提高信息安全管理測評實施質量研究

前言：尋找寫作靈感？中文期刊網用心挑選的提高信息安全管理測評實施質量研究，希望能為您的閱讀和創作帶來靈感，歡迎大家閱讀并分享。

摘要：結合信息系統安全等級保護管理測評中的實際工作經驗，文章總結和分析了信息系統安全等級保護中管理測評工作的特點以及目前在管理測評工作中存在的一些問題和難題，并提出建議，以期引起相關人員對管理測評工作的重視和思考，在后續工作中能夠不斷提高管理測評的準確性和可靠性。

關鍵詞：安全管理測評；等級測評；等級保護

2003年9月，中共中央辦公廳、國務院辦公廳轉發的《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發〔2003〕27號），明確提出了“立足國情，以我為主，堅持技術管理并重”的信息安全管理方針。技術和管理并重，是信息安全保障工作的基本要求?！缎畔踩夹g、網絡安全等級保護基本要求》（GB/T22239-2019）中明確規定了不同安全等級保護信息系統的安全管理保護要求，主要涵蓋安全管理機構、安全管理制度、人員安全管理、系統建設管理、系統運維管理5大方面的內容。隨著等級保護工作的持續推進和廣泛開展，等級測評工作形成了一套完善、成熟的管理和技術測評體系。如何在現有成果的基礎上，進一步完善我國的等級保護制度，深入優化信息安全等級保護工作成效，是一個值得關注的問題。結合等級保護管理測評工作中的具體實踐，本文對安全管理測評過程中存在的若干問題進行了總結和探討，希望能夠引起相關讀者的重視和思考。

1管理測評特點

1.1訪談人員角色多

根據管理測評不同安全層面的具體需求，為了盡可能準確、可靠地收集和獲得相關測評證據，需要與不同的管理員角色進行溝通和交流。在安全管理測評過程中需要訪談的對象幾乎涵蓋了與安全活動相關的決策層、領導層和執行層人員，不同安全管理測評層面需要訪談的人員角色主要包括系統運維負責人、安全主管、資產管理員、安全審計員、機房管理員、網絡管理員、安全管理員、系統管理員、數據庫管理員等。

1.2測評覆蓋范圍廣

一方面，安全管理測評同時涵蓋了物理、網絡、主機、應用、數據庫等方面的內容。另一方面，除了涉及管理機構、制度、人員、系統建設和運維等方面內容外，某些指標的合規性判定還需要結合安全技術測評結果中的相關內容。因此，無論從管理測評實施涉及的內容來看，還是從測評過程中需要配合的人員數量來看，安全管理測評的范圍都表現出一定的廣泛性和全面性。

1.3測評技巧性強

鑒于安全管理測評訪談人員數量多和測評覆蓋范圍廣的特點，安全管理測評需要講究測評方式方法的技巧性。安全管理測評通常是在測評人員對各類管理文檔進行收集與查看的基礎上直接獲取證據，并做出符合性判斷，針對不確定的指標項，進一步訪談相關人員，獲取測評證據。當無法直接獲取測評證據而不得不進行大量的人員訪談時，為了提高安全管理測評實施的效率和規范性，需要抓住各安全層面測評指標中的要點和關鍵點，并將其連貫串接起來進行訪談。

2現狀與問題分析

根據著名的信息安全“水桶理論”，系統中最薄弱的安全環節才是最終決定信息系統整體安全防護的能力。內部安全管理不到位往往是致使信息安全事件發生的真正導火索，也成為當前等級保護工作中最薄弱的環節。只有夯實管理基礎，重視關鍵環節，將安全管理扎實地融合和落實到包括技術層面在內的所有相關方面中，有效提升整體的安全保障能力，同時有助于提高信息安全管理測評的質量和效率。本文主要從信息系統運營使用單位和測評機構的角度對安全管理測評中存在的主要問題進行總結和分析。

