信息安全等級保護測評工作質量管理與實踐

麥卓群

摘要：信息安全等級保障機制是當前信息安全保護工作的基礎機制，怎樣更好地實施分級保障工作，發揮評估機構的科技資源優勢，是當前面臨的一項重大課題。本文對測評組織怎樣在等級保護管理工作中起到更大的作用，更好地促進等級保護管理工作的發展，提供了一點思考與看法。

關鍵詞：信息安全等級保護;測評工作;質量管理與實踐

引言

信息安全等級測評作為開展安全建設和整改的依據，是等級保護工作的關鍵步驟之一，加強測評工作質量保障、測評機構安全保密、測評人員安全的管理體系，積極穩妥的進行安全等級評估系統構建，進一步提升評估的能力和管理水平，發揮測評機構的安全技術保障功能，進行評估組織能力建設研究與標準化管理工作，為級別保護管理工作提供一支可靠的專業技術保障能力，有現實意義。

一、信息安全等級保護測評中應關注的問題

（1）嚴格備案，科學定級

注重于信息系統方面的運營，對應測評單位還必須針對實際的系統等級狀況，制定相應的技術規范規定以及相應的規范與管理準則，進而明確細化了信息系統方面的安全等級。針對重要的信息數據系統，在其使用與運營等方面更必須經過專門委員會的審核。而在此基礎上，才可以更好地進行大數據信息安全級別的具體考核工作，從而可以確保較為完整的定級科學性，也確保了備案工作的進行與發展都可以較為科學，保持在正常狀態。

（2）整改建設，落實措施

針對現有的大數據信息系統產品來說，在其應用與運營管理方面也必須確保產品安全，并切實完善技術安全措施的技術規范和標準規范。在產品購買和使用的過程中，必須選擇相應的產品信息安全標準。而針對整改工作來說，則必須確保所有相關的安全措施都能夠保持完好狀態，使所有整治工作和建設工作都能夠保持在順利狀態，以此來保證各項舉措的科學性和可靠性。

（3）落實要求，自查自糾

數據信息系統化方面的使用與運營工作，必須對按照其主管部門所制定的技術規范以及相關的管理標準，對進行等級防護建設工作的系統進行定期的狀況評價檢測，以較為有效地減少遺漏與安全隱患，及時發現問題并進行修復，從而持續不斷地提升安全防護管理水平。在此基礎上，積極開展自查和自糾活動，保證工作能夠落實到位，從基礎上保證安全信息等級的處理能夠更加到位。

二、等級保護宣傳推廣

信息安全等級保護制度是我國信息安全保障工作的基本制度、基本國策，是政府進行安全管理工作的基本辦法，也是推進信息化、保障國家安全、社會穩定與人民公共利益的基礎保證。公安部門是等級保護管理工作的最高主管機關，負責督促、檢查、指導安全等級保護管理工作;信息系統運營使用單位，負責進行信息系統定級、審批、建設整改、等級評估、自查等管理工作，并嚴格執行等級防護管理體系的各項規定;信息安全評估機構進行技術支持、咨詢服務等管理工作，并接受國家監管部門的監督管理。安全等級防護管理工作已在我國實施了多年，但是仍有很多基層網安人員及信息系統運營單位人員不清楚如何開展等級保護工作，對等級保護工作的實施步驟和關鍵環節缺乏了解。針對以上情況，測評機構可以通過編寫等級保護工作流程圖、工作流程說明文件，對定級、備案、建設整改、安全測評及監督檢查等工作流程進行了詳細說明，并明確了各階段公安機關、信息系統使用單位及測評機構的工作內容以及需要填寫和提交的資料，使等級保護工作內容一目了然。測評機構還可以通過建設等級保護相關的培訓網站等形式加強等級保護工作的宣傳力度，在等保網站發布國內、省內等級保護最新工作動態，提供最新政策、法規、標準，錄制等級保護培訓視頻講座供在線學習。測評機構還可以開通等級保護熱線服務電話，安排測評機構工程師解答基層單位在開展等級保護工作中遇到的問題。通過建立網安、政府信息系統、各行業參加等級保護群，方便與各行業之間的聯系。

