周秀霞?承砹?

〔摘要〕[目的/意義]通過(guò)對(duì)美國(guó)8所大學(xué)的信息安全政策體系進(jìn)行研究，為國(guó)內(nèi)大學(xué)加強(qiáng)信息安全政策體系建設(shè)提供有益的參考。[方法/過(guò)程]采用網(wǎng)站調(diào)查法和案例分析法研究了美國(guó)大學(xué)的信息安全政策構(gòu)建的模式和特點(diǎn)。[結(jié)果/結(jié)論]基于對(duì)美國(guó)大學(xué)信息安全政策體系構(gòu)建特點(diǎn)的分析，提出了5項(xiàng)啟示性建議。

〔關(guān)鍵詞〕美國(guó)大學(xué)；信息安全；風(fēng)險(xiǎn)控制；政策體系

DOI：10.3969/j.issn.1008-081.016.10.017

〔中圖分類號(hào)〕G03〔文獻(xiàn)標(biāo)識(shí)碼〕A〔文章編號(hào)〕1008-081（016）10-010-05

〔Abstract〕[Purpose/Significance]The article analyzed the information security policy system based on risk control of 8 universities in the United States，in order to provide useful references for strengthening the information security policy system in our country.[Method/Process]This paper adopted web survey and case analysis methods to study the model and characteristics of the information security policy system.[Result/Conclusion]Based on analyses of the characteristics of the information security policy system in American Universities，this paper put forward five suggestions.

〔Key words〕american university；information security；risk control；policy system

隨著信息時(shí)代的到來(lái)，信息以前所未有的速度增長(zhǎng)著，在帶來(lái)巨大效益的同時(shí)，也對(duì)安全進(jìn)行了重新定義，信息安全成為人們持續(xù)關(guān)注的問(wèn)題。尤其是機(jī)構(gòu)部門，更注重信息安全政策的制訂與發(fā)展，以控制信息安全風(fēng)險(xiǎn)，保護(hù)其組織內(nèi)信息資產(chǎn)的保密性、完整性和可用性，避免因政策缺失而導(dǎo)致的信息損失。作為致力于高等教學(xué)與研究的大學(xué)，其內(nèi)部聚集了大量的信息資產(chǎn)、知識(shí)資產(chǎn)和智力資產(chǎn)，信息安全保護(hù)更是不可或缺。

當(dāng)前，越來(lái)越多大學(xué)的正常運(yùn)轉(zhuǎn)取決于其信息技術(shù)基礎(chǔ)設(shè)施的可靠性，從大學(xué)的教學(xué)實(shí)施、學(xué)術(shù)使命到大學(xué)行政管理的網(wǎng)絡(luò)化等，信息技術(shù)基礎(chǔ)設(shè)施已成為大學(xué)日常運(yùn)作的關(guān)鍵。而首要的就是如何通過(guò)制訂不同的信息安全政策來(lái)保障大學(xué)的信息安全，引導(dǎo)校內(nèi)所有教職工、學(xué)生以及校外人員了解并遵循這些政策，以提升大學(xué)資源的規(guī)范應(yīng)用，維護(hù)大學(xué)利益，維護(hù)個(gè)人信息安全。

在這方面，美國(guó)的大學(xué)卓有成效，基本上美國(guó)的大學(xué)都建立起了一套相對(duì)完善的信息安全政策體系，并設(shè)有專門的管理機(jī)構(gòu)，以進(jìn)行風(fēng)險(xiǎn)控制，降低信息安全風(fēng)險(xiǎn)，應(yīng)對(duì)各類信息安全問(wèn)題。本文采用網(wǎng)絡(luò)調(diào)研的方法，選取了美國(guó)8所大學(xué)，包括俄亥俄州立大學(xué)、普林斯頓大學(xué)、斯坦福大學(xué)、卡耐基-梅隆大學(xué)、耶魯大學(xué)、華盛頓大學(xué)、波士頓大學(xué)、亞利桑那大學(xué)作為分析對(duì)象，對(duì)其信息安全的政策體系進(jìn)行深入地分析，以反映美國(guó)大學(xué)信息安全政策體系的建設(shè)情況，為國(guó)內(nèi)大學(xué)加強(qiáng)信息安全政策體系建設(shè)提供有益的參考。

