摘要：立足于信息安全等級(jí)保護(hù)工作，吸取浙江省在等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)的管理上的經(jīng)驗(yàn)，研究和探討如何有效地管理等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)，以確保測(cè)評(píng)機(jī)構(gòu)管理和技術(shù)能力得到不斷提升，保證測(cè)評(píng)機(jī)構(gòu)在等級(jí)測(cè)評(píng)上的獨(dú)立性、公正性和合規(guī)性，并對(duì)促進(jìn)等級(jí)測(cè)評(píng)的順利開展提出改善方向和意見。

關(guān)鍵詞：等級(jí)保護(hù)；測(cè)評(píng)；信息安全；管理

中圖分類號(hào)：TP393

文獻(xiàn)標(biāo)志碼：C

文章編號(hào)：1006-8228(2011)12-60-02

0 引言

信息安全等級(jí)保護(hù)作為國(guó)家信息安全工作的一項(xiàng)基本制度、基本國(guó)策，已經(jīng)在全國(guó)實(shí)行多年，各信息系統(tǒng)運(yùn)營(yíng)使用單位都深刻認(rèn)識(shí)到等級(jí)保護(hù)制度的重要性。在我國(guó)信息安全等級(jí)保護(hù)制度中，等級(jí)保護(hù)分五個(gè)工作環(huán)節(jié)——定級(jí)、備案、建設(shè)整改、等級(jí)測(cè)評(píng)和監(jiān)督檢查。其中，等級(jí)測(cè)評(píng)是等級(jí)測(cè)評(píng)機(jī)構(gòu)依據(jù)國(guó)家信息安全等級(jí)保護(hù)制度規(guī)定，受有關(guān)單位委托，按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，對(duì)非涉及國(guó)家秘密信息系統(tǒng)安全等級(jí)保護(hù)狀況進(jìn)行的檢測(cè)評(píng)估活動(dòng)，是信息安全等級(jí)保護(hù)工作的重要環(huán)節(jié)。

隨著等級(jí)保護(hù)工作的不斷推進(jìn)，等級(jí)測(cè)評(píng)機(jī)構(gòu)的體系建設(shè)也在不斷深入，全國(guó)等級(jí)測(cè)評(píng)機(jī)構(gòu)的數(shù)量在不斷增加，測(cè)評(píng)機(jī)構(gòu)的品質(zhì)和能力、測(cè)評(píng)人員的水平和素質(zhì)、測(cè)評(píng)競(jìng)爭(zhēng)環(huán)境等諸多方面的問題將不斷出現(xiàn)。因此，加強(qiáng)對(duì)等級(jí)測(cè)評(píng)機(jī)構(gòu)的合理、有效監(jiān)管，對(duì)提升測(cè)評(píng)行業(yè)質(zhì)量，保證測(cè)評(píng)數(shù)據(jù)公正、客觀，以及保障重點(diǎn)行業(yè)的重要信息系統(tǒng)安全等至關(guān)重要。

1 國(guó)家層面對(duì)測(cè)評(píng)機(jī)構(gòu)的監(jiān)管模式

測(cè)評(píng)工作作為等級(jí)保護(hù)制度中最重要工作環(huán)節(jié)，具有明顯的專業(yè)性和技術(shù)性恃點(diǎn)，其政策導(dǎo)向性強(qiáng)。因此，僅有相關(guān)測(cè)評(píng)技術(shù)標(biāo)準(zhǔn)是不夠的，測(cè)評(píng)機(jī)構(gòu)的體系化、規(guī)范化管理也是關(guān)鍵。

