基于風險控制的大學信息安全政策體系構建

周秀霞?承砹?

〔摘要〕[目的/意義]通過對美國8所大學的信息安全政策體系進行研究，為國內大學加強信息安全政策體系建設提供有益的參考。[方法/過程]采用網站調查法和案例分析法研究了美國大學的信息安全政策構建的模式和特點。[結果/結論]基于對美國大學信息安全政策體系構建特點的分析，提出了5項啟示性建議。

〔關鍵詞〕美國大學；信息安全；風險控制；政策體系

DOI：10.3969/j.issn.1008-081.016.10.017

〔中圖分類號〕G03〔文獻標識碼〕A〔文章編號〕1008-081（016）10-010-05

〔Abstract〕[Purpose/Significance]The article analyzed the information security policy system based on risk control of 8 universities in the United States，in order to provide useful references for strengthening the information security policy system in our country.[Method/Process]This paper adopted web survey and case analysis methods to study the model and characteristics of the information security policy system.[Result/Conclusion]Based on analyses of the characteristics of the information security policy system in American Universities，this paper put forward five suggestions.

〔Key words〕american university；information security；risk control；policy system

隨著信息時代的到來，信息以前所未有的速度增長著，在帶來巨大效益的同時，也對安全進行了重新定義，信息安全成為人們持續關注的問題。尤其是機構部門，更注重信息安全政策的制訂與發展，以控制信息安全風險，保護其組織內信息資產的保密性、完整性和可用性，避免因政策缺失而導致的信息損失。作為致力于高等教學與研究的大學，其內部聚集了大量的信息資產、知識資產和智力資產，信息安全保護更是不可或缺。

當前，越來越多大學的正常運轉取決于其信息技術基礎設施的可靠性，從大學的教學實施、學術使命到大學行政管理的網絡化等，信息技術基礎設施已成為大學日常運作的關鍵。而首要的就是如何通過制訂不同的信息安全政策來保障大學的信息安全，引導校內所有教職工、學生以及校外人員了解并遵循這些政策，以提升大學資源的規范應用，維護大學利益，維護個人信息安全。

在這方面，美國的大學卓有成效，基本上美國的大學都建立起了一套相對完善的信息安全政策體系，并設有專門的管理機構，以進行風險控制，降低信息安全風險，應對各類信息安全問題。本文采用網絡調研的方法，選取了美國8所大學，包括俄亥俄州立大學、普林斯頓大學、斯坦福大學、卡耐基-梅隆大學、耶魯大學、華盛頓大學、波士頓大學、亞利桑那大學作為分析對象，對其信息安全的政策體系進行深入地分析，以反映美國大學信息安全政策體系的建設情況，為國內大學加強信息安全政策體系建設提供有益的參考。

1美國大學信息安全政策的構建模式

英國教育家紐曼說過，大學的職責是提供智能、理性和思考的練習環境，讓年輕人憑借自身所具有的敏銳、坦蕩、同情力、觀察力在共同的學習、生活、自由交談和辯論中，得到受益一生的思維訓練。

大學信息安全政策屬于大學行政管理的范疇，從側面也呈現了大學的這些職能特征，其制定基本上秉持了以下目標：（1）大學信息資源，尤其是科研數據、機構數據等的安全保障，以實現大學的學術文化傳承；（2）維護個人信息、數據安全；（3）基于知識產權與信息道德倫理等的考量，保證信息資源的分級、分類、合規利用；（4）維護大學的信息戰略或專利、品牌價值；（5）信息風險控制，減少損失，提高效益；（6）維護大學信息基礎設施的安全；（7）校內教職工、學生的信息行為規范等。

016年10月第36卷第10期現？代？情？報Journal of Modern InformationOct，016Vol36No10016年10月第36卷第10期基于風險控制的大學信息安全政策體系構建Oct，016Vol36No10基于這些目標制定的信息安全政策存在著內在邏輯性，自然成體系。如俄亥俄州立大學的信息安全與風險管理政策框架（如圖1所示），其將信息安全政策體系以金字塔的形式呈現出來。其中，IT安全政策是高層次的信息安全要求，其具體體現了大學關于信息安全的整體設想，以及具體的支撐和推進方法。其下依次是信息安全標準、信息安全控制要求，信息安全控制要求的每個安全控制依據信息安全標準具體進行實施。金字塔最底層為以文件程序、列表、軟件工具形式展示的工作指南，以推進政策的有效控制實施。金字塔兩側為機構數據政策和信息風險管理框架兩項重點政策，機構數據政策通過對數據進行分類進行訪問控制。信息風險管理框架是與信息安全標準、信息安全控制要求成體系的，對大學信息安全更高層次的要求，其實施具體包括3個步驟：（1）評估信息的風險；（2）實施信息安全計劃；（3）驗證是否符合信息安全的程序和法律法規[2]。

