基于ISO、IEC 20000&27001體系認證的高校信息安全服務優化研究

張波　宋毅君　王文劍

摘 要：隨著教育信息化的升級，如何保障高校的信息安全及服務，是一個值得探究的問題。ISO/IEC 20000&27001體系認證，可以幫助高校彌補信息安全漏洞，制定安全完善的信息化管理體系。文章通過對山西大學認證過程的研究，探討如何將ISO/IEC 20000&27001標準與高校信息安全建設相融合，真正幫助高校提升信息安全及信息服務能力。

關鍵詞：高校;信息安全建設;ISO/IEC 20000&27001

1 高校信息安全現狀

在信息化時代，計算機和網絡在軍事、政治、金融、工業、商業、生活和工作中等方面的應用越來越廣泛，社會對計算機和網絡的依賴也越來越大[1]。重點高校作為我國各行業人才儲備、科研項目承建機構，一旦發生師生信息泄露、科研數據被竊取等事件將會造成重大損失。2017年，WannaCry病毒肆虐，中國部分Windows操作系統用戶遭受感染，校園網用戶首當其沖，受害嚴重，大量實驗室數據和畢業設計被鎖定加密;2018年，江蘇常州大學懷德學院發生大規模信息泄露，上千名學生信息被不法企業盜用;2020年鄭州西亞斯學院近兩萬名學生信息遭泄露。

來自安全牛網站的2017年教育行業網絡安全報告指出，重點高校面對的威脅相對最嚴重的;行業發現605個CVE安全漏洞，19%教育機構受影響;42%教育機構遭受到總計166 997次DDOS拒絕服務攻擊，其中重點高校成了黑客的主要目標[2]。同樣，來自安全牛網站的2016年第一季度全國重點高校網絡安全報告中指出，通過對985和211工程共115所高校信息安全進行風險量化分析，其中21所（18%）為良好;54所（47%）為一般;40所（35%）為較差[3]。

2020年，教育部印發的《2020年教育信息化和網絡安全工作要點》提出：教育網絡安全支撐體系應不斷完善，教育系統網絡安全防護水平需不斷提高[4]。

2 ISO/IEC 20000&27001體系認證過程及意義

信息安全及服務管理體系的目的，是為包括高校在內的組織在建立、實施、運行、監視、評審、保持和改進信息安全和服務管理體系時提供參考模型，該體系涉及了最廣泛意義上的信息安全，讓管理者有一個參考框架用來管理信息服務。

近年來，新聞屢屢報道一些銀行、企業通過該體系認證，但國內高校目前還鮮有報道。

認證過程可以大致劃分為以下幾個階段：認證組織了解認證目的并識別適用范圍;理解認證術語及定義;學習體系結構及管理思想;組織管理者制定管理體系方針，并指定管理者代表，制定管理者代表職責;制定可實現的信息安全及服務目標和計劃;建立和改進服務管理體系;信息安全管理體系的運行;文檔化管理和改進;總結。

ISO/IEC 20000&27001體系認證，可以幫助高校建立健全網絡信息安全保障體系，提高安全防護能力，確保學校網絡信息安全工作規范、有序開展。

3 山西大學體系認證初探

3.1? 制定信息安全及技術服務管理方針

為了滿足適用法律法規及相關方要求，維持計算機機房運行與維護服務的正常進行，實現業務可持續發展的目的。山西大學根據業務特征、組織結構、地理位置、資產和技術等實際情況，并結合相關方的需求定義了信息安全、信息技術服務管理體系方針如下：統籌規劃，主動防御，快速反應，持續改進;以師生為中心，主動服務，規范完整，高效高質。

3.2? 制定信息安全及技術服務管理目標

學院一般于每年初將信息安全及信息安全服務管理目標分解到信息安全服務部門，形成部門信息安全及信息安全服務管理目標，并對信息安全及信息安全服務部門的管理目標的達成情況進行考核。信息安全服務管理目標實施一段時期后，根據學院發展情況，做適宜的調整，確定新的信息安全服務管理目標。