1美國(guó)大學(xué)信息安全政策的構(gòu)建模式

英國(guó)教育家紐曼說(shuō)過(guò)，大學(xué)的職責(zé)是提供智能、理性和思考的練習(xí)環(huán)境，讓年輕人憑借自身所具有的敏銳、坦蕩、同情力、觀察力在共同的學(xué)習(xí)、生活、自由交談和辯論中，得到受益一生的思維訓(xùn)練。

大學(xué)信息安全政策屬于大學(xué)行政管理的范疇，從側(cè)面也呈現(xiàn)了大學(xué)的這些職能特征，其制定基本上秉持了以下目標(biāo)：（1）大學(xué)信息資源，尤其是科研數(shù)據(jù)、機(jī)構(gòu)數(shù)據(jù)等的安全保障，以實(shí)現(xiàn)大學(xué)的學(xué)術(shù)文化傳承；（2）維護(hù)個(gè)人信息、數(shù)據(jù)安全；（3）基于知識(shí)產(chǎn)權(quán)與信息道德倫理等的考量，保證信息資源的分級(jí)、分類、合規(guī)利用；（4）維護(hù)大學(xué)的信息戰(zhàn)略或?qū)＠⑵放苾r(jià)值；（5）信息風(fēng)險(xiǎn)控制，減少損失，提高效益；（6）維護(hù)大學(xué)信息基礎(chǔ)設(shè)施的安全；（7）校內(nèi)教職工、學(xué)生的信息行為規(guī)范等。

016年10月第36卷第10期現(xiàn)？代？情？報(bào)Journal of Modern InformationOct，016Vol36No10016年10月第36卷第10期基于風(fēng)險(xiǎn)控制的大學(xué)信息安全政策體系構(gòu)建Oct，016Vol36No10基于這些目標(biāo)制定的信息安全政策存在著內(nèi)在邏輯性，自然成體系。如俄亥俄州立大學(xué)的信息安全與風(fēng)險(xiǎn)管理政策框架（如圖1所示），其將信息安全政策體系以金字塔的形式呈現(xiàn)出來(lái)。其中，IT安全政策是高層次的信息安全要求，其具體體現(xiàn)了大學(xué)關(guān)于信息安全的整體設(shè)想，以及具體的支撐和推進(jìn)方法。其下依次是信息安全標(biāo)準(zhǔn)、信息安全控制要求，信息安全控制要求的每個(gè)安全控制依據(jù)信息安全標(biāo)準(zhǔn)具體進(jìn)行實(shí)施。金字塔最底層為以文件程序、列表、軟件工具形式展示的工作指南，以推進(jìn)政策的有效控制實(shí)施。金字塔兩側(cè)為機(jī)構(gòu)數(shù)據(jù)政策和信息風(fēng)險(xiǎn)管理框架兩項(xiàng)重點(diǎn)政策，機(jī)構(gòu)數(shù)據(jù)政策通過(guò)對(duì)數(shù)據(jù)進(jìn)行分類進(jìn)行訪問(wèn)控制。信息風(fēng)險(xiǎn)管理框架是與信息安全標(biāo)準(zhǔn)、信息安全控制要求成體系的，對(duì)大學(xué)信息安全更高層次的要求，其實(shí)施具體包括3個(gè)步驟：（1）評(píng)估信息的風(fēng)險(xiǎn)；（2）實(shí)施信息安全計(jì)劃；（3）驗(yàn)證是否符合信息安全的程序和法律法規(guī)[2]。

在信息安全標(biāo)準(zhǔn)的設(shè)計(jì)制訂中，俄亥俄州立大學(xué)遵循了3個(gè)原則：（1）簡(jiǎn)化設(shè)計(jì)，將又長(zhǎng)又復(fù)雜的NIST SP 800-53標(biāo)準(zhǔn)進(jìn)行簡(jiǎn)化，僅定義了30個(gè)風(fēng)險(xiǎn)領(lǐng)域，7個(gè)業(yè)務(wù)功能，包括管理風(fēng)險(xiǎn)、法律風(fēng)險(xiǎn)、業(yè)務(wù)（金融）風(fēng)險(xiǎn)、采購(gòu)風(fēng)險(xiǎn)、人力資源風(fēng)險(xiǎn)、設(shè)施風(fēng)險(xiǎn)、信息技術(shù)風(fēng)險(xiǎn)，未來(lái)還將加入機(jī)構(gòu)數(shù)據(jù)風(fēng)險(xiǎn)；（2）編寫(xiě)人員包括業(yè)務(wù)領(lǐng)導(dǎo)、管理人員和IT專業(yè)人員等，打破了以往信息安全標(biāo)準(zhǔn)編寫(xiě)人員一般都是IT專業(yè)人員或風(fēng)險(xiǎn)管理人員的常規(guī)；（3）對(duì)風(fēng)險(xiǎn)等級(jí)進(jìn)行定義：P1（關(guān)鍵優(yōu)先）、P2（高優(yōu)先）、P3（中等優(yōu)先）[3]。