2009年7月公安部開始信息安全等級(jí)保護(hù)測(cè)評(píng)體系建設(shè)試點(diǎn)工作，其目的是探索信息安全等級(jí)保護(hù)測(cè)評(píng)體系建設(shè)和管理的模式和經(jīng)驗(yàn)，保證全國(guó)重要信息系統(tǒng)等級(jí)保護(hù)安全建設(shè)工作的順利開展。試點(diǎn)工作主要在浙江、重慶、河南、廣東等省市展開。其主要內(nèi)容是根據(jù)《信息安全等級(jí)保護(hù)管理辦法》和有關(guān)技術(shù)標(biāo)準(zhǔn)完成五個(gè)方面的工作：一是檢驗(yàn)并完善等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)具備的條件；二是檢驗(yàn)并完善等級(jí)測(cè)評(píng)機(jī)構(gòu)建設(shè)的主要內(nèi)容；三是檢驗(yàn)并完善等級(jí)測(cè)評(píng)人員管理的主要內(nèi)容；四是檢驗(yàn)并完善等級(jí)測(cè)評(píng)工作規(guī)范性要求的主要內(nèi)容；五是檢驗(yàn)并完善測(cè)評(píng)機(jī)構(gòu)監(jiān)督管理的主要內(nèi)容等。從試點(diǎn)工作情況分析，國(guó)家對(duì)等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)的監(jiān)管模式采用的是能力評(píng)估和政府干預(yù)相結(jié)合的模式。

從工作程序上分為四個(gè)步驟：

(1)各測(cè)評(píng)機(jī)構(gòu)向設(shè)區(qū)的市級(jí)以上所在地公安網(wǎng)安部門申請(qǐng)，公安網(wǎng)安部門根據(jù)《信息安全等級(jí)保護(hù)測(cè)評(píng)工作管理規(guī)范(試行)》對(duì)測(cè)評(píng)機(jī)構(gòu)所提交的申請(qǐng)材料進(jìn)行審核，審核通過后，提交給上一級(jí)公安網(wǎng)安部門報(bào)批，并予以受理。

(2)公安部網(wǎng)絡(luò)安全保衛(wèi)局統(tǒng)一將各地上報(bào)的測(cè)評(píng)機(jī)構(gòu)信息轉(zhuǎn)發(fā)給公安部信息安全等級(jí)保護(hù)評(píng)估中心，由評(píng)估中心按照《信息安全等級(jí)測(cè)評(píng)機(jī)構(gòu)能力要求(試行)》對(duì)各測(cè)評(píng)機(jī)構(gòu)進(jìn)行能力評(píng)估。能力評(píng)估通過后，由評(píng)估中心將能力評(píng)估材料遞交公安部網(wǎng)絡(luò)安全保衛(wèi)局審核批準(zhǔn)。

(3)各省公安網(wǎng)安部門收到公安部網(wǎng)絡(luò)安全保衛(wèi)局對(duì)測(cè)評(píng)機(jī)構(gòu)審核的意見及相關(guān)證書，下發(fā)給各地網(wǎng)安部門。

(4)公安部信息安全等級(jí)保護(hù)評(píng)估中心在網(wǎng)站上公布測(cè)評(píng)機(jī)構(gòu)名單，接受社會(huì)監(jiān)督。

能力評(píng)估的內(nèi)容和要求上，分為組織管理能力、測(cè)評(píng)實(shí)施能力、設(shè)施和設(shè)備安全與保障能力、質(zhì)量管理能力、規(guī)范性保證能力、風(fēng)險(xiǎn)控制能力、可持續(xù)發(fā)展能力等七個(gè)方面和基本要求、約束性要求等兩個(gè)部分。

2 浙江省等級(jí)測(cè)評(píng)機(jī)構(gòu)現(xiàn)有監(jiān)管模式

浙江省信息等級(jí)保護(hù)工作一直處于國(guó)內(nèi)前列，2006年就頒布了《浙江省信息安全等級(jí)保護(hù)管理辦法》(省政府第223號(hào)令)，并在同年開展了全國(guó)等級(jí)保護(hù)試點(diǎn)項(xiàng)目。通過多年積累的經(jīng)驗(yàn)，2007年浙江省開始在測(cè)評(píng)機(jī)構(gòu)管理、測(cè)評(píng)工作模式等方面進(jìn)行探索，初步形成具有浙江特色的等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)監(jiān)管模式。

