信息安全等级保护测评工作质量管理与实践

2021-02-18 02:17麦卓群
科学与生活 2021年30期

麦卓群

摘要:信息安全等级保障机制是当前信息安全保护工作的基础机制,怎样更好地实施分级保障工作,发挥评估机构的科技资源优势,是当前面临的一项重大课题。本文对测评组织怎样在等级保护管理工作中起到更大的作用,更好地促进等级保护管理工作的发展,提供了一点思考与看法。

关键词:信息安全等级保护;测评工作;质量管理与实践

引言

信息安全等级测评作为开展安全建设和整改的依据,是等级保护工作的关键步骤之一,加强测评工作质量保障、测评机构安全保密、测评人员安全的管理体系,积极稳妥的进行安全等级评估系统构建,进一步提升评估的能力和管理水平,发挥测评机构的安全技术保障功能,进行评估组织能力建设研究与标准化管理工作,为级别保护管理工作提供一支可靠的专业技术保障能力,有现实意义。

一、信息安全等级保护测评中应关注的问题

(1)严格备案,科学定级

注重于信息系统方面的运营,对应测评单位还必须针对实际的系统等级状况,制定相应的技术规范规定以及相应的规范与管理准则,进而明确细化了信息系统方面的安全等级。针对重要的信息数据系统,在其使用与运营等方面更必须经过专门委员会的审核。而在此基础上,才可以更好地进行大数据信息安全级别的具体考核工作,从而可以确保较为完整的定级科学性,也确保了备案工作的进行与发展都可以较为科学,保持在正常状态。

(2)整改建设,落实措施

针对现有的大数据信息系统产品来说,在其应用与运营管理方面也必须确保产品安全,并切实完善技术安全措施的技术规范和标准规范。在产品购买和使用的过程中,必须选择相应的产品信息安全标准。而针对整改工作来说,则必须确保所有相关的安全措施都能够保持完好状态,使所有整治工作和建设工作都能够保持在顺利状态,以此来保证各项举措的科学性和可靠性。

(3)落实要求,自查自纠

数据信息系统化方面的使用与运营工作,必须对按照其主管部门所制定的技术规范以及相关的管理标准,对进行等级防护建设工作的系统进行定期的状况评价检测,以较为有效地减少遗漏与安全隐患,及时发现问题并进行修复,从而持续不断地提升安全防护管理水平。在此基础上,积极开展自查和自纠活动,保证工作能够落实到位,从基础上保证安全信息等级的处理能够更加到位。

二、等级保护宣传推广

信息安全等级保护制度是我国信息安全保障工作的基本制度、基本国策,是政府进行安全管理工作的基本办法,也是推进信息化、保障国家安全、社会稳定与人民公共利益的基础保证。公安部门是等级保护管理工作的最高主管机关,负责督促、检查、指导安全等级保护管理工作;信息系统运营使用单位,负责进行信息系统定级、审批、建设整改、等级评估、自查等管理工作,并严格执行等级防护管理体系的各项规定;信息安全评估机构进行技术支持、咨询服务等管理工作,并接受国家监管部门的监督管理。安全等级防护管理工作已在我国实施了多年,但是仍有很多基层网安人员及信息系统运营单位人员不清楚如何开展等级保护工作,对等级保护工作的实施步骤和关键环节缺乏了解。针对以上情况,测评机构可以通过编写等级保护工作流程图、工作流程说明文件,对定级、备案、建设整改、安全测评及监督检查等工作流程进行了详细说明,并明确了各阶段公安机关、信息系统使用单位及测评机构的工作内容以及需要填写和提交的资料,使等级保护工作内容一目了然。测评机构还可以通过建设等级保护相关的培訓网站等形式加强等级保护工作的宣传力度,在等保网站发布国内、省内等级保护最新工作动态,提供最新政策、法规、标准,录制等级保护培训视频讲座供在线学习。测评机构还可以开通等级保护热线服务电话,安排测评机构工程师解答基层单位在开展等级保护工作中遇到的问题。通过建立网安、政府信息系统、各行业参加等级保护群,方便与各行业之间的联系。