圖1俄亥俄州立大學(xué)信息安全與風(fēng)險(xiǎn)管理政策框架

為保證大學(xué)信息、數(shù)據(jù)的可用性、完整性和機(jī)密性，美國(guó)大學(xué)一般都會(huì)進(jìn)行信息風(fēng)險(xiǎn)管理，用于識(shí)別、評(píng)估信息風(fēng)險(xiǎn)，將其降低到最低或可以接受的水平，并通過(guò)政策、機(jī)制等來(lái)持續(xù)維持這種水平。其風(fēng)險(xiǎn)控制基本上依據(jù)《ISO 27002：信息技術(shù)-安全技術(shù)-信息安全控制使用規(guī)則》（Security Techniques-code of Practice for Information Security Management）、《IT基礎(chǔ)架構(gòu)庫(kù)》（ITIL）、《健康信息信任聯(lián)盟公共安全框架》（HITRUST Common Security Framework）、《推薦的聯(lián)邦政府信息和組織的安全控制措施》（NIST SP 800-53，Recommended Security Controls for Federal Information Systems and Organizations）等標(biāo)準(zhǔn)進(jìn)行規(guī)范運(yùn)作，一般都包括風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)管理、風(fēng)險(xiǎn)監(jiān)控、風(fēng)險(xiǎn)治理等環(huán)節(jié)。可以說(shuō)，風(fēng)險(xiǎn)控制是美國(guó)大學(xué)信息安全政策制訂的重要內(nèi)容，也是大學(xué)實(shí)施信息安全管理的目標(biāo)之一。

美國(guó)大學(xué)信息安全政策建設(shè)情況

美國(guó)非常重視大學(xué)的信息化建設(shè)，早在1990年，美國(guó)麻省理工學(xué)院教授Kenneth C Green就提出了“校園信息化”的概念，并啟動(dòng)了高校信息化科研課題：Campus Computing Project（簡(jiǎn)稱CCP）[4]。通過(guò)對(duì)美國(guó)大學(xué)一年一度的調(diào)查研究，著重研究信息技術(shù)在大學(xué)教育中的作用。據(jù)CCP 2015年的調(diào)查報(bào)告顯示，有76%的被調(diào)查大學(xué)認(rèn)為網(wǎng)絡(luò)與數(shù)據(jù)安全在校園IT的建設(shè)中非常重要，僅次于“協(xié)助教師整合信息技術(shù)”、“招聘和留住合格的IT員工”、“提供足夠的用戶支持”，位于第4位[5]。因此，美國(guó)的大學(xué)不僅重視IT安全技術(shù)的應(yīng)用研究，也比較重視信息安全政策的制訂、實(shí)施，一般的大學(xué)都制訂有比較系統(tǒng)、完善的信息安全政策。從公立、私立、大學(xué)的規(guī)模、知名度等角度，筆者選取了以下8所美國(guó)大學(xué)，就其信息安全政策的情況進(jìn)行了調(diào)研，以反映美國(guó)大學(xué)信息安全政策的建設(shè)情況，具體情況見(jiàn)表1。