(1)以社會(huì)協(xié)會(huì)管理為主，政府監(jiān)管為輔的管理模式

浙江省結(jié)合實(shí)際，政府層面出臺(tái)了《浙江省信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)管理規(guī)定(試行)》，明確了省內(nèi)從事等級(jí)測(cè)評(píng)工作的單位性質(zhì)、條件和義務(wù)等要素。社會(huì)協(xié)會(huì)層面出臺(tái)了《浙江省信息安全測(cè)評(píng)機(jī)構(gòu)資信等級(jí)評(píng)定管理辦法(試行)》實(shí)現(xiàn)測(cè)評(píng)機(jī)構(gòu)資信等級(jí)一、二級(jí)管理，形成測(cè)評(píng)機(jī)構(gòu)管理行業(yè)規(guī)范，變政府由市場(chǎng)參與主體向市場(chǎng)監(jiān)管主體轉(zhuǎn)變，由管理審批型向管理服務(wù)型轉(zhuǎn)變、由直接行政干預(yù)向間接宏觀調(diào)控轉(zhuǎn)變。

(2)建立以行業(yè)自律管理為主的監(jiān)管體系

嚴(yán)格測(cè)評(píng)機(jī)構(gòu)行業(yè)自律管理，測(cè)評(píng)機(jī)構(gòu)間簽署《信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)行業(yè)自律公約》，強(qiáng)化機(jī)構(gòu)自律化管理，進(jìn)一步規(guī)范測(cè)評(píng)機(jī)構(gòu)行為和工作秩序。

(3)建立機(jī)構(gòu)統(tǒng)一管理標(biāo)準(zhǔn)，?？貙彶闄C(jī)構(gòu)自身及人員能力建設(shè)

全省測(cè)評(píng)機(jī)構(gòu)必須按照“審核標(biāo)準(zhǔn)統(tǒng)一，管理規(guī)范標(biāo)準(zhǔn)統(tǒng)一、技術(shù)標(biāo)準(zhǔn)統(tǒng)一、測(cè)評(píng)工具標(biāo)準(zhǔn)統(tǒng)一、報(bào)告樣式標(biāo)準(zhǔn)統(tǒng)一”的五統(tǒng)一規(guī)范開展測(cè)評(píng)工作，并由政府組織機(jī)構(gòu)年審，設(shè)立準(zhǔn)入準(zhǔn)出機(jī)制。測(cè)評(píng)機(jī)構(gòu)的能力審查對(duì)測(cè)評(píng)過程中技術(shù)人員行為的規(guī)范性、合理性和程序標(biāo)準(zhǔn)性，對(duì)機(jī)構(gòu)業(yè)務(wù)范圍、管理能力和技術(shù)能力要求等給予明確規(guī)定，規(guī)范申請(qǐng)、審核、查驗(yàn)和推薦流程，組建由公安、保密、密碼管理、信息辦和安全等部門專家組成的專門審查小組對(duì)機(jī)構(gòu)背景、管理水平、資格和技術(shù)能力進(jìn)行量化評(píng)價(jià)，作為推薦依據(jù)。同時(shí)，嚴(yán)格規(guī)范測(cè)評(píng)機(jī)構(gòu)工作程序，加強(qiáng)對(duì)機(jī)構(gòu)內(nèi)部管理規(guī)范化建設(shè)督導(dǎo)，要求健全人員管理、項(xiàng)目管理、文檔管理、設(shè)備管理、保密制度等各項(xiàng)制度，要求制定《質(zhì)量手冊(cè)》、《程序文件》、《作業(yè)指導(dǎo)書》、《測(cè)評(píng)過程記錄表單》等測(cè)評(píng)實(shí)施過程文檔，完善測(cè)評(píng)實(shí)施規(guī)程。

全省機(jī)構(gòu)都已被要求必須獲得CMA中國(guó)計(jì)量認(rèn)證，并被引導(dǎo)和鼓勵(lì)去獲得CNAS實(shí)驗(yàn)室認(rèn)證、ISO27001認(rèn)證等。所有從業(yè)人員必須獲得初級(jí)以上“測(cè)評(píng)師”技術(shù)證書，測(cè)評(píng)工作中持證上崗。對(duì)測(cè)評(píng)從業(yè)人員要進(jìn)行錄用考核、備案和背景審查等工作。

