基于风险控制的大学信息安全政策体系构建

周秀霞�承砹�

〔摘要〕[目的/意义]通过对美国8所大学的信息安全政策体系进行研究，为国内大学加强信息安全政策体系建设提供有益的参考。[方法/过程]采用网站调查法和案例分析法研究了美国大学的信息安全政策构建的模式和特点。[结果/结论]基于对美国大学信息安全政策体系构建特点的分析，提出了5项启示性建议。

〔关键词〕美国大学；信息安全；风险控制；政策体系

DOI：10.3969/j.issn.1008-081.016.10.017

〔中图分类号〕G03〔文献标识码〕A〔文章编号〕1008-081（016）10-010-05

〔Abstract〕[Purpose/Significance]The article analyzed the information security policy system based on risk control of 8 universities in the United States，in order to provide useful references for strengthening the information security policy system in our country.[Method/Process]This paper adopted web survey and case analysis methods to study the model and characteristics of the information security policy system.[Result/Conclusion]Based on analyses of the characteristics of the information security policy system in American Universities，this paper put forward five suggestions.

〔Key words〕american university；information security；risk control；policy system

随着信息时代的到来，信息以前所未有的速度增长着，在带来巨大效益的同时，也对安全进行了重新定义，信息安全成为人们持续关注的问题。尤其是机构部门，更注重信息安全政策的制订与发展，以控制信息安全风险，保护其组织内信息资产的保密性、完整性和可用性，避免因政策缺失而导致的信息损失。作为致力于高等教学与研究的大学，其内部聚集了大量的信息资产、知识资产和智力资产，信息安全保护更是不可或缺。

当前，越来越多大学的正常运转取决于其信息技术基础设施的可靠性，从大学的教学实施、学术使命到大学行政管理的网络化等，信息技术基础设施已成为大学日常运作的关键。而首要的就是如何通过制订不同的信息安全政策来保障大学的信息安全，引导校内所有教职工、学生以及校外人员了解并遵循这些政策，以提升大学资源的规范应用，维护大学利益，维护个人信息安全。

在这方面，美国的大学卓有成效，基本上美国的大学都建立起了一套相对完善的信息安全政策体系，并设有专门的管理机构，以进行风险控制，降低信息安全风险，应对各类信息安全问题。本文采用网络调研的方法，选取了美国8所大学，包括俄亥俄州立大学、普林斯顿大学、斯坦福大学、卡耐基-梅隆大学、耶鲁大学、华盛顿大学、波士顿大学、亚利桑那大学作为分析对象，对其信息安全的政策体系进行深入地分析，以反映美国大学信息安全政策体系的建设情况，为国内大学加强信息安全政策体系建设提供有益的参考。

1美国大学信息安全政策的构建模式

英国教育家纽曼说过，大学的职责是提供智能、理性和思考的练习环境，让年轻人凭借自身所具有的敏锐、坦荡、同情力、观察力在共同的学习、生活、自由交谈和辩论中，得到受益一生的思维训练。

大学信息安全政策属于大学行政管理的范畴，从侧面也呈现了大学的这些职能特征，其制定基本上秉持了以下目标：（1）大学信息资源，尤其是科研数据、机构数据等的安全保障，以实现大学的学术文化传承；（2）维护个人信息、数据安全；（3）基于知识产权与信息道德伦理等的考量，保证信息资源的分级、分类、合规利用；（4）维护大学的信息战略或专利、品牌价值；（5）信息风险控制，减少损失，提高效益；（6）维护大学信息基础设施的安全；（7）校内教职工、学生的信息行为规范等。

016年10月第36卷第10期现？代？情？报Journal of Modern InformationOct，016Vol36No10016年10月第36卷第10期基于风险控制的大学信息安全政策体系构建Oct，016Vol36No10基于这些目标制定的信息安全政策存在着内在逻辑性，自然成体系。如俄亥俄州立大学的信息安全与风险管理政策框架（如图1所示），其将信息安全政策体系以金字塔的形式呈现出来。其中，IT安全政策是高层次的信息安全要求，其具体体现了大学关于信息安全的整体设想，以及具体的支撑和推进方法。其下依次是信息安全标准、信息安全控制要求，信息安全控制要求的每个安全控制依据信息安全标准具体进行实施。金字塔最底层为以文件程序、列表、软件工具形式展示的工作指南，以推进政策的有效控制实施。金字塔两侧为机构数据政策和信息风险管理框架两项重点政策，机构数据政策通过对数据进行分类进行访问控制。信息风险管理框架是与信息安全标准、信息安全控制要求成体系的，对大学信息安全更高层次的要求，其实施具体包括3个步骤：（1）评估信息的风险；（2）实施信息安全计划；（3）验证是否符合信息安全的程序和法律法规[2]。