三、加强商用密码和数字证书的安全管理和测评

测评机构之间存在低价恶性竞争情况,低价恶性竞争同时也会导致测评质量的下降,这对测评市场的发展及测评工作的开展极其不利,建议加强对测评机构的监督,避免存在恶意竞争的行为,树立测评机构的良好形象。主管机关应加强等级测评机构的管理,尽快提出等级测评价格参考规范,以便规范测评机构、测评人员和测评行为。目前有大量的信息系统是托管第三方的数据中心,物理环境、部分的网络环境甚至主机系统的维护由第三方的数据中心负责。在测评过程中,第三方的数据中心出于安全的考虑,不向测评机构提供资料和配合测评,部分测评工作无法完成。这类问题是普遍存在的现象,建议由公安机关进行协调,制定数据中心在物理安全、网络安全方面的安全技术和管理的基线要求,要求所有提供第三方服务的数据中心首先达到基本要求并通过测评。除此之外,信息系统运营、使用单位采用商用密码进行等级保护的,信息系统安全等级防护中密钥的设置、应用与管理等,将严格按照相关规范与技术标准实施。各种级别均有对不同的应用密码技术的需求,要按照使用要求和安全防护级别制定密钥选择策略,并针对所需要的密钥服务保障功能选择适当的密钥算法及其密码产品,所选择的密钥算法、密钥、密钥协议功能以及密码产品,都应当通过国家密钥监督管理机关审核。在建设信息系统中要同时规划建立满足等级需求的安全基础设施(含密码设施),制定并落实相应安全保护等级要求的密码使用管理制度,用数字证书建立身份认证、授权管理、责任认定等信息安全保障机制。按照适用的密码管理规定和相关标准,加强商用密码和数字证书的安全管理和测评。信息安全等级保护测评报告编制完成后,测评机构应对测评报告内容、风险分析过程和测评结论,组织等级保护专家开展评审,确保测评报告质量。

四、公安机关的监管与协调

目前,在国家和公安部发布的政策、法规中,还没有针对等级保护测评机构的详细的管理办法,对于等级保护测评市场没有相应的规范文件,对不按要求开展等级保护工作的测评机构也没有相关约束惩罚措施。公安机关还可考虑通过制定相应的政策、规范对等级保护评估市场加以规范,并对等级保护评估机构的经营活动加以监督管理,确保评估机构在等级保护管理工作中起到更大的支持作用。分级评估机构是实施分级保护项目的关键科技力量,公安机关要继续加强对评估机构、测评人员和评估活动的监督管理,稳步推动分级评估组织建立,进一步规范评估活动,提升评估机构、测评人员的科技创新能力与管理水平,发挥评估机构的科技资源优势,积极引导评估机构参与分级保护项目技术培训和咨询服务,积极配合基层网安机构审查定级项目备案资料,积极参与网络安全建设整治工作,为等保项目提供科技保障,保证等级保护工作的顺利开展。

结束语:信息安全等级测评工作,是一个长期性的工作,发挥评估机构等级保障政策研究和专门技术知识方面的学科优势,通过指导企业应用信息系统进一步加强对等级防护的保障力度,引导评估机构进一步完善评估理论研究成果,为等级保障工作提供更强大的技术保障,促进了国家安全保障体系的建立。

参考文献:

[1]谢宝建.信息安全等级保护测评工作质量管理与实践[C]. //第二届全国信息安全等级保护技术大会论文集. 2013:279-282.

[2]谢宝建. 信息安全等级保护测评工作质量管理与实践[C]. //第二届全国信息安全等级保护技术大会会议论文集. 2013.

[3]张文勇,李维华,唐作其. 信息安全等级保护测评中网络安全现场测评方法研究[J]. 电子科学技术,2016,3(3):272-276. DOI:10.16453/j.issn.2095-8595.2016.03.019.

[4]王坤,宋红波,胡景瑞. 电子政务系统信息安全等级保护测评工作实践?[J]. 信息安全与通信保密,2015(12):116-119,123. DOI:10.3969/j.issn.1009-8054.2015.12.068.

[5]王智,王大萌,刘兆东. 等级保护测评中的风险质量定性分析研究[J]. 信息技术,2014(10):185-187.