信息系统监理与信息安全等级保护测评的协同服务对项目建设的重要性
2023-08-09 06:39俞晟皓
计算机应用文摘·触控 2023年15期
关键词:等级保护
摘 要:信息系统监理服务与等级保护测评是2个相对独立的体系。在大部分项目中,二者独立存在作用于项目实施的不同阶段,关联性和协同性较低,但是二者的结果均支持项目的验收及使用。提高一者的协同性是否会对项目的建设或者验收起到正向的收益,文章将结合二者的特点、工作流程及针对项目建设的各阶段重点工作,对其协同服务的重要性进行讨论。
关键词:信息系统监理:等级保护;协同服务
中图法分类号:TP311文献标识码:A
随着我国信息化建设的发展完善,针对信息系统的使用需求也从之前的“可以用”经“好用”向“安全用”进行转化,各行业使用的信息系统对信息安全性、建设合规性也更加重视。信息系统监理及等级保护测评作为2 项相对独立的信息系统服务,分别可以通过监理和测评项目的建设合规性及使用安全来保证项目的建设及后续运行。但在实际工作中,这2 项相对独立的工作也随着我国对信息系统需求的完善和增加有了更多的联系,而二者的协同工作也变得更加重要。
1 信息系统监理工作
监理作为独立的第三方,承担了项目建设过程中的监督管理工作,以保障项目合规、有序、高效地建设;以项目验收及审计留存完整的证据链及标准规范流程为工作重点,应用专业的业务及技术知识为业主提供服务。在项目的各个阶段中,监理担任了有效识别、规避项目风险、确保项目实现目标的责任。信息系统监理服务主要内容为“四控、三管、一协调”,通过对项目质量、进度、投资和变更的科学控制,保证信息化项目健康執行。在项目实施的各个阶段,监理服务贯穿始终,并配合项目顺利完成验收。现实中,监理服务主要体现在现场协调功能上,在施工进度、变更、质量、设备等方面,监理的协调能力很大程度上能推进项目进展,并将项目进程、质量稳定在相对合理的轨道上。其中与协同服务相关的也正是监理的协调职能。
2 等级保护测评工作
网络安全等级保护是指对国家重要信息、法人和其他组织及公民的专有信息及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。网络安全等级保护工作包括定级、备案、安全建设整改、等级测评和安全检查5 个主要环节,等级测评是其中核心内容。根据《信息安全等级保护管理办法》第十四条,信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。通过测评,运营、使用单位或者其主管部门可以对信息系统安全防范管理体系的能力进行剖析与确定,并找出存有的安全风险,从而合理提高信息系统的安全防护水准。
3 协同服务的可行性
随着国家对信息安全的重视,目前大多数项目将通过相应级别的等级保护测评视为项目验收通过的基础,但在实际建设中,测评工作的准备仍然独立于项目建设之外,没有合适的联动或提前准备,在项目建设完成后,测评要求与建设情况会存在较大差异,导致项目延期或验收困难。监理工作内容及手段大多针对项目建设过程中所发生或产生的系统、文档、记录等产物,而测评往往在项目建设完成后,根据测评标准对项目建设完成部分进行整改,产出的产品也包括相应的系统、文档、记录等。由此可见,信息系统监理和等级保护测评2 项工作可以具有一定的协同性,测评工作提前介入协调,可以保证更快地进行最后的测评工作,并在工作上对监理服务进行正向的帮助。
区别于监理服务,其测评有确定的评判标准,针对系统的安全性、制度的完整性有明确的要求,导致大多数情况下,测评工作开展时,大部分系统已完成,开发过程记录、相关策略及管理制度已成型,但是部分不符合相关测评标准。比如,根据GB/ T22239《信息安全技术网络安全等级保护基本要求》和GB/T28448《信息安全技术网络安全等级保护测评要求》中对安全管理制度的要求,“应制定网络安全工作的总体方针和安全策略,阐明机构安全工作的总体目标、范围、原则和安全框架等”。该项要求会对系统整体需求产生影响,后期系统建设进入测试阶段,整体框架已完成开发,若这项基本需求不符合规定,则影响部分功能,将对系统验收工作产生影响。相对应的,若在项目的设计阶段或前期需求确认阶段,监理在提供监理服务的同时,协调测评单位提前对该部分要求进行培训整理,将等保测评要求渗透入相关的需求中,项目后期的测评验收工作效率将得到提升,所以协同服务可以对测评工作产生积极的影响,更进一步推进项目验收上线。
从监理角度来说,测评工作介入时间靠后,后续根据测评要求,会增加项目变更风险,会对监理变更控制、成本控制、文档管理等工作带来更多挑战,不利于项目的执行。例如,根据测评中对管理制度的要求,对应的管理制度应在项目试运行时执行工作,若由测评工作指出并修改,则试运行期间的信息安全将得不到保障,项目的风险会增强。所以,测评的协同监理工作,在项目前期设计阶段或需求确认阶段开始,将对项目整体开发中的需求确认、制度制定、开发情况、信息安全等存在正向帮助。在监理过程中,可以将测评要求作为监理依据,对项目进行管理,测评部分也可以通过监理的协调工作对相应制度、机构、人员、设备提出相应要求,从而简化安全建设整改阶段的工作,优化系统全生命周期的建设。
4 协同服务的必要性
在项目建设过程中,信息化监理服务和等级保护测评工作的协同服务不仅可以在项目各阶段对项目的实施进行优化,也可以对项目建设过程中的信息安全进行保障。
