在高校信息化应用日益深化的今天，信息和资源的整合日益密切，如何保障信息系统的持续稳定运行，确保信息安全是亟待解决的关键问题。从调研显示，目前我国高校网络系统存在许多安全问题，如：非授权访问、破坏数据完整性、干扰系统正常运行和利用网络传播病毒等，产生这些安全问题的原因在于：没有建立完善的网络系统安全体系；没有建立相应的安全组织、管理、技术机构；没有建立完备的网络系统安全措施。

　　本文从高校信息系统的需求出发，遵从风险管理的理念，在信息化战略规划的基础上，借鉴国际最佳实践经验，研究并实施高校信息化安全管理体系，为高校信息安全管理工作提供借鉴和参考。

　　规划信息化安全管理体系

　　分层次建立安全管理制度和手段

　　信息化安全管理体系规划是高校安全体系建立的第一步，目的是识别安全问题，明确安全管理的范围和内容，建立安全管理的组织管理机制，从管理和技术两个角度，分层次规划各环节的安全管理制度和技术防范手段，形成完整、可行的信息化安全管理体系。我们将高校信息化安全管理规划过程归纳为以下8个步骤：

　　1. 建立安全管理组织：安全管理组织的成员由机构的战略影响者组成，包括来自行政、IT、业务、安全、保卫、风险和规划部门的人员。

　　2. 识别保护对象：识别学校目前的关注点、面临的风险及威胁，分析它们存在的原因，将分析结果纳入安全管理体系的规划中重点考虑。

　　3. 评估现有措施：了解学校目前的安全管理措施并评估它们的效力。

　　4. 考虑长期需要：安全整体规划应考虑长期的需要，具有一定的前瞻性，如长期的制度适应性、设备老化、安全人员的发展需要等。

　　5. 纳入学校的建设规划：了解学校新建项目，如办公楼、教学楼、停车场等项目，是否会影响现有的物理安全规划，如有影响，将安全规划纳入学校建设规划中通盘考虑。

　　6. 建立安全工作机制：形成文件化的制度体系和工作条例，明确各岗位的责任、应提供的服务和交付物，这些将有助于确保工作的落实和运作效率。

　　7. 应对新老技术的混合：新技术的规划应考虑对老技术的冲击，新老技术的融合运用将是一个挑战。

　　8. 关键设施重点布局：关键设施指校园中那些需要连续、可靠运行而又相互关联的复杂设施集合，这些设施的安全尤为重要，风险也最为突出。