等。

病毒防护策略：防病毒产品选型、安装、配置、升级等。

紧急恢复策略：应急响应组建设、应急恢复过程规范、应急恢复演练和测试、应急恢复培训等。

第三方策略：第三方和厂商管理策略、外包的服务和服务水平协议、保密协议等。

系统开发策略：系统开发的安全策略和开发规范。安全审计策略：

安全策略审计、安全管理制度审计、应急计划审计、岗位审计、系统日志审计等。

安全意识与教育

安全意识与教育是高校ISMS的重要组成部分。高校应当对所有教职工及第三方相关用户经常性地进行信息安全教育与培训，对于新教职工要在其访问信息和某项服务之前先进行安全意识与教育培训，以提高安全意识与防范技能，并促使遵守国家法律、法规与组织的安全政策与程序。

03

高校ISMS推行的关键

ISMS体系试用和完善

ISMS体系分发与制度测试。首先，在部分部门内进行ISMS体系的试点推广。在推行ISMS体系的过程中，采取从松到严、从少到多的方式，即先从最容易接受、最容易起到效果的地方开始（如病毒防护、上网管理、桌面管理等）。其次，在ISMS体系执行过程中，通过过程评估发现哪些内容是教职工不容易接受的，哪些是不容易操作的。这些都用于日后对体系的逐步完善。

ISMS体系修订完善。ISMS体系试运行过程中必然会出现一些问题。项目实践中，我们发现最大的问题是ISMS的可操作性需要加强。对此，高校应以业务流程为导向，将安全要求融入每个步骤中，避免教条式地按照标准要求写文件；通过反馈意见调查表、满意度测量等方式集中或分散收集反馈意见，根据反馈意见进行必要的ISMS体系修订和完善，以确保ISMS体系及时颁布实施。

领导层的承诺与支持

在任何一个组织内实施ISMS，必须得到高层管理人员的承诺与支持，在高校实施ISMS也不例外。

高校对高层管理人员的认可和贡献有两种作用，一是安全政策和管理措施可以有效体现在整个组织中，二是必要的财政和人力资源支持与部门之间的调整问题应该由学校的最高管理人员来促进。

实践中，应当取得学校高层管理人员的支持，将安全管理要求融入教职工绩效考核。学校将安全绩效用具体的指标定义，通过定期的安全审计，检查安全绩效及制度执行有效性，可以明显改善教职工的信息安全管理意识，加快ISMS的推进。

本文首先介绍了信息安全管理体系ISMS和ISO/IEC 27001国际信息安全管理标准，其次依据ISO/IEC 27001标准建立了一套高校ISMS，最后以华中师范大学为例，介绍了ISMS的具体实施过程和落地经验。实践证明，基于ISO/IEC  27001标准的高校ISMS保障了高校信息系统的业务连续性，提升了高校信息安全治理水平。