（1）確保信息安全事件發現率100%、上報和處理率100%。

（2）確保全年無重大信息安全事件（事故）發生。

（3）對于所有運維項目，學院收到服務對象重大投訴不得超過3次。

（4）用戶滿意度≥90%。

（5）服務事件解決率≥90%。

（6）工單及時響應率≥95%。

3.3? 風險管理

ISO/IEC 20000&27001 對風險的管理有一套嚴格的治理方法。對每一項資產按自身承載信息的保密性、完整性、可用性、合規性進行量化賦值，使用合理的公式計算出資產的重要性[5];對在定義范圍內的資產評估其風險，風險評估主要從威脅嚴重性、資產重要性、脆弱性、安全措施有效性方面進行分析，還需評估控制風險所需的代價，形成風險清單，并制定相應的風險處置措施。制定風險處置措施時，應考慮風險與代價的平衡原則，兩者之間的關系是互相制約的，付出的代價低，風險就較大;反之，要使風險降到很低，付出的代價就越大。這個代價不單指資金投入，還包括信息系統效率下降等隱性代價。一個好的風險控制措施，應該有效控制兩者的平衡點，既保證風險在可接受范圍之內，又使風險管控措施付出的代價可接受，達到適度安全的平衡點。在進行風險評估過程中，要實現動態評估，即評估過程、指標和時間點都不是一成不變的，需要隨著信息系統的使用環境、使用背景、使用單位的變化而變化，平衡點也不是固定不變的。隨著安全風險和代價的變化，平衡點也在動態變化，從而使適度安全成為一個動態平衡的狀態。

通常，使用如下4種策略（表1）來應對風險，分別是規避、轉移、減輕與接受。

4 結語

在大數據和信息化飛速發展的時代背景下，高校信息安全建設也成為高校一項重點建設的項目。而信息安全建設不能僅依靠技術手段，需建立一套科學完善的信息安全管理體系。本文基于山西大學認證過程，將ISO/IEC 20000&27001標準與高校信息安全及服務標準相結合，引入風險管理和評審管理，工作實踐與體系標準全面對標，在信息安全及服務規范化管理進程上邁出扎實一步。

[參考文獻]

[1]張煥國，王麗娜，黃傳河，等.武漢大學信息安全學科建設與人才培養的探索與實踐[J].計算機教育，2007（23）：53-57.

[2]教育部辦公廳.2017年教育行業網絡安全報告.安全牛[R/OL].（2018-1-25）[2021-11-15].https：//www.aqniu.com/industry/31169.html.

[3]教育部辦公廳.2016年第一季度全國重點高校網絡安全報告.安全牛[R/OL].（2016-5-27）[2021-11-15].https：//www.aqniu.com/industry/16304.html.

[4]教育部辦公廳.2020年教育信息化和網絡安全工作要點[R/OL].（2020-02-26-）[2021-11-15].https：//www.ict.edu.cn/news/jrgz/xxhdt/n20200303_66025.shtml.

[5]趙鋒，趙首花.一種實用可行的信息資產登記及風險評估方法研究[J].情報雜志，2009（11）：97-100.

（編輯 王永超）

Optimize the information security service of universities based on

ISO/IEC 20000 & 27001 system certification

Zhang Bo1， Song Yijun1， Wang Wenjian2

（1.Shanxi University? Modern Educational Technology College， Taiyuan 030006， China; 2.Shanxi University? Computer and

Information Technology College， Taiyuan 030006， China）

Abstract：With the transformation of educational informationization， how to guarantee? information security and service of colleges is a problem. Passing the ISO/IEC 20000&27001 system certification can help colleges make up the loopholes and develop a safe information management system. Through Shanxi University certification process， this paper discusses how to integrate ISO/IEC 20000&27001 with information security construction， so as to help colleges improve information security and information service ability.

Key words：college; information security construction; ISO/IEC 20000&27001

作者簡介：張波（1987— ），女，山西太原人，實驗師，碩士;研究方向：高校信息化建設，信息安全。