在信息安全标准的设计制订中，俄亥俄州立大学遵循了3个原则：（1）简化设计，将又长又复杂的NIST SP 800-53标准进行简化，仅定义了30个风险领域，7个业务功能，包括管理风险、法律风险、业务（金融）风险、采购风险、人力资源风险、设施风险、信息技术风险，未来还将加入机构数据风险；（2）编写人员包括业务领导、管理人员和IT专业人员等，打破了以往信息安全标准编写人员一般都是IT专业人员或风险管理人员的常规；（3）对风险等级进行定义：P1（关键优先）、P2（高优先）、P3（中等优先）[3]。

图1俄亥俄州立大学信息安全与风险管理政策框架

为保证大学信息、数据的可用性、完整性和机密性，美国大学一般都会进行信息风险管理，用于识别、评估信息风险，将其降低到最低或可以接受的水平，并通过政策、机制等来持续维持这种水平。其风险控制基本上依据《ISO 27002：信息技术-安全技术-信息安全控制使用规则》（Security Techniques-code of Practice for Information Security Management）、《IT基础架构库》（ITIL）、《健康信息信任联盟公共安全框架》（HITRUST Common Security Framework）、《推荐的联邦政府信息和组织的安全控制措施》（NIST SP 800-53，Recommended Security Controls for Federal Information Systems and Organizations）等标准进行规范运作，一般都包括风险分析、风险管理、风险监控、风险治理等环节。可以说，风险控制是美国大学信息安全政策制订的重要内容，也是大学实施信息安全管理的目标之一。

美国大学信息安全政策建设情况

美国非常重视大学的信息化建设，早在1990年，美国麻省理工学院教授Kenneth C Green就提出了“校园信息化”的概念，并启动了高校信息化科研课题：Campus Computing Project（简称CCP）[4]。通过对美国大学一年一度的调查研究，着重研究信息技术在大学教育中的作用。据CCP 2015年的调查报告显示，有76%的被调查大学认为网络与数据安全在校园IT的建设中非常重要，仅次于“协助教师整合信息技术”、“招聘和留住合格的IT员工”、“提供足够的用户支持”，位于第4位[5]。因此，美国的大学不仅重视IT安全技术的应用研究，也比较重视信息安全政策的制订、实施，一般的大学都制订有比较系统、完善的信息安全政策。从公立、私立、大学的规模、知名度等角度，笔者选取了以下8所美国大学，就其信息安全政策的情况进行了调研，以反映美国大学信息安全政策的建设情况，具体情况见表1。