三、加強商用密碼和數字證書的安全管理和測評

測評機構之間存在低價惡性競爭情況，低價惡性競爭同時也會導致測評質量的下降，這對測評市場的發展及測評工作的開展極其不利，建議加強對測評機構的監督，避免存在惡意競爭的行為，樹立測評機構的良好形象。主管機關應加強等級測評機構的管理，盡快提出等級測評價格參考規范，以便規范測評機構、測評人員和測評行為。目前有大量的信息系統是托管第三方的數據中心，物理環境、部分的網絡環境甚至主機系統的維護由第三方的數據中心負責。在測評過程中，第三方的數據中心出于安全的考慮，不向測評機構提供資料和配合測評，部分測評工作無法完成。這類問題是普遍存在的現象，建議由公安機關進行協調，制定數據中心在物理安全、網絡安全方面的安全技術和管理的基線要求，要求所有提供第三方服務的數據中心首先達到基本要求并通過測評。除此之外，信息系統運營、使用單位采用商用密碼進行等級保護的，信息系統安全等級防護中密鑰的設置、應用與管理等，將嚴格按照相關規范與技術標準實施。各種級別均有對不同的應用密碼技術的需求，要按照使用要求和安全防護級別制定密鑰選擇策略，并針對所需要的密鑰服務保障功能選擇適當的密鑰算法及其密碼產品，所選擇的密鑰算法、密鑰、密鑰協議功能以及密碼產品，都應當通過國家密鑰監督管理機關審核。在建設信息系統中要同時規劃建立滿足等級需求的安全基礎設施（含密碼設施），制定并落實相應安全保護等級要求的密碼使用管理制度，用數字證書建立身份認證、授權管理、責任認定等信息安全保障機制。按照適用的密碼管理規定和相關標準，加強商用密碼和數字證書的安全管理和測評。信息安全等級保護測評報告編制完成后，測評機構應對測評報告內容、風險分析過程和測評結論，組織等級保護專家開展評審，確保測評報告質量。

四、公安機關的監管與協調

目前，在國家和公安部發布的政策、法規中，還沒有針對等級保護測評機構的詳細的管理辦法，對于等級保護測評市場沒有相應的規范文件，對不按要求開展等級保護工作的測評機構也沒有相關約束懲罰措施。公安機關還可考慮通過制定相應的政策、規范對等級保護評估市場加以規范，并對等級保護評估機構的經營活動加以監督管理，確保評估機構在等級保護管理工作中起到更大的支持作用。分級評估機構是實施分級保護項目的關鍵科技力量，公安機關要繼續加強對評估機構、測評人員和評估活動的監督管理，穩步推動分級評估組織建立，進一步規范評估活動，提升評估機構、測評人員的科技創新能力與管理水平，發揮評估機構的科技資源優勢，積極引導評估機構參與分級保護項目技術培訓和咨詢服務，積極配合基層網安機構審查定級項目備案資料，積極參與網絡安全建設整治工作，為等保項目提供科技保障，保證等級保護工作的順利開展。

結束語：信息安全等級測評工作，是一個長期性的工作，發揮評估機構等級保障政策研究和專門技術知識方面的學科優勢，通過指導企業應用信息系統進一步加強對等級防護的保障力度，引導評估機構進一步完善評估理論研究成果，為等級保障工作提供更強大的技術保障，促進了國家安全保障體系的建立。

參考文獻：

[1]謝寶建.信息安全等級保護測評工作質量管理與實踐[C]. //第二屆全國信息安全等級保護技術大會論文集. 2013：279-282.

[2]謝寶建. 信息安全等級保護測評工作質量管理與實踐[C]. //第二屆全國信息安全等級保護技術大會會議論文集. 2013.

[3]張文勇，李維華，唐作其. 信息安全等級保護測評中網絡安全現場測評方法研究[J]. 電子科學技術，2016，3（3）：272-276. DOI：10.16453/j.issn.2095-8595.2016.03.019.

[4]王坤，宋紅波，胡景瑞. 電子政務系統信息安全等級保護測評工作實踐？[J]. 信息安全與通信保密，2015（12）：116-119，123. DOI：10.3969/j.issn.1009-8054.2015.12.068.

[5]王智，王大萌，劉兆東. 等級保護測評中的風險質量定性分析研究[J]. 信息技術，2014（10）：185-187.