提高信息安全管理测评实施质量研究

提高信息安全管理测评实施质量研究

摘要:结合信息系统安全等级保护管理测评中的实际工作经验,文章总结和分析了信息系统安全等级保护中管理测评工作的特点以及目前在管理测评工作中存在的一些问题和难题,并提出建议,以期引起相关人员对管理测评工作的重视和思考,在后续工作中能够不断提高管理测评的准确性和可靠性。

关键词:安全管理测评;等级测评;等级保护

2003年9月,中共中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号),明确提出了“立足国情,以我为主,坚持技术管理并重”的信息安全管理方针。技术和管理并重,是信息安全保障工作的基本要求。《信息安全技术、网络安全等级保护基本要求》(GB/T22239-2019)中明确规定了不同安全等级保护信息系统的安全管理保护要求,主要涵盖安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理5大方面的内容。随着等级保护工作的持续推进和广泛开展,等级测评工作形成了一套完善、成熟的管理和技术测评体系。如何在现有成果的基础上,进一步完善我国的等级保护制度,深入优化信息安全等级保护工作成效,是一个值得关注的问题。结合等级保护管理测评工作中的具体实践,本文对安全管理测评过程中存在的若干问题进行了总结和探讨,希望能够引起相关读者的重视和思考。

1管理测评特点

1.1访谈人员角色多

根据管理测评不同安全层面的具体需求,为了尽可能准确、可靠地收集和获得相关测评证据,需要与不同的管理员角色进行沟通和交流。在安全管理测评过程中需要访谈的对象几乎涵盖了与安全活动相关的决策层、领导层和执行层人员,不同安全管理测评层面需要访谈的人员角色主要包括系统运维负责人、安全主管、资产管理员、安全审计员、机房管理员、网络管理员、安全管理员、系统管理员、数据库管理员等。

1.2测评覆盖范围广

一方面,安全管理测评同时涵盖了物理、网络、主机、应用、数据库等方面的内容。另一方面,除了涉及管理机构、制度、人员、系统建设和运维等方面内容外,某些指标的合规性判定还需要结合安全技术测评结果中的相关内容。因此,无论从管理测评实施涉及的内容来看,还是从测评过程中需要配合的人员数量来看,安全管理测评的范围都表现出一定的广泛性和全面性。

1.3测评技巧性强

鉴于安全管理测评访谈人员数量多和测评覆盖范围广的特点,安全管理测评需要讲究测评方式方法的技巧性。安全管理测评通常是在测评人员对各类管理文档进行收集与查看的基础上直接获取证据,并做出符合性判断,针对不确定的指标项,进一步访谈相关人员,获取测评证据。当无法直接获取测评证据而不得不进行大量的人员访谈时,为了提高安全管理测评实施的效率和规范性,需要抓住各安全层面测评指标中的要点和关键点,并将其连贯串接起来进行访谈。

2现状与问题分析

根据著名的信息安全“水桶理论”,系统中最薄弱的安全环节才是最终决定信息系统整体安全防护的能力。内部安全管理不到位往往是致使信息安全事件发生的真正导火索,也成为当前等级保护工作中最薄弱的环节。只有夯实管理基础,重视关键环节,将安全管理扎实地融合和落实到包括技术层面在内的所有相关方面中,有效提升整体的安全保障能力,同时有助于提高信息安全管理测评的质量和效率。本文主要从信息系统运营使用单位和测评机构的角度对安全管理测评中存在的主要问题进行总结和分析。