表1美國(guó)8所大學(xué)信息安全政策的建設(shè)情況

大學(xué)主管機(jī)構(gòu)主管官員政策標(biāo)準(zhǔn)指南俄亥俄州立大學(xué)[6]信息安全工作組，信息安全聯(lián)系小組，信息安全咨詢委員會(huì)CIO基于俄亥俄州的信息風(fēng)險(xiǎn)管理程序、信息技術(shù)安全政策、數(shù)據(jù)政策、校園內(nèi)計(jì)算機(jī)和網(wǎng)絡(luò)資源的合理應(yīng)用等信息安全標(biāo)準(zhǔn)、信息安全控制要求、信息風(fēng)險(xiǎn)管理框架等普林斯頓大學(xué)信息技術(shù)辦公室、信息安全辦公室、數(shù)據(jù)治理指導(dǎo)委員會(huì)〖〗信息技術(shù)與首席信息官信息安全政策、信息技術(shù)與數(shù)字資源適用許可、大學(xué)敏感數(shù)據(jù)防泄漏規(guī)程等普林斯頓大學(xué)信息保護(hù)的標(biāo)準(zhǔn)和規(guī)程、信息保密協(xié)議模型等研究數(shù)據(jù)安全指南等斯坦福大學(xué)[8]信息安全辦公室、隱私辦公室首席信息安全官〖〗信息安全的行政管理、加密、風(fēng)險(xiǎn)分類、第三方認(rèn)證、數(shù)據(jù)處理、PCI/HIPAA/FERPA的規(guī)定等最低安全標(biāo)準(zhǔn)、PCI DSS認(rèn)證、ISO 27002認(rèn)證、OWASP應(yīng)用安全檢驗(yàn)標(biāo)準(zhǔn)認(rèn)證、SAS 70 Ⅱ認(rèn)證或SSAE-16認(rèn)證等信息安全入門指南、系統(tǒng)管理員指南、信息安全意識(shí)視頻、其他安全資源等卡耐基-梅隆大學(xué)[9]信息安全辦公室、咨詢委員會(huì)信息安全總監(jiān)信息安全政策、信息安全的角色和責(zé)任、信息安全程序、大學(xué)政策、規(guī)范性管理的相關(guān)政策等信息安全指南、數(shù)據(jù)分類指南、數(shù)據(jù)保護(hù)指南、數(shù)據(jù)管理指南、數(shù)據(jù)保存指南等耶魯大學(xué)[0]信息安全政策委員會(huì)、信息技術(shù)服務(wù)辦公室首席信息安全官信息安全政策與法規(guī)、電子郵件政策、主流信息安全政策、網(wǎng)絡(luò)ID認(rèn)證管理政策、IT異地支持政策、安全性和保密性的需求、網(wǎng)絡(luò)政策、隱私政策、身份和訪問(wèn)管理等〖〗內(nèi)部主應(yīng)用系統(tǒng)的安全標(biāo)準(zhǔn)等數(shù)據(jù)和應(yīng)用安全、設(shè)備安全等華盛頓大學(xué)]首席信息官辦公室、隱私保障和系統(tǒng)安全委員會(huì)首席信息官、隱私主管隱私政策、信息安全和隱私的角色、責(zé)任和定義，信息安全和隱私事件管理政策等Husky ID卡及數(shù)據(jù)準(zhǔn)用性標(biāo)準(zhǔn)、社會(huì)安全號(hào)碼標(biāo)準(zhǔn)等信息安全指南、社會(huì)安全號(hào)碼的合理使用指南、信息安全控制和操作實(shí)踐等波士頓大學(xué)[2]信息服務(wù)與技術(shù)部信息安全政策、計(jì)算機(jī)使用道德規(guī)范、賬戶保護(hù)政策、個(gè)人信息保護(hù)策略、數(shù)據(jù)中心安全訪問(wèn)政策、數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)、基于HIPAA的安全政策、群發(fā)電子郵件政策、谷歌APPS的規(guī)范使用及數(shù)據(jù)安全政策等〖〗信息安全管理指南、社交媒體指南等亞利桑那大學(xué)[3]大學(xué)規(guī)范委員會(huì)、IT安全委員會(huì)、信息安全委員會(huì)首席信息官、大學(xué)信息主管信息安全政策（IS-100）、計(jì)算機(jī)和網(wǎng)絡(luò)訪問(wèn)協(xié)議（IS-700）、計(jì)算機(jī)的使用許可政策（IS-701）、電子隱私政策（IS-1000）等數(shù)據(jù)分類和處理標(biāo)準(zhǔn)（IS-2321）、亞利桑那大學(xué)安全框架等學(xué)生信息隱私指南、FERPA規(guī)范手冊(cè)等

