办公信息系统安全相关标准解读

谢宗晓 董坤祥 甄杰

关于办公信息系统的3项标准，GB/ T 37094—2018《信息安全技术 办公信息系统安全管理要求》、GB/ T 37095—2018《信息安全技术 办公信息系统安全基本技术要求》和GB/ T 37096—2018《信息安全技术 办公信息系统安全测试规范》发布于2018年12月28日，将于2019年7月1日正式实施。

其中，GB/ T 37095—2018中定义了办公信息系统的概念：

由服务器、桌面PC、操作系统、数据库管理系统、应用服务器中间件、办公软件、网络设施、应用软件系统等软硬件组成，通过数据的收集、存储、传递、管理和处理等手段，提供办公服务的信息系统。

这个定义比较宽泛，实际情况是，这3项标准，主要针对党政部门的办公信息系统，这在标准的范围中进行了说明。

1 办公信息系统安全管理要求

GB/ T 37094—2018正文共有4章，前3章为标准通用条款，第4章给出了办公信息系统的建设管理、系统运维管理、制度管理和外包管理方面的要求。

建设管理中描述了一个信息系统获取/开发的过程，具体如图1所示。

建设管理中包括了方案设计、产品采购和使用、软件开发、工程实施、测试验收和系统交付，最后单独提出了供应商选择。如果将上述过程更简化一些，实际就是设计、采购、实施直至交付。

系统运维管理呈现的不是一个流程，而是分为不同的控制，这类似于GB/ T 22081—2016（ISO/IEC 27002：2013，IDT）《信息技术 安全技术 信息安全控制实践指南》等常见标准的控制域或控制（controls）。具体如图2所示。

接下来是制度管理，包括管理制度、管理机构和人员管理。这个分类与GB/T 22081—2016（IDL）存在一定的差异，但是就具体控制而言，都是保持相互兼容的。

最后讨论的是外包管理，没有给出详细要求，而是直接引用了GB/T 32926—2016《信息安全技术 政府部门信息技术服务外包信息安全管理規范》。

2 办公信息系统安全基本技术要求

GB/ T 37095—2018共有6章，前3章为标准通用条款，第4章为缩略语，第5章为基本原则，在第6章中，对办公信息系统部署和运维的物理环境提出了要求，并对办公信息系统的重要组成部分，包括基础软硬件产品、网络设施、应用软件提出了要求，这与“办公信息系统”的定义实际是一一对应的。

GB/ T 37095—2018的要求实际是一个标准索引，由于其中涉及的绝大部分安全要求（例如，通用要求）在其他标准中都已经有了，办公信息系统应按照GB/ T 22239—20081）《信息安全技术 信息系统安全等级保护基本要求》的第三级及以上要求进行设计、建设和运维。

整理之后的安全要求索引如表1所示。

3 办公信息系统安全测试规范

GB/ T 37096—2018是GB/T 37095—2018的配套标准，用以指导测试人员对办公信息系统安全进行测试。该标准正文共有9章，前3章为标准通用内容，第4章为缩略语，第5章至第9章，按照GB/T 37095—2018关于办公信息系统安全基本技术要求，分别从物理环境、基础硬件产品、基础软件产品、网络设施和应用软件系统5个方面规定了办公信息系统安全测试规范。

GB/ T 37096—2018与GB/ T 37095—2018相似，也是一个标准索引的结构，以第5章“物理环境测试”为例，其中测试内容为：测试办公信息系统部署、运维的物理环境中机房的建设是否符合GB/ T 2887—2011的要求、物理环境是否符合GB/ T 21052—2007的要求。对应的测试项和测试方法，如表2所示。

当然，不是所有的安全域都能够采用表2所示的索引办法，直接要求提交已有的证明材料，但是最大化地与现有标准形成兼容，降低用户的合规负担，是标准整合的要求，也是以后监管的主要方向。

4 小结

虽然关于办公信息系统的3项标准——

GB/T 37094—2018、GB/T 37095—2018和GB/T 37096—2018的正文中，对其他国家标准存在诸多引用，但是其发布仍然有很大的意义，例如，这为党政部门办公信息系统的建设、运维、外包、软硬件采购、测试和部署等各个环节提供了整合的依据和指南。

（注：本文仅做学术探讨，与作者所在单位观点无关）