信息系統監理與信息安全等級保護測評的協同服務對項目建設的重要性

摘 要：信息系統監理服務與等級保護測評是2個相對獨立的體系。在大部分項目中，二者獨立存在作用于項目實施的不同階段，關聯性和協同性較低，但是二者的結果均支持項目的驗收及使用。提高一者的協同性是否會對項目的建設或者驗收起到正向的收益，文章將結合二者的特點、工作流程及針對項目建設的各階段重點工作，對其協同服務的重要性進行討論。

關鍵詞：信息系統監理：等級保護;協同服務

中圖法分類號：TP311文獻標識碼：A

隨著我國信息化建設的發展完善，針對信息系統的使用需求也從之前的“可以用”經“好用”向“安全用”進行轉化，各行業使用的信息系統對信息安全性、建設合規性也更加重視。信息系統監理及等級保護測評作為２ 項相對獨立的信息系統服務，分別可以通過監理和測評項目的建設合規性及使用安全來保證項目的建設及后續運行。但在實際工作中，這２ 項相對獨立的工作也隨著我國對信息系統需求的完善和增加有了更多的聯系，而二者的協同工作也變得更加重要。

１ 信息系統監理工作

監理作為獨立的第三方，承擔了項目建設過程中的監督管理工作，以保障項目合規、有序、高效地建設；以項目驗收及審計留存完整的證據鏈及標準規范流程為工作重點，應用專業的業務及技術知識為業主提供服務。在項目的各個階段中，監理擔任了有效識別、規避項目風險、確保項目實現目標的責任。信息系統監理服務主要內容為“四控、三管、一協調”，通過對項目質量、進度、投資和變更的科學控制，保證信息化項目健康執行。在項目實施的各個階段，監理服務貫穿始終，并配合項目順利完成驗收?，F實中，監理服務主要體現在現場協調功能上，在施工進度、變更、質量、設備等方面，監理的協調能力很大程度上能推進項目進展，并將項目進程、質量穩定在相對合理的軌道上。其中與協同服務相關的也正是監理的協調職能。

２ 等級保護測評工作

網絡安全等級保護是指對國家重要信息、法人和其他組織及公民的專有信息及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護，對信息系統中使用的信息安全產品實行按等級管理，對信息系統中發生的信息安全事件分等級響應、處置。網絡安全等級保護工作包括定級、備案、安全建設整改、等級測評和安全檢查５ 個主要環節，等級測評是其中核心內容。根據《信息安全等級保護管理辦法》第十四條，信息系統建設完成后，運營、使用單位或者其主管部門應當選擇符合本辦法規定條件的測評機構，依據《信息系統安全等級保護測評要求》等技術標準，定期對信息系統安全等級狀況開展等級測評。通過測評，運營、使用單位或者其主管部門可以對信息系統安全防范管理體系的能力進行剖析與確定，并找出存有的安全風險，從而合理提高信息系統的安全防護水準。

３ 協同服務的可行性

隨著國家對信息安全的重視，目前大多數項目將通過相應級別的等級保護測評視為項目驗收通過的基礎，但在實際建設中，測評工作的準備仍然獨立于項目建設之外，沒有合適的聯動或提前準備，在項目建設完成后，測評要求與建設情況會存在較大差異，導致項目延期或驗收困難。監理工作內容及手段大多針對項目建設過程中所發生或產生的系統、文檔、記錄等產物，而測評往往在項目建設完成后，根據測評標準對項目建設完成部分進行整改，產出的產品也包括相應的系統、文檔、記錄等。由此可見，信息系統監理和等級保護測評２ 項工作可以具有一定的協同性，測評工作提前介入協調，可以保證更快地進行最后的測評工作，并在工作上對監理服務進行正向的幫助。

