摘 要：結(jié)合信息系統(tǒng)安全等級保護管理測評中的實際工作經(jīng)驗，文章總結(jié)和分析了信息系統(tǒng)安全等級保護中管理測評工作的特點以及目前在管理測評工作中存在的一些問題和難題，并提出建議，以期引起相關(guān)人員對管理測評工作的重視和思考，在后續(xù)工作中能夠不斷提高管理測評的準確性和可靠性。

關(guān)鍵詞：安全管理測評;等級測評;等級保護

2003年9月，中共中央辦公廳、國務(wù)院辦公廳轉(zhuǎn)發(fā)的《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》（中辦發(fā)〔2003〕27號），明確提出了“立足國情，以我為主，堅持技術(shù)管理并重”的信息安全管理方針。技術(shù)和管理并重，是信息安全保障工作的基本要求?！缎畔踩夹g(shù)、網(wǎng)絡(luò)安全等級保護基本要求》（GB/T 22239-2019）中明確規(guī)定了不同安全等級保護信息系統(tǒng)的安全管理保護要求，主要涵蓋安全管理機構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理5大方面的內(nèi)容。

隨著等級保護工作的持續(xù)推進和廣泛開展，等級測評工作形成了一套完善、成熟的管理和技術(shù)測評體系。如何在現(xiàn)有成果的基礎(chǔ)上，進一步完善我國的等級保護制度，深入優(yōu)化信息安全等級保護工作成效，是一個值得關(guān)注的問題。結(jié)合等級保護管理測評工作中的具體實踐，本文對安全管理測評過程中存在的若干問題進行了總結(jié)和探討，希望能夠引起相關(guān)讀者的重視和思考。

1 管理測評特點

1.1 訪談人員角色多

根據(jù)管理測評不同安全層面的具體需求，為了盡可能準確、可靠地收集和獲得相關(guān)測評證據(jù)，需要與不同的管理員角色進行溝通和交流。在安全管理測評過程中需要訪談的對象幾乎涵蓋了與安全活動相關(guān)的決策層、領(lǐng)導(dǎo)層和執(zhí)行層人員，不同安全管理測評層面需要訪談的人員角色主要包括系統(tǒng)運維負責(zé)人、安全主管、資產(chǎn)管理員、安全審計員、機房管理員、網(wǎng)絡(luò)管理員、安全管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員等。

1.2 測評覆蓋范圍廣

一方面，安全管理測評同時涵蓋了物理、網(wǎng)絡(luò)、主機、應(yīng)用、數(shù)據(jù)庫等方面的內(nèi)容。另一方面，除了涉及管理機構(gòu)、制度、人員、系統(tǒng)建設(shè)和運維等方面內(nèi)容外，某些指標的合規(guī)性判定還需要結(jié)合安全技術(shù)測評結(jié)果中的相關(guān)內(nèi)容。因此，無論從管理測評實施涉及的內(nèi)容來看，還是從測評過程中需要配合的人員數(shù)量來看，安全管理測評的范圍都表現(xiàn)出一定的廣泛性和全面性。

1.3 測評技巧性強

鑒于安全管理測評訪談人員數(shù)量多和測評覆蓋范圍廣的特點，安全管理測評需要講究測評方式方法的技巧性。安全管理測評通常是在測評人員對各類管理文檔進行收集與查看的基礎(chǔ)上直接獲取證據(jù)，并做出符合性判斷，針對不確定的指標項，進一步訪談相關(guān)人員，獲取測評證據(jù)。當(dāng)無法直接獲取測評證據(jù)而不得不進行大量的人員訪談時，為了提高安全管理測評實施的效率和規(guī)范性，需要抓住各安全層面測評指標中的要點和關(guān)鍵點，并將其連貫串接起來進行訪談。

2 現(xiàn)狀與問題分析

根據(jù)著名的信息安全“水桶理論”，系統(tǒng)中最薄弱的安全環(huán)節(jié)才是最終決定信息系統(tǒng)整體安全防護的能力。內(nèi)部安全管理不到位往往是致使信息安全事件發(fā)生的真正導(dǎo)火索，也成為當(dāng)前等級保護工作中最薄弱的環(huán)節(jié)。只有夯實管理基礎(chǔ)，重視關(guān)鍵環(huán)節(jié)，將安全管理扎實地融合和落實到包括技術(shù)層面在內(nèi)的所有相關(guān)方面中，有效提升整體的安全保障能力，同時有助于提高信息安全管理測評的質(zhì)量和效率。本文主要從信息系統(tǒng)運營使用單位和測評機構(gòu)的角度對安全管理測評中存在的主要問題進行總結(jié)和分析。

2.1 運營使用單位

對于信息系統(tǒng)的運營使用單位而言，主要存在安全管理制度制定不完善和管理制度執(zhí)行不力等問題，在很大程度上影響了信息安全管理測評的準確性和可靠性。

首先，安全管理制度不完善主要體現(xiàn)在制度框架體系的不完善和制度內(nèi)容本身的不全面。一個完整的管理制度體系應(yīng)包括與決策層、領(lǐng)導(dǎo)層和執(zhí)行層相關(guān)的文檔，然而現(xiàn)實中信息系統(tǒng)運營使用單位的執(zhí)行層管理文檔存在較多缺失。制度內(nèi)容本身存在內(nèi)容不全面、針對性不夠和合理性欠缺等問題，一方面，給管理的落實和有效執(zhí)行增加了無形的阻礙，另一方面對管理測評中證據(jù)獲取和結(jié)果判定的準確性造成了一定的影響。