對(duì)以上8所美國(guó)大學(xué)信息安全政策制訂情況進(jìn)行分析，可以發(fā)現(xiàn)其基本具有以下特點(diǎn)：

（1）受體制、文化、管理制度等的影響，美國(guó)大學(xué)基本上都很重視信息安全政策的制訂和落實(shí)，一般都設(shè)有實(shí)體的信息安全管理部門，譬如波士頓大學(xué)的信息服務(wù)與技術(shù)部、卡耐基-梅隆大學(xué)的信息安全辦公室等；并設(shè)有專門的人員負(fù)責(zé)信息安全政策的制訂、協(xié)調(diào)各項(xiàng)信息安全工作、制定技術(shù)解決方案等，其直接向校董事會(huì)匯報(bào)，如耶魯大學(xué)的首席信息安全官、普林斯頓大學(xué)的信息技術(shù)與首席信息官等。沒(méi)有實(shí)體信息安全管理機(jī)構(gòu)的大學(xué)，一般由大學(xué)規(guī)范委員會(huì)、IT安全委員會(huì)、信息安全委員會(huì)等負(fù)責(zé)信息安全政策的制訂、實(shí)施與評(píng)價(jià)。有的大學(xué)還建有數(shù)據(jù)治理指導(dǎo)委員會(huì)、信息安全咨詢委員會(huì)等機(jī)構(gòu)，其主要是指導(dǎo)、監(jiān)督信息安全政策的制訂、實(shí)施，確保其有效、合規(guī)、合法。

（2）美國(guó)大學(xué)的信息安全政策是美國(guó)政府政策、法規(guī)、標(biāo)準(zhǔn)等在大學(xué)的實(shí)踐應(yīng)用。如俄亥俄州立大學(xué)制訂了大學(xué)的機(jī)構(gòu)數(shù)據(jù)分類標(biāo)準(zhǔn)，其依據(jù)的是《美國(guó)聯(lián)邦信息處理標(biāo)準(zhǔn)》（Federal Information Processing Standards，F(xiàn)IPS 199）、《聯(lián)邦信息和信息系統(tǒng)的安全分類標(biāo)準(zhǔn)》（Standards for Security Categorization of Federal Information and Information Systems）、美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（Standards for Security Categorization of Federal Information and Information Systems）發(fā)布的SP 80-53第4次修訂版《聯(lián)邦組織和信息系統(tǒng)的安全與隱私控制》（Security and Privacy Controls for Federal Information Systems and Organizations）等；波士頓大學(xué)的《基于HIPAA的安全政策》是美國(guó)《醫(yī)治保險(xiǎn)攜帶和責(zé)任法》（Health Insurance Portability and Accountability Act，HIPAA）在大學(xué)的具體應(yīng)用。諸如此類，美國(guó)大學(xué)的信息安全政策或多或少體現(xiàn)了以下的美國(guó)法規(guī)、政策：《信息自由法》（Freedom of Information Act，簡(jiǎn)稱FOIA）、《聯(lián)邦信息資源的管理》（The Management of Federal Information Resources）、《數(shù)字千年版權(quán)法》（The Digital Millennium Copyright Act of 1998，DMCA）、《懲治計(jì)算機(jī)與濫用法》（Computer Fraud Abuse Act of 1984，CFAA）、《聯(lián)邦信息安全管理法案》（Federal Information Security Management Act of 2002，F(xiàn)ISMA）、《隱私保護(hù)法》（The Right to Privacy Protection Act of 1980）、《電子通訊隱私法》（The Electronic Communicatio Privacy Act）、《網(wǎng)絡(luò)安全法案》（Cybersecurity Act）、《關(guān)鍵基礎(chǔ)設(shè)施信息保護(hù)法》（Critical Infrastructure Information Act）、《醫(yī)治保險(xiǎn)攜帶和責(zé)任法》（Health Insurance Portability and Accountability Act，HIPAA）、《家庭教育權(quán)利和隱私權(quán)法》（Family Educational Rights and Privacy Act of 1974，F(xiàn)ERPA）、PCI數(shù)據(jù)安全標(biāo)準(zhǔn)（Payment Card Industry Data Security Standard）、《薩班斯法案》（SOX）等。