3 現(xiàn)有監(jiān)管模式的不足

在現(xiàn)行的測(cè)評(píng)機(jī)構(gòu)監(jiān)管模式中，我們側(cè)重于對(duì)測(cè)評(píng)機(jī)構(gòu)應(yīng)具備條件(包括審核是否在境內(nèi)注冊(cè)成立、注冊(cè)資本多少、法人資格、公司已有的資質(zhì)、測(cè)評(píng)人員已獲得的技術(shù)認(rèn)證等)的監(jiān)管；僅關(guān)注機(jī)構(gòu)是否已具有完備的保密管理、項(xiàng)目管理、質(zhì)量管理、人員管理和培訓(xùn)教育等制度，而對(duì)這些制度的落實(shí)情況及執(zhí)行情況缺乏有效監(jiān)督；對(duì)測(cè)評(píng)活動(dòng)實(shí)施過程中的合法性，有效性問題缺乏必要的考量。

4 對(duì)測(cè)評(píng)機(jī)構(gòu)進(jìn)行有效性監(jiān)管方法的探討

(1)對(duì)測(cè)評(píng)機(jī)構(gòu)的測(cè)評(píng)大綱實(shí)行報(bào)備審核

測(cè)評(píng)大綱應(yīng)是等級(jí)測(cè)評(píng)機(jī)構(gòu)的整體測(cè)評(píng)策略性文件，能綜合反映不同測(cè)評(píng)機(jī)構(gòu)從事等級(jí)測(cè)評(píng)活動(dòng)的經(jīng)驗(yàn)、知識(shí)、測(cè)評(píng)方法和測(cè)評(píng)程序。基于對(duì)被測(cè)評(píng)單位的利益保護(hù)以及對(duì)測(cè)評(píng)機(jī)構(gòu)的監(jiān)管要求，測(cè)評(píng)大綱應(yīng)具有法律效力，須報(bào)公安機(jī)關(guān)審核備案后使用。測(cè)評(píng)機(jī)構(gòu)只有按照測(cè)評(píng)大綱中明確的指標(biāo)嚴(yán)格檢測(cè)、測(cè)評(píng)，其測(cè)評(píng)結(jié)果才能真實(shí)地反映被測(cè)單位計(jì)算機(jī)信息系統(tǒng)的安全狀況，為安全整改建設(shè)提供科學(xué)的依據(jù)和指南。

(2)對(duì)等級(jí)測(cè)評(píng)活動(dòng)的各周期程序?qū)嵭斜O(jiān)督指導(dǎo)