其次，在管理制度執(zhí)行不力的問題中，部分信息系統(tǒng)運營使用單位沒有嚴格按照管理制度的要求對信息系統(tǒng)進行運維和管理，對管理制度的執(zhí)行呈現(xiàn)出“三天打魚兩天曬網(wǎng)”的情況，或者是僅落實了部分制度。對于整個信息系統(tǒng)的安全性而言，這種隨意性是一個不容忽視的管理安全隱患，同時也給安全管理測評證據(jù)的獲取帶來了很大的困難。

2.2 測評機構(gòu)

對于測評機構(gòu)而言，在安全管理測評的實施過程中，存在的主要難題是直接獲取相關(guān)證據(jù)困難和評判結(jié)果較難取舍兩個方面。

在安全管理現(xiàn)場測評時，管理測評人員往往會面臨管理制度不完善、制度執(zhí)行不力、系統(tǒng)建設(shè)開發(fā)人員不在現(xiàn)場和新到崗人員對系統(tǒng)情況不熟悉等常見情況，又因安全管理測評本身具有訪談人員數(shù)量多和測評內(nèi)容覆蓋范圍廣等特點，使管理測評人員無法直接順利獲取相關(guān)測評證據(jù)。同時，對于測評機構(gòu)的管理測評人員而言，某些評判結(jié)果較難取舍是實施管理測評時常常會遇到的難題。導(dǎo)致這一問題出現(xiàn)的原因主要在于：被測評單位未嚴格按照制度和規(guī)程進行管理和操作、管理執(zhí)行中出現(xiàn)“三天打魚兩天曬網(wǎng)”的情況、處于不同地理位置的多信息系統(tǒng)測評等。一方面對管理測評的工作效率和工作進度造成了影響，另一方面在一定程度上造成管理測評結(jié)果的準確性不夠。

3 方法探討與建議

安全管理測評過程是一個與多方人為因素相關(guān)的綜合體，因此，管理測評質(zhì)量的改善和提高需要多方共同、持續(xù)的努力。同時，安全管理要求的落實需要以制度、法規(guī)和操作規(guī)程為依托，規(guī)范和約束相關(guān)管理人員自覺并嚴格按規(guī)章制度執(zhí)行。下面從信息系統(tǒng)運營使用單位和安全測評機構(gòu)的角度，對等級保護安全管理測評工作中面臨的主要問題提供一些解決思路和探討。

3.1 系統(tǒng)運營使用單位

管理制度的制定為相關(guān)人員提供指導(dǎo)和規(guī)范，將其真正落實到實處，而運營使用單位落實管理工作是確保管理測評人員能夠直接獲得可靠證據(jù)的前提和基礎(chǔ)。為了實現(xiàn)這一目的，系統(tǒng)運營使用單位應(yīng)該結(jié)合本單位實際情況，按照相關(guān)標準要求，制定完善可行、科學(xué)合理的管理制度體系，并嚴格要求相關(guān)人員遵照執(zhí)行。

制度和要求在一定程度上可以增強相關(guān)人員對管理活動的重視程度，卻并不能有效地督促管理活動的落實和執(zhí)行。因此，重要信息系統(tǒng)運營使用單位應(yīng)當(dāng)將安全管理活動的執(zhí)行情況納入到相關(guān)人員的工作考核中，結(jié)合獎懲制度來督促和落實相關(guān)管理人員的執(zhí)行力。

3.2 安全測評機構(gòu)

測評機構(gòu)的安全管理測評人員直接決定著管理測評結(jié)果的準確性和可靠性，具體表現(xiàn)在測評人員的專業(yè)素養(yǎng)和管理測評能力上。因此，對于測評機構(gòu)而言，首先，應(yīng)該制定一套具有針對性的人員管理測評規(guī)范和明確可行的管理測評流程以規(guī)范測評人員的管理測評工作，并在此基礎(chǔ)上注重加強測評人員自身的管理、學(xué)習(xí)交流和能力提高。其次，在意識層面加強和深化相關(guān)人員對管理測評重要性的認識，在安全管理測評中樹立和培養(yǎng)科學(xué)嚴謹?shù)墓ぷ鲬B(tài)度，并注意結(jié)合實際的管理測評工作不斷總結(jié)、積累測評經(jīng)驗與技巧，逐步改善和提高安全管理測評的質(zhì)量。

4 結(jié)語

安全管理測評是一個相對復(fù)雜又具有一定靈活性的工作，其中涉及了大量與人相關(guān)的活動，因此，管理測評準確性、可靠性的進一步提高和改善需要通過對多方共同努力對人參與的行為進行管理和約束。針對管理測評過程中暴露出來的一些問題和難題，應(yīng)當(dāng)從相關(guān)標準、制度規(guī)范的制定和執(zhí)行以及測評能力的提高等各層面采取相應(yīng)的措施，有效解決管理測評中可能面臨的難題，進而從整體上提高安全管理測評的質(zhì)量。

作者簡介：李國琴（1986— ），女，江蘇南京人，工程師，碩士;研究方向：信息安全。

Study on improving the implementation quality of?information security management evaluation

Li Guoqin

（Jiangsu Electronic Information Products Quality Supervision & Inspection Research Institute（Jiangsu Information Technology Security Evaluation Center）， Wuxi 214073， China）

Abstract：Combined with the practical work in classified evaluation of information security management， characteristics of the management evaluation， existing problems and challenges in the management evaluation are summarized and analyzed in this paper， and corresponding recommendations are proposed so as to draw peoples attention and reflection to information security management evaluation work， and thus improve the accuracy and reliability of the management evaluation in future.

Key words：security management evaluation; classification evaluation; classification protection