（3）美國(guó)大學(xué)的信息安全政策基本是都是體系化、系統(tǒng)化的，具體表現(xiàn)在以下幾個(gè)方面：①覆蓋了大學(xué)使用信息技術(shù)、需要信息保護(hù)的各個(gè)領(lǐng)域范圍，包括機(jī)構(gòu)數(shù)據(jù)、研究數(shù)據(jù)、健康數(shù)據(jù)、支付卡數(shù)據(jù)、個(gè)人隱私、信息技術(shù)設(shè)施使用等各個(gè)方面；②適用群體基本全覆蓋，一般在政策的開(kāi)始都會(huì)闡明政策適用的群體，對(duì)于例外的一些群體會(huì)有解釋，或有其他政策適用于這些例外的群體；③會(huì)根據(jù)聯(lián)邦政府、州政府等政策的修訂，信息技術(shù)的發(fā)展等情況，定期對(duì)政策進(jìn)行修訂或者制訂適應(yīng)的新的政策，一般在政策上都會(huì)標(biāo)明制訂政策的最初時(shí)間、上次修訂的時(shí)間、最新修訂的時(shí)間等。④政策在美國(guó)大學(xué)中是一個(gè)泛指的概念，它既包括那些用來(lái)指導(dǎo)和溝通思想與行動(dòng)方針的政策，也包括那些為規(guī)范、精確定位某些活動(dòng)及其結(jié)果而采用的標(biāo)準(zhǔn)，還包括具體情況中允許或許允許采用某些行為的規(guī)定以及那些有指導(dǎo)意義的指南等，基本上形成了集政策、標(biāo)準(zhǔn)、規(guī)范、程序、指南于一體的政策體系。

（4）信息安全政策內(nèi)容框架清晰、規(guī)范，基本上都明確了闡述了政策的制訂背景、目的、適用范圍、適用群體、術(shù)語(yǔ)解釋、內(nèi)容、版本等。有的政策還闡述了政策的權(quán)威性，政策中不同群體的職責(zé)，政策執(zhí)行的程序等。筆者以上述8所大學(xué)為例，各選取了一項(xiàng)政策，以展示政策內(nèi)容框架的規(guī)范性，詳見(jiàn)表。

表美國(guó)8所大學(xué)信息安全政策的內(nèi)容框架

大學(xué)政策名稱政策內(nèi)容框架俄亥俄州立大學(xué)Institutional Data適用對(duì)象、政策發(fā)布及修改時(shí)間、政策目的、術(shù)語(yǔ)定義、政策內(nèi)容、程序、職責(zé)、參考資源、聯(lián)系方式、修訂記錄普林斯頓大學(xué)Information Security Policy政策聲明，適用對(duì)象，術(shù)語(yǔ)定義，政策內(nèi)容，職責(zé)，相關(guān)的大學(xué)政策、程序、標(biāo)準(zhǔn)和模型，政策審查，政策發(fā)布及修改時(shí)間，聯(lián)系方式斯坦福大學(xué)Information Security Incident Response上次修改時(shí)間、政策編號(hào)、權(quán)威性、適用范圍、政策目的、定義、響應(yīng)、調(diào)查、信息安全事件響應(yīng)小組、準(zhǔn)備報(bào)告、相關(guān)文獻(xiàn)、聯(lián)系方式卡耐基-梅隆大學(xué)Information Security Policy政策目的、適用范圍、修訂、例外、定義、政策內(nèi)容、相關(guān)信息、政策發(fā)布及修改時(shí)間、聯(lián)系方式耶魯大學(xué)Information Technology Appropriate Use Policy政策發(fā)布及修改時(shí)間、政策內(nèi)容目錄、適用范圍、政策聲明、政策目的、定義、政策內(nèi)容華盛頓大學(xué)Information Security Controls and Operational Practices政策目的、適用范圍、安全計(jì)劃、執(zhí)行控制、技術(shù)安全及訪問(wèn)控制、監(jiān)控、物理控制、資產(chǎn)控制、賬戶、身份管理、政策修訂、附件波士頓大學(xué)Information Security Policy生效日期、政策聲明、政策目的、適用范圍、定義、職責(zé)、程序、相關(guān)文獻(xiàn)、聯(lián)系方式亞利桑那大學(xué)Information Security Policy政策信息（包括有效日期、政策編號(hào)、負(fù)責(zé)單位、聯(lián)系方式）、政策目的、適用范圍、定義、政策內(nèi)容、規(guī)范性和職責(zé)、相關(guān)信息

