摘 要：結(jié)合信息系統(tǒng)安全等級(jí)保護(hù)管理測(cè)評(píng)中的實(shí)際工作經(jīng)驗(yàn)，文章總結(jié)和分析了信息系統(tǒng)安全等級(jí)保護(hù)中管理測(cè)評(píng)工作的特點(diǎn)以及目前在管理測(cè)評(píng)工作中存在的一些問題和難題，并提出建議，以期引起相關(guān)人員對(duì)管理測(cè)評(píng)工作的重視和思考，在后續(xù)工作中能夠不斷提高管理測(cè)評(píng)的準(zhǔn)確性和可靠性。

關(guān)鍵詞：安全管理測(cè)評(píng);等級(jí)測(cè)評(píng);等級(jí)保護(hù)

2003年9月，中共中央辦公廳、國(guó)務(wù)院辦公廳轉(zhuǎn)發(fā)的《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦發(fā)〔2003〕27號(hào)），明確提出了“立足國(guó)情，以我為主，堅(jiān)持技術(shù)管理并重”的信息安全管理方針。技術(shù)和管理并重，是信息安全保障工作的基本要求?！缎畔踩夹g(shù)、網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T 22239-2019）中明確規(guī)定了不同安全等級(jí)保護(hù)信息系統(tǒng)的安全管理保護(hù)要求，主要涵蓋安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理5大方面的內(nèi)容。

隨著等級(jí)保護(hù)工作的持續(xù)推進(jìn)和廣泛開展，等級(jí)測(cè)評(píng)工作形成了一套完善、成熟的管理和技術(shù)測(cè)評(píng)體系。如何在現(xiàn)有成果的基礎(chǔ)上，進(jìn)一步完善我國(guó)的等級(jí)保護(hù)制度，深入優(yōu)化信息安全等級(jí)保護(hù)工作成效，是一個(gè)值得關(guān)注的問題。結(jié)合等級(jí)保護(hù)管理測(cè)評(píng)工作中的具體實(shí)踐，本文對(duì)安全管理測(cè)評(píng)過程中存在的若干問題進(jìn)行了總結(jié)和探討，希望能夠引起相關(guān)讀者的重視和思考。

1 管理測(cè)評(píng)特點(diǎn)

1.1 訪談人員角色多

根據(jù)管理測(cè)評(píng)不同安全層面的具體需求，為了盡可能準(zhǔn)確、可靠地收集和獲得相關(guān)測(cè)評(píng)證據(jù)，需要與不同的管理員角色進(jìn)行溝通和交流。在安全管理測(cè)評(píng)過程中需要訪談的對(duì)象幾乎涵蓋了與安全活動(dòng)相關(guān)的決策層、領(lǐng)導(dǎo)層和執(zhí)行層人員，不同安全管理測(cè)評(píng)層面需要訪談的人員角色主要包括系統(tǒng)運(yùn)維負(fù)責(zé)人、安全主管、資產(chǎn)管理員、安全審計(jì)員、機(jī)房管理員、網(wǎng)絡(luò)管理員、安全管理員、系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員等。

1.2 測(cè)評(píng)覆蓋范圍廣

一方面，安全管理測(cè)評(píng)同時(shí)涵蓋了物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)庫(kù)等方面的內(nèi)容。另一方面，除了涉及管理機(jī)構(gòu)、制度、人員、系統(tǒng)建設(shè)和運(yùn)維等方面內(nèi)容外，某些指標(biāo)的合規(guī)性判定還需要結(jié)合安全技術(shù)測(cè)評(píng)結(jié)果中的相關(guān)內(nèi)容。因此，無論從管理測(cè)評(píng)實(shí)施涉及的內(nèi)容來看，還是從測(cè)評(píng)過程中需要配合的人員數(shù)量來看，安全管理測(cè)評(píng)的范圍都表現(xiàn)出一定的廣泛性和全面性。

1.3 測(cè)評(píng)技巧性強(qiáng)

鑒于安全管理測(cè)評(píng)訪談人員數(shù)量多和測(cè)評(píng)覆蓋范圍廣的特點(diǎn)，安全管理測(cè)評(píng)需要講究測(cè)評(píng)方式方法的技巧性。安全管理測(cè)評(píng)通常是在測(cè)評(píng)人員對(duì)各類管理文檔進(jìn)行收集與查看的基礎(chǔ)上直接獲取證據(jù)，并做出符合性判斷，針對(duì)不確定的指標(biāo)項(xiàng)，進(jìn)一步訪談相關(guān)人員，獲取測(cè)評(píng)證據(jù)。當(dāng)無法直接獲取測(cè)評(píng)證據(jù)而不得不進(jìn)行大量的人員訪談時(shí)，為了提高安全管理測(cè)評(píng)實(shí)施的效率和規(guī)范性，需要抓住各安全層面測(cè)評(píng)指標(biāo)中的要點(diǎn)和關(guān)鍵點(diǎn)，并將其連貫串接起來進(jìn)行訪談。