表1美国8所大学信息安全政策的建设情况

大学主管机构主管官员政策标准指南俄亥俄州立大学[6]信息安全工作组，信息安全联系小组，信息安全咨询委员会CIO基于俄亥俄州的信息风险管理程序、信息技术安全政策、数据政策、校园内计算机和网络资源的合理应用等信息安全标准、信息安全控制要求、信息风险管理框架等普林斯顿大学信息技术办公室、信息安全办公室、数据治理指导委员会〖〗信息技术与首席信息官信息安全政策、信息技术与数字资源适用许可、大学敏感数据防泄漏规程等普林斯顿大学信息保护的标准和规程、信息保密协议模型等研究数据安全指南等斯坦福大学[8]信息安全办公室、隐私办公室首席信息安全官〖〗信息安全的行政管理、加密、风险分类、第三方认证、数据处理、PCI/HIPAA/FERPA的规定等最低安全标准、PCI DSS认证、ISO 27002认证、OWASP应用安全检验标准认证、SAS 70 Ⅱ认证或SSAE-16认证等信息安全入门指南、系统管理员指南、信息安全意识视频、其他安全资源等卡耐基-梅隆大学[9]信息安全办公室、咨询委员会信息安全总监信息安全政策、信息安全的角色和责任、信息安全程序、大学政策、规范性管理的相关政策等信息安全指南、数据分类指南、数据保护指南、数据管理指南、数据保存指南等耶鲁大学[0]信息安全政策委员会、信息技术服务办公室首席信息安全官信息安全政策与法规、电子邮件政策、主流信息安全政策、网络ID认证管理政策、IT异地支持政策、安全性和保密性的需求、网络政策、隐私政策、身份和访问管理等〖〗内部主应用系统的安全标准等数据和应用安全、设备安全等华盛顿大学]首席信息官办公室、隐私保障和系统安全委员会首席信息官、隐私主管隐私政策、信息安全和隐私的角色、责任和定义，信息安全和隐私事件管理政策等Husky ID卡及数据准用性标准、社会安全号码标准等信息安全指南、社会安全号码的合理使用指南、信息安全控制和操作实践等波士顿大学[2]信息服务与技术部信息安全政策、计算机使用道德规范、账户保护政策、个人信息保护策略、数据中心安全访问政策、数据保护标准、基于HIPAA的安全政策、群发电子邮件政策、谷歌APPS的规范使用及数据安全政策等〖〗信息安全管理指南、社交媒体指南等亚利桑那大学[3]大学规范委员会、IT安全委员会、信息安全委员会首席信息官、大学信息主管信息安全政策（IS-100）、计算机和网络访问协议（IS-700）、计算机的使用许可政策（IS-701）、电子隐私政策（IS-1000）等数据分类和处理标准（IS-2321）、亚利桑那大学安全框架等学生信息隐私指南、FERPA规范手册等

对以上8所美国大学信息安全政策制订情况进行分析，可以发现其基本具有以下特点：

（1）受体制、文化、管理制度等的影响，美国大学基本上都很重视信息安全政策的制订和落实，一般都设有实体的信息安全管理部门，譬如波士顿大学的信息服务与技术部、卡耐基-梅隆大学的信息安全办公室等；并设有专门的人员负责信息安全政策的制订、协调各项信息安全工作、制定技术解决方案等，其直接向校董事会汇报，如耶鲁大学的首席信息安全官、普林斯顿大学的信息技术与首席信息官等。没有实体信息安全管理机构的大学，一般由大学规范委员会、IT安全委员会、信息安全委员会等负责信息安全政策的制订、实施与评价。有的大学还建有数据治理指导委员会、信息安全咨询委员会等机构，其主要是指导、监督信息安全政策的制订、实施，确保其有效、合规、合法。

（2）美国大学的信息安全政策是美国政府政策、法规、标准等在大学的实践应用。如俄亥俄州立大学制订了大学的机构数据分类标准，其依据的是《美国联邦信息处理标准》（Federal Information Processing Standards，FIPS 199）、《联邦信息和信息系统的安全分类标准》（Standards for Security Categorization of Federal Information and Information Systems）、美国国家标准与技术研究院（Standards for Security Categorization of Federal Information and Information Systems）发布的SP 80-53第4次修订版《联邦组织和信息系统的安全与隐私控制》（Security and Privacy Controls for Federal Information Systems and Organizations）等；波士顿大学的《基于HIPAA的安全政策》是美国《医治保险携带和责任法》（Health Insurance Portability and Accountability Act，HIPAA）在大学的具体应用。诸如此类，美国大学的信息安全政策或多或少体现了以下的美国法规、政策：《信息自由法》（Freedom of Information Act，简称FOIA）、《联邦信息资源的管理》（The Management of Federal Information Resources）、《数字千年版权法》（The Digital Millennium Copyright Act of 1998，DMCA）、《惩治计算机与滥用法》（Computer Fraud Abuse Act of 1984，CFAA）、《联邦信息安全管理法案》（Federal Information Security Management Act of 2002，FISMA）、《隐私保护法》（The Right to Privacy Protection Act of 1980）、《电子通讯隐私法》（The Electronic Communicatio Privacy Act）、《网络安全法案》（Cybersecurity Act）、《关键基础设施信息保护法》（Critical Infrastructure Information Act）、《医治保险携带和责任法》（Health Insurance Portability and Accountability Act，HIPAA）、《家庭教育权利和隐私权法》（Family Educational Rights and Privacy Act of 1974，FERPA）、PCI数据安全标准（Payment Card Industry Data Security Standard）、《萨班斯法案》（SOX）等。