信息化监理服务和等级保护测评工作的协同服务在项目前期的方案制定和需求确认阶段除了制定系统的业务需求、流程需求,也将参考后续测评工作要求,提前对测评工作所需的资料、制度、机构、人员、设备安全等做出反应和协调,达到协同优化的目的。项目建设过程中的前期,项目组的工作重心集中在整体方案设计和需求确认等方向性的工作上,主要的成果为《工程实施方案》《项目需求说明书》等,用于后期监理工作依据的标志性文档,对于后续的监理工作起到决定性的作用。在此阶段,信息化监理服务和等级保护测评工作的协同服务显得尤为重要。根据GB/ T22239《信息安全技术网络安全等级保护基本要求》和GB/ T28448《信息安全技术网络安全等级保护测评要求》,其中,安全管理制度、安全管理机构、安全人员管理、安全建设管理、安全运维管理的要求均可以作为该阶段成果的依据,根据系统评级,针对其等级相对应的要求对安全策略、管理制度、岗位设置、人员配备、人员流动等部分进行整体性、宏观的决策,并以监理依据的方式融入项目开发实施过程中。这样,既可以避免后续因不符合相应等级要求而进行系统调整的情况,也为监理提供颗粒度更小,更精准的标准来保证项目的正常进行。另一方面,从测评的角度来看,在测评的5 大主要环节中,定级决定了系统在等保测评中所需要符合的标准,需要备案项目建设的实际情况,测评和整改的内容涉及项目的整个生命周期,安全检查是针对项目整体的保障,从这些要求看,协同监理可以从项目过程文档、变更情况、成本控制等方面,结合监理的协调能力,保证对应等级的等保要求更好地在项目中执行、深化、贯彻落实,提升测评的通过率[1~2] 。
在项目建设过程中,除了施工情况,信息安全也是项目开发实施过程中不可避免的关键性问题,其中业务信息安全和系统服务安全则是测评工作中比较重要的评价条目,而监理工作中的信息系统信息管理和信息系统安全管理也都在说明信息安全在项目开发实施中的重要性。系统信息安全是指系统内不同账户之间的信息安全,主要表现在系统中用户角色的区分及权限的分立,通俗地讲就是不同权限的用户账号密码区分使用。不同账号对应的用户不同,其使用权限也不相同,这中间若混用,其结果造成对公民、法人、其他组织权益、社会秩序、公共利益、国家安全损害的严重程度是评定等级保护等级的重要标准之一。针对监理而言,这部分主要体现在需求说明阶段,需要明确各职级人员权限,确认管理员账号使用要求及规范,确定三员权限保证分立,以保证系统最终呈现情况符合等级保护要求。系统服务安全是指系统停止服务或设备停机对公民、法人、其他组织权益、社会秩序、公共利益、国家安全的影响,其严重程度是另一个测评标准。监理层面,确认相关设备参数的合理性是监理在方案制定阶段和设备开箱及变更阶段的重要工作之一,而该部分所保留的证据、参考依据、文档资料,很大程度上能佐证相关设备是否符合用户使用需求及相关标准。而在项目开发实施阶段中,各个应用的安装开发及安装人员操作时的旁站工作也是确保该部分安全的重要保障手段之一。由此可见,信息系统监理服务和等级保护测评的协同服务在很大程度上通过对监理过程中标准的确认或对用户需求的提升来协助管理相关开发工作,并保证项目开发实施过程中信息、用户数据的安全。二者的协同服务无论针对项目本身,还是监理工作顺利进行或是测评工作通过率,都存在正向的推进能力。
5 讨论反思
在实际项目建设过程中,监理在设计阶段的职能以可行性审核为主,在确保用户需求的前提下,对项目方案设计进行审核并提出建议,虽然目前监理工作中涉及的测评知识及测评相关条例也是监理工程师所需要的知识储备之一,但就服务对象而言,監理以项目成果物顺利交付为最终目的,而测评工程师仅考虑项目对应条目是否符合测评要求,监理相较于测评更加需要考虑全局。对于监理而言,测评工作过晚介入项目,会提高项目后期的变更风险,导致不必要的人力、成本支出和时间消耗。所以尽早通过监理和测评的协同服务,对项目开发实施过程进行全局地把控和推进,是对项目起到正向作用的好方法之一。对于测评而言,工作本身以项目安全性为主体,将测评标准融入项目建设过程,可以更好地对项目安全性进行评价、测试,并可以通过配合监理工作,确保在后续测评、备案期间对项目信息的了解更加全面,从而更好地掌握系统,方便后续测评、整改工作。
6 结束语
信息系统监理服务和等级保护测评的协同服务可以在一定程度上提高项目前期准备阶段、设计阶段的工作精度,帮助用户及开发人员更好地确认项目需求,明确项目开发中及项目完成后的使用制度,也可以进一步协助用户提高对项目的掌控力。
参考文献:
[1] 林扬阳,谢文洁,庄林楷,等.初探信息化维护项目监理管理模式[J].电子技术与软件工程,2014(22):244?246+262.
[2] 杨春,徐玮.信息化项目中信息系统的监理作用研究[J],花炮科技与市场,2019(4):118?119.
作者简介:
俞晟皓( 1994—), 本科, 工程师, 研究方向: 信息系统监理。
猜你喜欢
电脑知识与技术(2017年3期)2017-03-27
中国教育信息化·高教职教(2017年1期)2017-02-18
数字技术与应用(2016年9期)2016-11-09
软件导刊(2016年9期)2016-11-07
电脑知识与技术(2016年21期)2016-10-18
科技视界(2016年10期)2016-04-26
无线互联科技(2015年5期)2016-03-04
中国教育信息化·高教职教(2015年11期)2016-01-06