等級(jí)測(cè)評(píng)流程分為四個(gè)階段：測(cè)評(píng)準(zhǔn)備、方案編制、現(xiàn)場(chǎng)測(cè)評(píng)及報(bào)告編制，政府部門的督導(dǎo)工作須貫穿其中。如，在測(cè)評(píng)準(zhǔn)備階段，為了避免測(cè)評(píng)小組成員和委托人之間存在利害關(guān)系，影響測(cè)評(píng)結(jié)果的公平、客觀、真實(shí)，測(cè)評(píng)機(jī)構(gòu)在確定測(cè)評(píng)小組成員名單后讓測(cè)評(píng)委托人確認(rèn)簽字，確認(rèn)書要留檔備查，未經(jīng)確認(rèn)開展的項(xiàng)目測(cè)評(píng)報(bào)告不具有法律效力。方案編制中，必須明確測(cè)評(píng)對(duì)象、范圍、依據(jù)法律法規(guī)和標(biāo)準(zhǔn)、制定具體的測(cè)評(píng)檢查表，記錄文件要測(cè)評(píng)雙方簽字確認(rèn)，方案和測(cè)評(píng)過程文檔應(yīng)留檔備查?，F(xiàn)場(chǎng)測(cè)評(píng)中，測(cè)評(píng)小組必須使用可信、安全等級(jí)測(cè)評(píng)工具采集數(shù)據(jù)，測(cè)評(píng)工具要向公安機(jī)關(guān)報(bào)備，現(xiàn)場(chǎng)測(cè)評(píng)要按照檢測(cè)程序全面檢測(cè)關(guān)鍵測(cè)評(píng)項(xiàng)，依據(jù)測(cè)評(píng)標(biāo)準(zhǔn)客觀、公正、準(zhǔn)確評(píng)價(jià)，政府主管部門應(yīng)隨機(jī)駐點(diǎn)督查現(xiàn)場(chǎng)測(cè)評(píng)過程實(shí)施情況。測(cè)評(píng)報(bào)告反映的是被測(cè)評(píng)單位信息系統(tǒng)的安全保護(hù)現(xiàn)狀，應(yīng)具有法律效力，報(bào)告要使用標(biāo)準(zhǔn)模板，起草過程中測(cè)評(píng)機(jī)構(gòu)和測(cè)評(píng)人員應(yīng)當(dāng)遵守國(guó)家的有關(guān)法律法規(guī)，保守被測(cè)評(píng)單位秘密、保障被測(cè)單位利益，政府部門有必要明確測(cè)機(jī)構(gòu)及其工作人員的法律責(zé)任來規(guī)范其職業(yè)道德。測(cè)評(píng)機(jī)構(gòu)的測(cè)評(píng)結(jié)果直接對(duì)信息系統(tǒng)運(yùn)營(yíng)使用單位的建設(shè)、整改和運(yùn)營(yíng)成本，以及對(duì)監(jiān)管部門的行政監(jiān)管成本產(chǎn)生影響，也就是說，測(cè)評(píng)報(bào)告對(duì)國(guó)家和社會(huì)都會(huì)產(chǎn)生影響。因此，測(cè)評(píng)機(jī)構(gòu)要對(duì)自身的測(cè)評(píng)行為負(fù)責(zé)，政府主管部門將對(duì)機(jī)構(gòu)及從業(yè)人員違反法律規(guī)定的行為予以民事、行政或刑事處罰。

(3)對(duì)測(cè)評(píng)人員實(shí)行從錄用到離職的全程監(jiān)督

等級(jí)測(cè)評(píng)涉及用戶單位的核心業(yè)務(wù)系統(tǒng)，是一項(xiàng)高技術(shù)的專業(yè)安全服務(wù)，需要具有一定政治素質(zhì)、道德素質(zhì)和專業(yè)素質(zhì)的測(cè)評(píng)人員來支撐。管理應(yīng)進(jìn)一步加大對(duì)測(cè)評(píng)人員的政治背景、從業(yè)背景、專業(yè)背景、技術(shù)素養(yǎng)的審查力度，建立完備測(cè)評(píng)人員檔案庫，考量測(cè)評(píng)機(jī)構(gòu)測(cè)評(píng)人員穩(wěn)定性，重點(diǎn)加大對(duì)離職測(cè)評(píng)人員的管控，明確保密條約，關(guān)注人員離職去向。

