信息安全管理体系的建设是策略、技术与管理的综合运用

来源：华北水利水电大学 作者：孟先新 华北水利水电大学信息化办公室网络信息部主任 发表于：2020.09.30  678浏览

文/孟先新 华北水利水电大学信息化办公室网络信息部主任

  信息安全管理体系ISMS（Information Securitry Management Systems）是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系。对于高校来说如何建立起适合于自己并且能真正落实的信息安全管理体系至关重要。而信息安全管理体系的建设不是纯粹的技术问题，也不是产品与技术的堆砌，它是策略、技术与管理的综合运用。设想尝试通过以下三个方面来建立和落实信息安全管理体系。
        1.可以参照信息安全体系标准ISO 27001:2013来进行建设。具体可以引进专门从事ISO27001认证的机构，以ISO27001标准指导学校建立信息安全管理体系，并且制定和完善本校相关信息安全具体规范、标准和制度，达到建章立制，做到有据可依。
        2.多数高校的信息化管理部门人员偏少，特别是网络安全专业人才更少。在这种情况下，作为过渡，可以将技术性和部分管理性的工作外包给专业的网络与信息安全技术服务公司，通过驻厂和远程支持，进行7*24小时的信息安全运营。技术服务重点关注安全培训、访问控制、日常检查、定时评估等。当然，从长远来看，高校必须要建立起一支自己的既懂技术又懂管理的专职队伍来从事信息安全管理工作。
        3.国外一些著名高校建立了专门、独立的信息安全管理部门，直接向学校最高管理层负责。基于目前我国多数高校的组织架构，这种模式可能不太现实，但至少在学校信息化部门下设置相对独立的信息安全管理科室，并配备专门管理人员还是行得通的。建议用相对稳定的内聘人员进行持续的信息安全管理，同时在校内各部门设立二级CIO、信息化专员岗位，强化信息化队伍建设。信息安全管理部门要重点关注信息安全体系运作情况和信息安全运营情况，并进行持续的优化和改进。