3幾點(diǎn)啟示

在研究中，我們發(fā)現(xiàn)美國(guó)大學(xué)信息安全政策的制訂有以下幾方面經(jīng)驗(yàn)值得借鑒：

信息安全政策制訂科學(xué)化、系統(tǒng)化

美國(guó)大學(xué)的信息安全政策制訂既有具體的管理部門和管理人員負(fù)責(zé)，從科學(xué)研究、符合客觀需要的角度具體進(jìn)行政策的設(shè)計(jì)、制訂、實(shí)施與評(píng)估；又有咨詢委員會(huì)、政策委員會(huì)等組織進(jìn)行政策的審議、監(jiān)督，從整體性、全局性和科學(xué)性等的角度進(jìn)行“頂層協(xié)調(diào)”；使信息政策從行政管理的角度防止了“片面化”和“碎片化”的傾向。同時(shí)，政策的制訂還考慮了適用人群、適用時(shí)間、負(fù)責(zé)機(jī)構(gòu)、負(fù)責(zé)人員等諸多影響因素，并有相對(duì)完善的約束機(jī)制，從整體上保證了政策的科學(xué)性、系統(tǒng)性和有效性。

風(fēng)險(xiǎn)控制是美國(guó)大學(xué)信息政策制訂的基本思想

為了控制風(fēng)險(xiǎn)，美國(guó)大學(xué)通用的做法是以風(fēng)險(xiǎn)的高低程度將信息、數(shù)據(jù)進(jìn)行分類，以分別確定哪些風(fēng)險(xiǎn)分類適用于哪些信息、數(shù)據(jù)類型。當(dāng)一項(xiàng)信息、數(shù)據(jù)混合了多種數(shù)據(jù)信息、適用于多個(gè)風(fēng)險(xiǎn)類別時(shí)，將使用最高的風(fēng)險(xiǎn)分類。針對(duì)不同的風(fēng)險(xiǎn)級(jí)別，大學(xué)制訂了不同級(jí)別的信息安全管理規(guī)范和安全預(yù)防措施，以在保證信息、數(shù)據(jù)的安全、提升管理效率的同時(shí)，最大限度地共享信息資產(chǎn)。斯坦福大學(xué)還發(fā)布了《最低安全標(biāo)準(zhǔn)》，是斯坦福大學(xué)對(duì)敏感信息的最低安全標(biāo)準(zhǔn)。以個(gè)人筆記本終端的系統(tǒng)配置管理為例，其認(rèn)為最低的安全標(biāo)準(zhǔn)是要安裝GigFix和SWDE，如果不安裝，認(rèn)為存在高信息安全風(fēng)險(xiǎn)。

33數(shù)據(jù)分級(jí)管控是美國(guó)大學(xué)信息安全管理的通行做法，以在保護(hù)大學(xué)機(jī)構(gòu)數(shù)據(jù)的同時(shí)，保持?jǐn)?shù)據(jù)開(kāi)放，實(shí)現(xiàn)信息共享一般的，美國(guó)大學(xué)會(huì)依據(jù)數(shù)據(jù)的受法律保護(hù)性、敏感程度、價(jià)值、重要性、對(duì)大學(xué)的潛在影響、知識(shí)產(chǎn)權(quán)和道德考慮等將大學(xué)數(shù)據(jù)分成公共數(shù)據(jù)、內(nèi)部數(shù)據(jù)、私人數(shù)據(jù)、機(jī)密數(shù)據(jù)等幾類，以確定不同數(shù)據(jù)安全保護(hù)的底線，施行不同的管理、訪問(wèn)、服務(wù)、存儲(chǔ)政策。數(shù)據(jù)分級(jí)管控是有周期性的，是基于數(shù)據(jù)的生命周期的，超出生命周期的數(shù)據(jù)要重新進(jìn)行評(píng)估、分類，并調(diào)整安全控制的策略。