在信息安全標準的設計制訂中，俄亥俄州立大學遵循了3個原則：（1）簡化設計，將又長又復雜的NIST SP 800-53標準進行簡化，僅定義了30個風險領域，7個業務功能，包括管理風險、法律風險、業務（金融）風險、采購風險、人力資源風險、設施風險、信息技術風險，未來還將加入機構數據風險；（2）編寫人員包括業務領導、管理人員和IT專業人員等，打破了以往信息安全標準編寫人員一般都是IT專業人員或風險管理人員的常規；（3）對風險等級進行定義：P1（關鍵優先）、P2（高優先）、P3（中等優先）[3]。

圖1俄亥俄州立大學信息安全與風險管理政策框架

為保證大學信息、數據的可用性、完整性和機密性，美國大學一般都會進行信息風險管理，用于識別、評估信息風險，將其降低到最低或可以接受的水平，并通過政策、機制等來持續維持這種水平。其風險控制基本上依據《ISO 27002：信息技術-安全技術-信息安全控制使用規則》（Security Techniques-code of Practice for Information Security Management）、《IT基礎架構庫》（ITIL）、《健康信息信任聯盟公共安全框架》（HITRUST Common Security Framework）、《推薦的聯邦政府信息和組織的安全控制措施》（NIST SP 800-53，Recommended Security Controls for Federal Information Systems and Organizations）等標準進行規范運作，一般都包括風險分析、風險管理、風險監控、風險治理等環節?？梢哉f，風險控制是美國大學信息安全政策制訂的重要內容，也是大學實施信息安全管理的目標之一。

美國大學信息安全政策建設情況

美國非常重視大學的信息化建設，早在1990年，美國麻省理工學院教授Kenneth C Green就提出了“校園信息化”的概念，并啟動了高校信息化科研課題：Campus Computing Project（簡稱CCP）[4]。通過對美國大學一年一度的調查研究，著重研究信息技術在大學教育中的作用。據CCP 2015年的調查報告顯示，有76%的被調查大學認為網絡與數據安全在校園IT的建設中非常重要，僅次于“協助教師整合信息技術”、“招聘和留住合格的IT員工”、“提供足夠的用戶支持”，位于第4位[5]。因此，美國的大學不僅重視IT安全技術的應用研究，也比較重視信息安全政策的制訂、實施，一般的大學都制訂有比較系統、完善的信息安全政策。從公立、私立、大學的規模、知名度等角度，筆者選取了以下8所美國大學，就其信息安全政策的情況進行了調研，以反映美國大學信息安全政策的建設情況，具體情況見表1。