（3）美国大学的信息安全政策基本是都是体系化、系统化的，具体表现在以下几个方面：①覆盖了大学使用信息技术、需要信息保护的各个领域范围，包括机构数据、研究数据、健康数据、支付卡数据、个人隐私、信息技术设施使用等各个方面；②适用群体基本全覆盖，一般在政策的开始都会阐明政策适用的群体，对于例外的一些群体会有解释，或有其他政策适用于这些例外的群体；③会根据联邦政府、州政府等政策的修订，信息技术的发展等情况，定期对政策进行修订或者制订适应的新的政策，一般在政策上都会标明制订政策的最初时间、上次修订的时间、最新修订的时间等。④政策在美国大学中是一个泛指的概念，它既包括那些用来指导和沟通思想与行动方针的政策，也包括那些为规范、精确定位某些活动及其结果而采用的标准，还包括具体情况中允许或许允许采用某些行为的规定以及那些有指导意义的指南等，基本上形成了集政策、标准、规范、程序、指南于一体的政策体系。

（4）信息安全政策内容框架清晰、规范，基本上都明确了阐述了政策的制订背景、目的、适用范围、适用群体、术语解释、内容、版本等。有的政策还阐述了政策的权威性，政策中不同群体的职责，政策执行的程序等。笔者以上述8所大学为例，各选取了一项政策，以展示政策内容框架的规范性，详见表。

表美国8所大学信息安全政策的内容框架

大学政策名称政策内容框架俄亥俄州立大学Institutional Data适用对象、政策发布及修改时间、政策目的、术语定义、政策内容、程序、职责、参考资源、联系方式、修订记录普林斯顿大学Information Security Policy政策声明，适用对象，术语定义，政策内容，职责，相关的大学政策、程序、标准和模型，政策审查，政策发布及修改时间，联系方式斯坦福大学Information Security Incident Response上次修改时间、政策编号、权威性、适用范围、政策目的、定义、响应、调查、信息安全事件响应小组、准备报告、相关文献、联系方式卡耐基-梅隆大学Information Security Policy政策目的、适用范围、修订、例外、定义、政策内容、相关信息、政策发布及修改时间、联系方式耶鲁大学Information Technology Appropriate Use Policy政策发布及修改时间、政策内容目录、适用范围、政策声明、政策目的、定义、政策内容华盛顿大学Information Security Controls and Operational Practices政策目的、适用范围、安全计划、执行控制、技术安全及访问控制、监控、物理控制、资产控制、账户、身份管理、政策修订、附件波士顿大学Information Security Policy生效日期、政策声明、政策目的、适用范围、定义、职责、程序、相关文献、联系方式亚利桑那大学Information Security Policy政策信息（包括有效日期、政策编号、负责单位、联系方式）、政策目的、适用范围、定义、政策内容、规范性和职责、相关信息

3几点启示

在研究中，我们发现美国大学信息安全政策的制订有以下几方面经验值得借鉴：

信息安全政策制订科学化、系统化

美国大学的信息安全政策制订既有具体的管理部门和管理人员负责，从科学研究、符合客观需要的角度具体进行政策的设计、制订、实施与评估；又有咨询委员会、政策委员会等组织进行政策的审议、监督，从整体性、全局性和科学性等的角度进行“顶层协调”；使信息政策从行政管理的角度防止了“片面化”和“碎片化”的倾向。同时，政策的制订还考虑了适用人群、适用时间、负责机构、负责人员等诸多影响因素，并有相对完善的约束机制，从整体上保证了政策的科学性、系统性和有效性。

风险控制是美国大学信息政策制订的基本思想

为了控制风险，美国大学通用的做法是以风险的高低程度将信息、数据进行分类，以分别确定哪些风险分类适用于哪些信息、数据类型。当一项信息、数据混合了多种数据信息、适用于多个风险类别时，将使用最高的风险分类。针对不同的风险级别，大学制订了不同级别的信息安全管理规范和安全预防措施，以在保证信息、数据的安全、提升管理效率的同时，最大限度地共享信息资产。斯坦福大学还发布了《最低安全标准》，是斯坦福大学对敏感信息的最低安全标准。以个人笔记本终端的系统配置管理为例，其认为最低的安全标准是要安装GigFix和SWDE，如果不安装，认为存在高信息安全风险。