2 現(xiàn)狀與問題分析

根據(jù)著名的信息安全“水桶理論”，系統(tǒng)中最薄弱的安全環(huán)節(jié)才是最終決定信息系統(tǒng)整體安全防護(hù)的能力。內(nèi)部安全管理不到位往往是致使信息安全事件發(fā)生的真正導(dǎo)火索，也成為當(dāng)前等級(jí)保護(hù)工作中最薄弱的環(huán)節(jié)。只有夯實(shí)管理基礎(chǔ)，重視關(guān)鍵環(huán)節(jié)，將安全管理扎實(shí)地融合和落實(shí)到包括技術(shù)層面在內(nèi)的所有相關(guān)方面中，有效提升整體的安全保障能力，同時(shí)有助于提高信息安全管理測(cè)評(píng)的質(zhì)量和效率。本文主要從信息系統(tǒng)運(yùn)營(yíng)使用單位和測(cè)評(píng)機(jī)構(gòu)的角度對(duì)安全管理測(cè)評(píng)中存在的主要問題進(jìn)行總結(jié)和分析。

2.1 運(yùn)營(yíng)使用單位

對(duì)于信息系統(tǒng)的運(yùn)營(yíng)使用單位而言，主要存在安全管理制度制定不完善和管理制度執(zhí)行不力等問題，在很大程度上影響了信息安全管理測(cè)評(píng)的準(zhǔn)確性和可靠性。

首先，安全管理制度不完善主要體現(xiàn)在制度框架體系的不完善和制度內(nèi)容本身的不全面。一個(gè)完整的管理制度體系應(yīng)包括與決策層、領(lǐng)導(dǎo)層和執(zhí)行層相關(guān)的文檔，然而現(xiàn)實(shí)中信息系統(tǒng)運(yùn)營(yíng)使用單位的執(zhí)行層管理文檔存在較多缺失。制度內(nèi)容本身存在內(nèi)容不全面、針對(duì)性不夠和合理性欠缺等問題，一方面，給管理的落實(shí)和有效執(zhí)行增加了無形的阻礙，另一方面對(duì)管理測(cè)評(píng)中證據(jù)獲取和結(jié)果判定的準(zhǔn)確性造成了一定的影響。

其次，在管理制度執(zhí)行不力的問題中，部分信息系統(tǒng)運(yùn)營(yíng)使用單位沒有嚴(yán)格按照管理制度的要求對(duì)信息系統(tǒng)進(jìn)行運(yùn)維和管理，對(duì)管理制度的執(zhí)行呈現(xiàn)出“三天打魚兩天曬網(wǎng)”的情況，或者是僅落實(shí)了部分制度。對(duì)于整個(gè)信息系統(tǒng)的安全性而言，這種隨意性是一個(gè)不容忽視的管理安全隱患，同時(shí)也給安全管理測(cè)評(píng)證據(jù)的獲取帶來了很大的困難。

2.2 測(cè)評(píng)機(jī)構(gòu)

對(duì)于測(cè)評(píng)機(jī)構(gòu)而言，在安全管理測(cè)評(píng)的實(shí)施過程中，存在的主要難題是直接獲取相關(guān)證據(jù)困難和評(píng)判結(jié)果較難取舍兩個(gè)方面。

在安全管理現(xiàn)場(chǎng)測(cè)評(píng)時(shí)，管理測(cè)評(píng)人員往往會(huì)面臨管理制度不完善、制度執(zhí)行不力、系統(tǒng)建設(shè)開發(fā)人員不在現(xiàn)場(chǎng)和新到崗人員對(duì)系統(tǒng)情況不熟悉等常見情況，又因安全管理測(cè)評(píng)本身具有訪談人員數(shù)量多和測(cè)評(píng)內(nèi)容覆蓋范圍廣等特點(diǎn)，使管理測(cè)評(píng)人員無法直接順利獲取相關(guān)測(cè)評(píng)證據(jù)。同時(shí)，對(duì)于測(cè)評(píng)機(jī)構(gòu)的管理測(cè)評(píng)人員而言，某些評(píng)判結(jié)果較難取舍是實(shí)施管理測(cè)評(píng)時(shí)常常會(huì)遇到的難題。導(dǎo)致這一問題出現(xiàn)的原因主要在于：被測(cè)評(píng)單位未嚴(yán)格按照制度和規(guī)程進(jìn)行管理和操作、管理執(zhí)行中出現(xiàn)“三天打魚兩天曬網(wǎng)”的情況、處于不同地理位置的多信息系統(tǒng)測(cè)評(píng)等。一方面對(duì)管理測(cè)評(píng)的工作效率和工作進(jìn)度造成了影響，另一方面在一定程度上造成管理測(cè)評(píng)結(jié)果的準(zhǔn)確性不夠。