2.1運營使用單位

對于信息系統的運營使用單位而言，主要存在安全管理制度制定不完善和管理制度執行不力等問題，在很大程度上影響了信息安全管理測評的準確性和可靠性。首先，安全管理制度不完善主要體現在制度框架體系的不完善和制度內容本身的不全面。一個完整的管理制度體系應包括與決策層、領導層和執行層相關的文檔，然而現實中信息系統運營使用單位的執行層管理文檔存在較多缺失。制度內容本身存在內容不全面、針對性不夠和合理性欠缺等問題，一方面，給管理的落實和有效執行增加了無形的阻礙，另一方面對管理測評中證據獲取和結果判定的準確性造成了一定的影響。其次，在管理制度執行不力的問題中，部分信息系統運營使用單位沒有嚴格按照管理制度的要求對信息系統進行運維和管理，對管理制度的執行呈現出“三天打魚兩天曬網”的情況，或者是僅落實了部分制度。對于整個信息系統的安全性而言，這種隨意性是一個不容忽視的管理安全隱患，同時也給安全管理測評證據的獲取帶來了很大的困難。

2.2測評機構

對于測評機構而言，在安全管理測評的實施過程中，存在的主要難題是直接獲取相關證據困難和評判結果較難取舍兩個方面。在安全管理現場測評時，管理測評人員往往會面臨管理制度不完善、制度執行不力、系統建設開發人員不在現場和新到崗人員對系統情況不熟悉等常見情況，又因安全管理測評本身具有訪談人員數量多和測評內容覆蓋范圍廣等特點，使管理測評人員無法直接順利獲取相關測評證據。同時，對于測評機構的管理測評人員而言，某些評判結果較難取舍是實施管理測評時常常會遇到的難題。導致這一問題出現的原因主要在于：被測評單位未嚴格按照制度和規程進行管理和操作、管理執行中出現“三天打魚兩天曬網”的情況、處于不同地理位置的多信息系統測評等。一方面對管理測評的工作效率和工作進度造成了影響，另一方面在一定程度上造成管理測評結果的準確性不夠。

3方法探討與建議

安全管理測評過程是一個與多方人為因素相關的綜合體，因此，管理測評質量的改善和提高需要多方共同、持續的努力。同時，安全管理要求的落實需要以制度、法規和操作規程為依托，規范和約束相關管理人員自覺并嚴格按規章制度執行。下面從信息系統運營使用單位和安全測評機構的角度，對等級保護安全管理測評工作中面臨的主要問題提供一些解決思路和探討。

3.1系統運營使用單位

管理制度的制定為相關人員提供指導和規范，將其真正落實到實處，而運營使用單位落實管理工作是確保管理測評人員能夠直接獲得可靠證據的前提和基礎。為了實現這一目的，系統運營使用單位應該結合本單位實際情況，按照相關標準要求，制定完善可行、科學合理的管理制度體系，并嚴格要求相關人員遵照執行。制度和要求在一定程度上可以增強相關人員對管理活動的重視程度，卻并不能有效地督促管理活動的落實和執行。因此，重要信息系統運營使用單位應當將安全管理活動的執行情況納入到相關人員的工作考核中，結合獎懲制度來督促和落實相關管理人員的執行力。

3.2安全測評機構

測評機構的安全管理測評人員直接決定著管理測評結果的準確性和可靠性，具體表現在測評人員的專業素養和管理測評能力上。因此，對于測評機構而言，首先，應該制定一套具有針對性的人員管理測評規范和明確可行的管理測評流程以規范測評人員的管理測評工作，并在此基礎上注重加強測評人員自身的管理、學習交流和能力提高。其次，在意識層面加強和深化相關人員對管理測評重要性的認識，在安全管理測評中樹立和培養科學嚴謹的工作態度，并注意結合實際的管理測評工作不斷總結、積累測評經驗與技巧，逐步改善和提高安全管理測評的質量。

4結語

安全管理測評是一個相對復雜又具有一定靈活性的工作，其中涉及了大量與人相關的活動，因此，管理測評準確性、可靠性的進一步提高和改善需要通過對多方共同努力對人參與的行為進行管理和約束。針對管理測評過程中暴露出來的一些問題和難題，應當從相關標準、制度規范的制定和執行以及測評能力的提高等各層面采取相應的措施，有效解決管理測評中可能面臨的難題，進而從整體上提高安全管理測評的質量。

作者:李國琴 單位:江蘇省電子信息產品質量監督檢驗研究院