2.1运营使用单位

对于信息系统的运营使用单位而言,主要存在安全管理制度制定不完善和管理制度执行不力等问题,在很大程度上影响了信息安全管理测评的准确性和可靠性。首先,安全管理制度不完善主要体现在制度框架体系的不完善和制度内容本身的不全面。一个完整的管理制度体系应包括与决策层、领导层和执行层相关的文档,然而现实中信息系统运营使用单位的执行层管理文档存在较多缺失。制度内容本身存在内容不全面、针对性不够和合理性欠缺等问题,一方面,给管理的落实和有效执行增加了无形的阻碍,另一方面对管理测评中证据获取和结果判定的准确性造成了一定的影响。其次,在管理制度执行不力的问题中,部分信息系统运营使用单位没有严格按照管理制度的要求对信息系统进行运维和管理,对管理制度的执行呈现出“三天打鱼两天晒网”的情况,或者是仅落实了部分制度。对于整个信息系统的安全性而言,这种随意性是一个不容忽视的管理安全隐患,同时也给安全管理测评证据的获取带来了很大的困难。

2.2测评机构

对于测评机构而言,在安全管理测评的实施过程中,存在的主要难题是直接获取相关证据困难和评判结果较难取舍两个方面。在安全管理现场测评时,管理测评人员往往会面临管理制度不完善、制度执行不力、系统建设开发人员不在现场和新到岗人员对系统情况不熟悉等常见情况,又因安全管理测评本身具有访谈人员数量多和测评内容覆盖范围广等特点,使管理测评人员无法直接顺利获取相关测评证据。同时,对于测评机构的管理测评人员而言,某些评判结果较难取舍是实施管理测评时常常会遇到的难题。导致这一问题出现的原因主要在于:被测评单位未严格按照制度和规程进行管理和操作、管理执行中出现“三天打鱼两天晒网”的情况、处于不同地理位置的多信息系统测评等。一方面对管理测评的工作效率和工作进度造成了影响,另一方面在一定程度上造成管理测评结果的准确性不够。

3方法探讨与建议

安全管理测评过程是一个与多方人为因素相关的综合体,因此,管理测评质量的改善和提高需要多方共同、持续的努力。同时,安全管理要求的落实需要以制度、法规和操作规程为依托,规范和约束相关管理人员自觉并严格按规章制度执行。下面从信息系统运营使用单位和安全测评机构的角度,对等级保护安全管理测评工作中面临的主要问题提供一些解决思路和探讨。

3.1系统运营使用单位

管理制度的制定为相关人员提供指导和规范,将其真正落实到实处,而运营使用单位落实管理工作是确保管理测评人员能够直接获得可靠证据的前提和基础。为了实现这一目的,系统运营使用单位应该结合本单位实际情况,按照相关标准要求,制定完善可行、科学合理的管理制度体系,并严格要求相关人员遵照执行。制度和要求在一定程度上可以增强相关人员对管理活动的重视程度,却并不能有效地督促管理活动的落实和执行。因此,重要信息系统运营使用单位应当将安全管理活动的执行情况纳入到相关人员的工作考核中,结合奖惩制度来督促和落实相关管理人员的执行力。

3.2安全测评机构

测评机构的安全管理测评人员直接决定着管理测评结果的准确性和可靠性,具体表现在测评人员的专业素养和管理测评能力上。因此,对于测评机构而言,首先,应该制定一套具有针对性的人员管理测评规范和明确可行的管理测评流程以规范测评人员的管理测评工作,并在此基础上注重加强测评人员自身的管理、学习交流和能力提高。其次,在意识层面加强和深化相关人员对管理测评重要性的认识,在安全管理测评中树立和培养科学严谨的工作态度,并注意结合实际的管理测评工作不断总结、积累测评经验与技巧,逐步改善和提高安全管理测评的质量。

4结语

安全管理测评是一个相对复杂又具有一定灵活性的工作,其中涉及了大量与人相关的活动,因此,管理测评准确性、可靠性的进一步提高和改善需要通过对多方共同努力对人参与的行为进行管理和约束。针对管理测评过程中暴露出来的一些问题和难题,应当从相关标准、制度规范的制定和执行以及测评能力的提高等各层面采取相应的措施,有效解决管理测评中可能面临的难题,进而从整体上提高安全管理测评的质量。

作者:李国琴 单位:江苏省电子信息产品质量监督检验研究院