表1美國8所大學信息安全政策的建設情況

大學主管機構主管官員政策標準指南俄亥俄州立大學[6]信息安全工作組，信息安全聯系小組，信息安全咨詢委員會CIO基于俄亥俄州的信息風險管理程序、信息技術安全政策、數據政策、校園內計算機和網絡資源的合理應用等信息安全標準、信息安全控制要求、信息風險管理框架等普林斯頓大學信息技術辦公室、信息安全辦公室、數據治理指導委員會〖〗信息技術與首席信息官信息安全政策、信息技術與數字資源適用許可、大學敏感數據防泄漏規程等普林斯頓大學信息保護的標準和規程、信息保密協議模型等研究數據安全指南等斯坦福大學[8]信息安全辦公室、隱私辦公室首席信息安全官〖〗信息安全的行政管理、加密、風險分類、第三方認證、數據處理、PCI/HIPAA/FERPA的規定等最低安全標準、PCI DSS認證、ISO 27002認證、OWASP應用安全檢驗標準認證、SAS 70 Ⅱ認證或SSAE-16認證等信息安全入門指南、系統管理員指南、信息安全意識視頻、其他安全資源等卡耐基-梅隆大學[9]信息安全辦公室、咨詢委員會信息安全總監信息安全政策、信息安全的角色和責任、信息安全程序、大學政策、規范性管理的相關政策等信息安全指南、數據分類指南、數據保護指南、數據管理指南、數據保存指南等耶魯大學[0]信息安全政策委員會、信息技術服務辦公室首席信息安全官信息安全政策與法規、電子郵件政策、主流信息安全政策、網絡ID認證管理政策、IT異地支持政策、安全性和保密性的需求、網絡政策、隱私政策、身份和訪問管理等〖〗內部主應用系統的安全標準等數據和應用安全、設備安全等華盛頓大學]首席信息官辦公室、隱私保障和系統安全委員會首席信息官、隱私主管隱私政策、信息安全和隱私的角色、責任和定義，信息安全和隱私事件管理政策等Husky ID卡及數據準用性標準、社會安全號碼標準等信息安全指南、社會安全號碼的合理使用指南、信息安全控制和操作實踐等波士頓大學[2]信息服務與技術部信息安全政策、計算機使用道德規范、賬戶保護政策、個人信息保護策略、數據中心安全訪問政策、數據保護標準、基于HIPAA的安全政策、群發電子郵件政策、谷歌APPS的規范使用及數據安全政策等〖〗信息安全管理指南、社交媒體指南等亞利桑那大學[3]大學規范委員會、IT安全委員會、信息安全委員會首席信息官、大學信息主管信息安全政策（IS-100）、計算機和網絡訪問協議（IS-700）、計算機的使用許可政策（IS-701）、電子隱私政策（IS-1000）等數據分類和處理標準（IS-2321）、亞利桑那大學安全框架等學生信息隱私指南、FERPA規范手冊等

對以上8所美國大學信息安全政策制訂情況進行分析，可以發現其基本具有以下特點：

（1）受體制、文化、管理制度等的影響，美國大學基本上都很重視信息安全政策的制訂和落實，一般都設有實體的信息安全管理部門，譬如波士頓大學的信息服務與技術部、卡耐基-梅隆大學的信息安全辦公室等；并設有專門的人員負責信息安全政策的制訂、協調各項信息安全工作、制定技術解決方案等，其直接向校董事會匯報，如耶魯大學的首席信息安全官、普林斯頓大學的信息技術與首席信息官等。沒有實體信息安全管理機構的大學，一般由大學規范委員會、IT安全委員會、信息安全委員會等負責信息安全政策的制訂、實施與評價。有的大學還建有數據治理指導委員會、信息安全咨詢委員會等機構，其主要是指導、監督信息安全政策的制訂、實施，確保其有效、合規、合法。

（2）美國大學的信息安全政策是美國政府政策、法規、標準等在大學的實踐應用。如俄亥俄州立大學制訂了大學的機構數據分類標準，其依據的是《美國聯邦信息處理標準》（Federal Information Processing Standards，FIPS 199）、《聯邦信息和信息系統的安全分類標準》（Standards for Security Categorization of Federal Information and Information Systems）、美國國家標準與技術研究院（Standards for Security Categorization of Federal Information and Information Systems）發布的SP 80-53第4次修訂版《聯邦組織和信息系統的安全與隱私控制》（Security and Privacy Controls for Federal Information Systems and Organizations）等；波士頓大學的《基于HIPAA的安全政策》是美國《醫治保險攜帶和責任法》（Health Insurance Portability and Accountability Act，HIPAA）在大學的具體應用。諸如此類，美國大學的信息安全政策或多或少體現了以下的美國法規、政策：《信息自由法》（Freedom of Information Act，簡稱FOIA）、《聯邦信息資源的管理》（The Management of Federal Information Resources）、《數字千年版權法》（The Digital Millennium Copyright Act of 1998，DMCA）、《懲治計算機與濫用法》（Computer Fraud Abuse Act of 1984，CFAA）、《聯邦信息安全管理法案》（Federal Information Security Management Act of 2002，FISMA）、《隱私保護法》（The Right to Privacy Protection Act of 1980）、《電子通訊隱私法》（The Electronic Communicatio Privacy Act）、《網絡安全法案》（Cybersecurity Act）、《關鍵基礎設施信息保護法》（Critical Infrastructure Information Act）、《醫治保險攜帶和責任法》（Health Insurance Portability and Accountability Act，HIPAA）、《家庭教育權利和隱私權法》（Family Educational Rights and Privacy Act of 1974，FERPA）、PCI數據安全標準（Payment Card Industry Data Security Standard）、《薩班斯法案》（SOX）等。