隱私保護(hù)的政策比較完善

美國(guó)大學(xué)非常注重隱私政策的制訂，幾乎所有的大學(xué)都制訂有隱私政策。有的大學(xué)，如華盛頓大學(xué)還設(shè)有隱私主管的崗位，具體負(fù)責(zé)適合大學(xué)的隱私政策、標(biāo)準(zhǔn)、指南等的制訂和推進(jìn)。美國(guó)的隱私政策一般都依據(jù)最小特權(quán)原則，在保證大學(xué)相關(guān)人員履行工作職責(zé)的前提下，最大限度地進(jìn)行隱私保護(hù)。

35重視信息安全政策的普及與培訓(xùn)

美國(guó)非常重視信息安全的教育與意識(shí)培訓(xùn)，并具體體現(xiàn)在美國(guó)大學(xué)中。為使大學(xué)的教職員工、學(xué)生、相關(guān)人員等了解信息安全動(dòng)態(tài)，掌握保障信息安全的方法，熟知大學(xué)相關(guān)的信息安全政策，提高信息安全意識(shí)，很多美國(guó)大學(xué)都推出了系列的信息安全培訓(xùn)活動(dòng)，是信息安全政策培訓(xùn)的踐行者。有的大學(xué)的培訓(xùn)并不限于信息安全政策的培訓(xùn)，還包括信息技術(shù)服務(wù)、信息工具應(yīng)用、信息安全評(píng)估等。以卡耐基-梅隆大學(xué)為例，其信息安全培訓(xùn)不僅包括文件共享和數(shù)字版權(quán)、網(wǎng)絡(luò)部門的信息安全建議、網(wǎng)絡(luò)安全承諾等政策方面的內(nèi)容，還包括網(wǎng)絡(luò)釣魚(yú)訓(xùn)練、網(wǎng)絡(luò)漏洞掃描、信息安全工具輔導(dǎo)應(yīng)用等能力方面的培訓(xùn)，還包括權(quán)威認(rèn)證、安全評(píng)估等信息安全服務(wù)方面的內(nèi)容。

4結(jié)語(yǔ)

正如普林斯頓大學(xué)在制訂信息安全政策聲明中所說(shuō)的，信息安全政策提供了一個(gè)安全框架，確保了大學(xué)信息的安全，防止未經(jīng)授權(quán)的訪問(wèn)、丟失或損壞；同時(shí)也是為了支持大學(xué)學(xué)術(shù)文化的開(kāi)放、共享?？傊?，信息安全管理是一個(gè)大學(xué)的責(zé)任，而且不是僅靠IT技術(shù)就能解決的，信息安全政策是其中重要的一環(huán)。

參考文獻(xiàn)

百度百科.大學(xué)[EB/OL].http：∥baike.baidu.com/link？url=JdaQSg2xLn1rzVJFr9MpzOYBBGeSo2LUxhCYNu1LCd9erXGBIXfhO0 trX4ZPHqcypYIQ191Cmg5XJP5I2SWaXHnKf7tGmMVzu5fjhhu，2015-12-08.

[2]IT security framework[EB/OL].http：∥ocio.osu.edu/itsecurity/framework，2015-12-08.

[3]IT security framework[EB/OL].http：∥ocio.osu.edu/itsecurity/framework，2015-12-08.

[4]林新.美國(guó)高校圖書(shū)館信息安全管理分析與啟示[J].圖書(shū)館建設(shè)，2014，（3）：80-82.

[5]Great faith in the instructional benefits of digital technologies；great expectations for the rising use of OER[EB/OL].http：∥www.campuscomputing.net/item/2015-campus-computing-survey-0，2015-12-08.

[6]Information technology（IT）security university policy[EB/OL].http：∥ocio.osu.edu/sites/default/files/assets/Policies/ITSecurity.pdf，2015-12-08.

Information security policy[EB/OL].http：∥www.princeton.edu/oit/it-policies/it-security-policy/Documents/InformationSecurityPolicy.pdf，2015-12-08.

[8]Information security[EB/OL].http：∥itservices.stanford.edu/security，2015-12-08.

[9]Policies & practices[EB/OL].http：∥www.cmu.edu/iso/governance/index.html，2015-12-08.

[0]Secure computing[EB/OL].http：∥its.yale.edu/secure-computing/security-standards-and-guidance，2015-12-08.

]Policies，standards，and guidelines[EB/OL].http：∥passcouncil.washington.edu/psg/，2015-12-08.

[2]Information security policy and guides[EB/OL].http：∥www.bu.edu/tech/about/policies/info-security/，2015-12-08.