3 方法探討與建議

安全管理測(cè)評(píng)過程是一個(gè)與多方人為因素相關(guān)的綜合體，因此，管理測(cè)評(píng)質(zhì)量的改善和提高需要多方共同、持續(xù)的努力。同時(shí)，安全管理要求的落實(shí)需要以制度、法規(guī)和操作規(guī)程為依托，規(guī)范和約束相關(guān)管理人員自覺并嚴(yán)格按規(guī)章制度執(zhí)行。下面從信息系統(tǒng)運(yùn)營(yíng)使用單位和安全測(cè)評(píng)機(jī)構(gòu)的角度，對(duì)等級(jí)保護(hù)安全管理測(cè)評(píng)工作中面臨的主要問題提供一些解決思路和探討。

3.1 系統(tǒng)運(yùn)營(yíng)使用單位

管理制度的制定為相關(guān)人員提供指導(dǎo)和規(guī)范，將其真正落實(shí)到實(shí)處，而運(yùn)營(yíng)使用單位落實(shí)管理工作是確保管理測(cè)評(píng)人員能夠直接獲得可靠證據(jù)的前提和基礎(chǔ)。為了實(shí)現(xiàn)這一目的，系統(tǒng)運(yùn)營(yíng)使用單位應(yīng)該結(jié)合本單位實(shí)際情況，按照相關(guān)標(biāo)準(zhǔn)要求，制定完善可行、科學(xué)合理的管理制度體系，并嚴(yán)格要求相關(guān)人員遵照?qǐng)?zhí)行。

制度和要求在一定程度上可以增強(qiáng)相關(guān)人員對(duì)管理活動(dòng)的重視程度，卻并不能有效地督促管理活動(dòng)的落實(shí)和執(zhí)行。因此，重要信息系統(tǒng)運(yùn)營(yíng)使用單位應(yīng)當(dāng)將安全管理活動(dòng)的執(zhí)行情況納入到相關(guān)人員的工作考核中，結(jié)合獎(jiǎng)懲制度來督促和落實(shí)相關(guān)管理人員的執(zhí)行力。

3.2 安全測(cè)評(píng)機(jī)構(gòu)

測(cè)評(píng)機(jī)構(gòu)的安全管理測(cè)評(píng)人員直接決定著管理測(cè)評(píng)結(jié)果的準(zhǔn)確性和可靠性，具體表現(xiàn)在測(cè)評(píng)人員的專業(yè)素養(yǎng)和管理測(cè)評(píng)能力上。因此，對(duì)于測(cè)評(píng)機(jī)構(gòu)而言，首先，應(yīng)該制定一套具有針對(duì)性的人員管理測(cè)評(píng)規(guī)范和明確可行的管理測(cè)評(píng)流程以規(guī)范測(cè)評(píng)人員的管理測(cè)評(píng)工作，并在此基礎(chǔ)上注重加強(qiáng)測(cè)評(píng)人員自身的管理、學(xué)習(xí)交流和能力提高。其次，在意識(shí)層面加強(qiáng)和深化相關(guān)人員對(duì)管理測(cè)評(píng)重要性的認(rèn)識(shí)，在安全管理測(cè)評(píng)中樹立和培養(yǎng)科學(xué)嚴(yán)謹(jǐn)?shù)墓ぷ鲬B(tài)度，并注意結(jié)合實(shí)際的管理測(cè)評(píng)工作不斷總結(jié)、積累測(cè)評(píng)經(jīng)驗(yàn)與技巧，逐步改善和提高安全管理測(cè)評(píng)的質(zhì)量。

4 結(jié)語(yǔ)

安全管理測(cè)評(píng)是一個(gè)相對(duì)復(fù)雜又具有一定靈活性的工作，其中涉及了大量與人相關(guān)的活動(dòng)，因此，管理測(cè)評(píng)準(zhǔn)確性、可靠性的進(jìn)一步提高和改善需要通過對(duì)多方共同努力對(duì)人參與的行為進(jìn)行管理和約束。針對(duì)管理測(cè)評(píng)過程中暴露出來的一些問題和難題，應(yīng)當(dāng)從相關(guān)標(biāo)準(zhǔn)、制度規(guī)范的制定和執(zhí)行以及測(cè)評(píng)能力的提高等各層面采取相應(yīng)的措施，有效解決管理測(cè)評(píng)中可能面臨的難題，進(jìn)而從整體上提高安全管理測(cè)評(píng)的質(zhì)量。

作者簡(jiǎn)介：李國(guó)琴（1986— ），女，江蘇南京人，工程師，碩士;研究方向：信息安全。

Study on improving the implementation quality of?information security management evaluation

Li Guoqin

（Jiangsu Electronic Information Products Quality Supervision & Inspection Research Institute（Jiangsu Information Technology Security Evaluation Center）， Wuxi 214073， China）

Abstract：Combined with the practical work in classified evaluation of information security management， characteristics of the management evaluation， existing problems and challenges in the management evaluation are summarized and analyzed in this paper， and corresponding recommendations are proposed so as to draw peoples attention and reflection to information security management evaluation work， and thus improve the accuracy and reliability of the management evaluation in future.

Key words：security management evaluation; classification evaluation; classification protection