（3）美國大學的信息安全政策基本是都是體系化、系統化的，具體表現在以下幾個方面：①覆蓋了大學使用信息技術、需要信息保護的各個領域范圍，包括機構數據、研究數據、健康數據、支付卡數據、個人隱私、信息技術設施使用等各個方面；②適用群體基本全覆蓋，一般在政策的開始都會闡明政策適用的群體，對于例外的一些群體會有解釋，或有其他政策適用于這些例外的群體；③會根據聯邦政府、州政府等政策的修訂，信息技術的發展等情況，定期對政策進行修訂或者制訂適應的新的政策，一般在政策上都會標明制訂政策的最初時間、上次修訂的時間、最新修訂的時間等。④政策在美國大學中是一個泛指的概念，它既包括那些用來指導和溝通思想與行動方針的政策，也包括那些為規范、精確定位某些活動及其結果而采用的標準，還包括具體情況中允許或許允許采用某些行為的規定以及那些有指導意義的指南等，基本上形成了集政策、標準、規范、程序、指南于一體的政策體系。

（4）信息安全政策內容框架清晰、規范，基本上都明確了闡述了政策的制訂背景、目的、適用范圍、適用群體、術語解釋、內容、版本等。有的政策還闡述了政策的權威性，政策中不同群體的職責，政策執行的程序等。筆者以上述8所大學為例，各選取了一項政策，以展示政策內容框架的規范性，詳見表。

表美國8所大學信息安全政策的內容框架

大學政策名稱政策內容框架俄亥俄州立大學Institutional Data適用對象、政策發布及修改時間、政策目的、術語定義、政策內容、程序、職責、參考資源、聯系方式、修訂記錄普林斯頓大學Information Security Policy政策聲明，適用對象，術語定義，政策內容，職責，相關的大學政策、程序、標準和模型，政策審查，政策發布及修改時間，聯系方式斯坦福大學Information Security Incident Response上次修改時間、政策編號、權威性、適用范圍、政策目的、定義、響應、調查、信息安全事件響應小組、準備報告、相關文獻、聯系方式卡耐基-梅隆大學Information Security Policy政策目的、適用范圍、修訂、例外、定義、政策內容、相關信息、政策發布及修改時間、聯系方式耶魯大學Information Technology Appropriate Use Policy政策發布及修改時間、政策內容目錄、適用范圍、政策聲明、政策目的、定義、政策內容華盛頓大學Information Security Controls and Operational Practices政策目的、適用范圍、安全計劃、執行控制、技術安全及訪問控制、監控、物理控制、資產控制、賬戶、身份管理、政策修訂、附件波士頓大學Information Security Policy生效日期、政策聲明、政策目的、適用范圍、定義、職責、程序、相關文獻、聯系方式亞利桑那大學Information Security Policy政策信息（包括有效日期、政策編號、負責單位、聯系方式）、政策目的、適用范圍、定義、政策內容、規范性和職責、相關信息

3幾點啟示

在研究中，我們發現美國大學信息安全政策的制訂有以下幾方面經驗值得借鑒：

信息安全政策制訂科學化、系統化

美國大學的信息安全政策制訂既有具體的管理部門和管理人員負責，從科學研究、符合客觀需要的角度具體進行政策的設計、制訂、實施與評估；又有咨詢委員會、政策委員會等組織進行政策的審議、監督，從整體性、全局性和科學性等的角度進行“頂層協調”；使信息政策從行政管理的角度防止了“片面化”和“碎片化”的傾向。同時，政策的制訂還考慮了適用人群、適用時間、負責機構、負責人員等諸多影響因素，并有相對完善的約束機制，從整體上保證了政策的科學性、系統性和有效性。

風險控制是美國大學信息政策制訂的基本思想

為了控制風險，美國大學通用的做法是以風險的高低程度將信息、數據進行分類，以分別確定哪些風險分類適用于哪些信息、數據類型。當一項信息、數據混合了多種數據信息、適用于多個風險類別時，將使用最高的風險分類。針對不同的風險級別，大學制訂了不同級別的信息安全管理規范和安全預防措施，以在保證信息、數據的安全、提升管理效率的同時，最大限度地共享信息資產。斯坦福大學還發布了《最低安全標準》，是斯坦福大學對敏感信息的最低安全標準。以個人筆記本終端的系統配置管理為例，其認為最低的安全標準是要安裝GigFix和SWDE，如果不安裝，認為存在高信息安全風險。