33数据分级管控是美国大学信息安全管理的通行做法，以在保护大学机构数据的同时，保持数据开放，实现信息共享一般的，美国大学会依据数据的受法律保护性、敏感程度、价值、重要性、对大学的潜在影响、知识产权和道德考虑等将大学数据分成公共数据、内部数据、私人数据、机密数据等几类，以确定不同数据安全保护的底线，施行不同的管理、访问、服务、存储政策。数据分级管控是有周期性的，是基于数据的生命周期的，超出生命周期的数据要重新进行评估、分类，并调整安全控制的策略。

隐私保护的政策比较完善

美国大学非常注重隐私政策的制订，几乎所有的大学都制订有隐私政策。有的大学，如华盛顿大学还设有隐私主管的岗位，具体负责适合大学的隐私政策、标准、指南等的制订和推进。美国的隐私政策一般都依据最小特权原则，在保证大学相关人员履行工作职责的前提下，最大限度地进行隐私保护。

35重视信息安全政策的普及与培训

美国非常重视信息安全的教育与意识培训，并具体体现在美国大学中。为使大学的教职员工、学生、相关人员等了解信息安全动态，掌握保障信息安全的方法，熟知大学相关的信息安全政策，提高信息安全意识，很多美国大学都推出了系列的信息安全培训活动，是信息安全政策培训的践行者。有的大学的培训并不限于信息安全政策的培训，还包括信息技术服务、信息工具应用、信息安全评估等。以卡耐基-梅隆大学为例，其信息安全培训不仅包括文件共享和数字版权、网络部门的信息安全建议、网络安全承诺等政策方面的内容，还包括网络钓鱼训练、网络漏洞扫描、信息安全工具辅导应用等能力方面的培训，还包括权威认证、安全评估等信息安全服务方面的内容。

4结语

正如普林斯顿大学在制订信息安全政策声明中所说的，信息安全政策提供了一个安全框架，确保了大学信息的安全，防止未经授权的访问、丢失或损坏；同时也是为了支持大学学术文化的开放、共享。总之，信息安全管理是一个大学的责任，而且不是仅靠IT技术就能解决的，信息安全政策是其中重要的一环。

参考文献

百度百科.大学[EB/OL].http：∥baike.baidu.com/link？url=JdaQSg2xLn1rzVJFr9MpzOYBBGeSo2LUxhCYNu1LCd9erXGBIXfhO0 trX4ZPHqcypYIQ191Cmg5XJP5I2SWaXHnKf7tGmMVzu5fjhhu，2015-12-08.

[2]IT security framework[EB/OL].http：∥ocio.osu.edu/itsecurity/framework，2015-12-08.

[3]IT security framework[EB/OL].http：∥ocio.osu.edu/itsecurity/framework，2015-12-08.

[4]林新.美国高校图书馆信息安全管理分析与启示[J].图书馆建设，2014，（3）：80-82.

[5]Great faith in the instructional benefits of digital technologies；great expectations for the rising use of OER[EB/OL].http：∥www.campuscomputing.net/item/2015-campus-computing-survey-0，2015-12-08.

[6]Information technology（IT）security university policy[EB/OL].http：∥ocio.osu.edu/sites/default/files/assets/Policies/ITSecurity.pdf，2015-12-08.

Information security policy[EB/OL].http：∥www.princeton.edu/oit/it-policies/it-security-policy/Documents/InformationSecurityPolicy.pdf，2015-12-08.

[8]Information security[EB/OL].http：∥itservices.stanford.edu/security，2015-12-08.

[9]Policies & practices[EB/OL].http：∥www.cmu.edu/iso/governance/index.html，2015-12-08.

[0]Secure computing[EB/OL].http：∥its.yale.edu/secure-computing/security-standards-and-guidance，2015-12-08.

]Policies，standards，and guidelines[EB/OL].http：∥passcouncil.washington.edu/psg/，2015-12-08.

[2]Information security policy and guides[EB/OL].http：∥www.bu.edu/tech/about/policies/info-security/，2015-12-08.