(4)制定測(cè)評(píng)機(jī)構(gòu)優(yōu)劣考量機(jī)制，促進(jìn)誠(chéng)信服務(wù)的企業(yè)文化

等級(jí)測(cè)評(píng)的執(zhí)行主體是測(cè)評(píng)機(jī)構(gòu)，測(cè)評(píng)機(jī)構(gòu)的企業(yè)文化是否具有凝聚性，企業(yè)價(jià)值觀是否誠(chéng)信，內(nèi)部管理模式是否健康，關(guān)乎其市場(chǎng)競(jìng)爭(zhēng)力，更關(guān)乎測(cè)評(píng)機(jī)構(gòu)能否為信息系統(tǒng)安全等級(jí)保護(hù)工作提供安全、客觀、公正的檢測(cè)評(píng)估服務(wù)。因此，要求測(cè)評(píng)企業(yè)必須有一定的政治覺悟，要嚴(yán)格遵守國(guó)家有關(guān)法律法規(guī)，要承擔(dān)社會(huì)責(zé)任和法律責(zé)任，不能唯利是圖。政府部門要定期開展管理評(píng)審，制定考量測(cè)評(píng)機(jī)構(gòu)優(yōu)劣評(píng)判標(biāo)準(zhǔn)，完善被測(cè)評(píng)單位滿意度反饋機(jī)制，建立機(jī)構(gòu)誠(chéng)信狀況、信用狀況、評(píng)級(jí)結(jié)果等信息公開機(jī)制，將政府監(jiān)管和社會(huì)監(jiān)督結(jié)合起來，通過評(píng)星評(píng)級(jí)、市場(chǎng)退出和獎(jiǎng)懲機(jī)制的建立，鼓勵(lì)誠(chéng)信機(jī)構(gòu)，懲戒不誠(chéng)信機(jī)構(gòu)，增加機(jī)構(gòu)不規(guī)范測(cè)評(píng)行為的風(fēng)險(xiǎn)成本。

(5)規(guī)范價(jià)格體系，推動(dòng)測(cè)評(píng)機(jī)構(gòu)良性發(fā)展

等級(jí)測(cè)評(píng)是近兩年才興起的行業(yè)，政府要引導(dǎo)建立良好的測(cè)評(píng)市場(chǎng)價(jià)格體系，借鑒其他行業(yè)自律的經(jīng)驗(yàn)手段，避免惡性價(jià)格競(jìng)爭(zhēng)，要保障等級(jí)測(cè)評(píng)有一定的利潤(rùn)空間，以使得測(cè)評(píng)機(jī)構(gòu)能朝更專業(yè)、更具實(shí)力方向發(fā)展，充分調(diào)動(dòng)測(cè)評(píng)機(jī)構(gòu)提升品牌建設(shè)、服務(wù)工作效率、專業(yè)能力、測(cè)評(píng)人員素質(zhì)的內(nèi)在動(dòng)力。

5 結(jié)束語

對(duì)信息系統(tǒng)實(shí)行等級(jí)保護(hù)是國(guó)家法定制度和基本國(guó)策，是提高信息安全保障能力和水平，維護(hù)國(guó)家安全，維護(hù)社會(huì)穩(wěn)定和公共利益，保障和促進(jìn)信息化建設(shè)的重大舉措，具有重大的現(xiàn)實(shí)和戰(zhàn)略意義。對(duì)信息系統(tǒng)進(jìn)行等級(jí)測(cè)評(píng)是實(shí)行等級(jí)保護(hù)的關(guān)鍵環(huán)節(jié)，而對(duì)測(cè)評(píng)機(jī)構(gòu)、測(cè)評(píng)人員、測(cè)評(píng)活動(dòng)的有效管理，可以規(guī)范、控制測(cè)評(píng)機(jī)構(gòu)的行為，保證測(cè)評(píng)結(jié)果的權(quán)威性和公正性，并維護(hù)被測(cè)評(píng)單位利益。本文從行業(yè)管理、政府監(jiān)管的角度分析了現(xiàn)有管理模式的不足，吸收和借鑒了浙江省在測(cè)評(píng)機(jī)構(gòu)管理上可行的方法，所提出的針對(duì)性的解決思路，對(duì)全國(guó)測(cè)評(píng)機(jī)構(gòu)的管理有一定的借鑒和指導(dǎo)作用。我國(guó)的等級(jí)保護(hù)工作還處于不斷推進(jìn)和發(fā)展中，等級(jí)測(cè)評(píng)機(jī)構(gòu)的管理需要不斷的探索，特別是在機(jī)構(gòu)能力的考核量化、價(jià)格體系的合理性、測(cè)評(píng)的有效性等問題上，還需要通過實(shí)踐加以驗(yàn)證。相信未來在政府和社會(huì)的不斷努力和關(guān)注下，等級(jí)測(cè)評(píng)市場(chǎng)將會(huì)更加健康、有序的發(fā)展。