33數據分級管控是美國大學信息安全管理的通行做法，以在保護大學機構數據的同時，保持數據開放，實現信息共享一般的，美國大學會依據數據的受法律保護性、敏感程度、價值、重要性、對大學的潛在影響、知識產權和道德考慮等將大學數據分成公共數據、內部數據、私人數據、機密數據等幾類，以確定不同數據安全保護的底線，施行不同的管理、訪問、服務、存儲政策。數據分級管控是有周期性的，是基于數據的生命周期的，超出生命周期的數據要重新進行評估、分類，并調整安全控制的策略。

隱私保護的政策比較完善

美國大學非常注重隱私政策的制訂，幾乎所有的大學都制訂有隱私政策。有的大學，如華盛頓大學還設有隱私主管的崗位，具體負責適合大學的隱私政策、標準、指南等的制訂和推進。美國的隱私政策一般都依據最小特權原則，在保證大學相關人員履行工作職責的前提下，最大限度地進行隱私保護。

35重視信息安全政策的普及與培訓

美國非常重視信息安全的教育與意識培訓，并具體體現在美國大學中。為使大學的教職員工、學生、相關人員等了解信息安全動態，掌握保障信息安全的方法，熟知大學相關的信息安全政策，提高信息安全意識，很多美國大學都推出了系列的信息安全培訓活動，是信息安全政策培訓的踐行者。有的大學的培訓并不限于信息安全政策的培訓，還包括信息技術服務、信息工具應用、信息安全評估等。以卡耐基-梅隆大學為例，其信息安全培訓不僅包括文件共享和數字版權、網絡部門的信息安全建議、網絡安全承諾等政策方面的內容，還包括網絡釣魚訓練、網絡漏洞掃描、信息安全工具輔導應用等能力方面的培訓，還包括權威認證、安全評估等信息安全服務方面的內容。

4結語

正如普林斯頓大學在制訂信息安全政策聲明中所說的，信息安全政策提供了一個安全框架，確保了大學信息的安全，防止未經授權的訪問、丟失或損壞；同時也是為了支持大學學術文化的開放、共享?？傊?，信息安全管理是一個大學的責任，而且不是僅靠IT技術就能解決的，信息安全政策是其中重要的一環。

參考文獻

百度百科.大學[EB/OL].http：∥baike.baidu.com/link？url=JdaQSg2xLn1rzVJFr9MpzOYBBGeSo2LUxhCYNu1LCd9erXGBIXfhO0 trX4ZPHqcypYIQ191Cmg5XJP5I2SWaXHnKf7tGmMVzu5fjhhu，2015-12-08.

[2]IT security framework[EB/OL].http：∥ocio.osu.edu/itsecurity/framework，2015-12-08.

[3]IT security framework[EB/OL].http：∥ocio.osu.edu/itsecurity/framework，2015-12-08.

[4]林新.美國高校圖書館信息安全管理分析與啟示[J].圖書館建設，2014，（3）：80-82.

[5]Great faith in the instructional benefits of digital technologies；great expectations for the rising use of OER[EB/OL].http：∥www.campuscomputing.net/item/2015-campus-computing-survey-0，2015-12-08.

[6]Information technology（IT）security university policy[EB/OL].http：∥ocio.osu.edu/sites/default/files/assets/Policies/ITSecurity.pdf，2015-12-08.

Information security policy[EB/OL].http：∥www.princeton.edu/oit/it-policies/it-security-policy/Documents/InformationSecurityPolicy.pdf，2015-12-08.

[8]Information security[EB/OL].http：∥itservices.stanford.edu/security，2015-12-08.

[9]Policies & practices[EB/OL].http：∥www.cmu.edu/iso/governance/index.html，2015-12-08.

[0]Secure computing[EB/OL].http：∥its.yale.edu/secure-computing/security-standards-and-guidance，2015-12-08.

]Policies，standards，and guidelines[EB/OL].http：∥passcouncil.washington.edu/psg/，2015-12-08.

[2]Information security policy and guides[EB/OL].http：∥www.bu.edu/tech/about/policies/info-security/，2015-12-08.