區別于監理服務，其測評有確定的評判標準，針對系統的安全性、制度的完整性有明確的要求，導致大多數情況下，測評工作開展時，大部分系統已完成，開發過程記錄、相關策略及管理制度已成型，但是部分不符合相關測評標準。比如，根據ＧＢ／ Ｔ２２２３９《信息安全技術網絡安全等級保護基本要求》和ＧＢ／Ｔ２８４４８《信息安全技術網絡安全等級保護測評要求》中對安全管理制度的要求，“應制定網絡安全工作的總體方針和安全策略，闡明機構安全工作的總體目標、范圍、原則和安全框架等”。該項要求會對系統整體需求產生影響，后期系統建設進入測試階段，整體框架已完成開發，若這項基本需求不符合規定，則影響部分功能，將對系統驗收工作產生影響。相對應的，若在項目的設計階段或前期需求確認階段，監理在提供監理服務的同時，協調測評單位提前對該部分要求進行培訓整理，將等保測評要求滲透入相關的需求中，項目后期的測評驗收工作效率將得到提升，所以協同服務可以對測評工作產生積極的影響，更進一步推進項目驗收上線。

從監理角度來說，測評工作介入時間靠后，后續根據測評要求，會增加項目變更風險，會對監理變更控制、成本控制、文檔管理等工作帶來更多挑戰，不利于項目的執行。例如，根據測評中對管理制度的要求，對應的管理制度應在項目試運行時執行工作，若由測評工作指出并修改，則試運行期間的信息安全將得不到保障，項目的風險會增強。所以，測評的協同監理工作，在項目前期設計階段或需求確認階段開始，將對項目整體開發中的需求確認、制度制定、開發情況、信息安全等存在正向幫助。在監理過程中，可以將測評要求作為監理依據，對項目進行管理，測評部分也可以通過監理的協調工作對相應制度、機構、人員、設備提出相應要求，從而簡化安全建設整改階段的工作，優化系統全生命周期的建設。

４ 協同服務的必要性

在項目建設過程中，信息化監理服務和等級保護測評工作的協同服務不僅可以在項目各階段對項目的實施進行優化，也可以對項目建設過程中的信息安全進行保障。

信息化監理服務和等級保護測評工作的協同服務在項目前期的方案制定和需求確認階段除了制定系統的業務需求、流程需求，也將參考后續測評工作要求，提前對測評工作所需的資料、制度、機構、人員、設備安全等做出反應和協調，達到協同優化的目的。項目建設過程中的前期，項目組的工作重心集中在整體方案設計和需求確認等方向性的工作上，主要的成果為《工程實施方案》《項目需求說明書》等，用于后期監理工作依據的標志性文檔，對于后續的監理工作起到決定性的作用。在此階段，信息化監理服務和等級保護測評工作的協同服務顯得尤為重要。根據ＧＢ／ Ｔ２２２３９《信息安全技術網絡安全等級保護基本要求》和ＧＢ／ Ｔ２８４４８《信息安全技術網絡安全等級保護測評要求》，其中，安全管理制度、安全管理機構、安全人員管理、安全建設管理、安全運維管理的要求均可以作為該階段成果的依據，根據系統評級，針對其等級相對應的要求對安全策略、管理制度、崗位設置、人員配備、人員流動等部分進行整體性、宏觀的決策，并以監理依據的方式融入項目開發實施過程中。這樣，既可以避免后續因不符合相應等級要求而進行系統調整的情況，也為監理提供顆粒度更小，更精準的標準來保證項目的正常進行。另一方面，從測評的角度來看，在測評的５ 大主要環節中，定級決定了系統在等保測評中所需要符合的標準，需要備案項目建設的實際情況，測評和整改的內容涉及項目的整個生命周期，安全檢查是針對項目整體的保障，從這些要求看，協同監理可以從項目過程文檔、變更情況、成本控制等方面，結合監理的協調能力，保證對應等級的等保要求更好地在項目中執行、深化、貫徹落實，提升測評的通過率［１～２］ 。

在項目建設過程中，除了施工情況，信息安全也是項目開發實施過程中不可避免的關鍵性問題，其中業務信息安全和系統服務安全則是測評工作中比較重要的評價條目，而監理工作中的信息系統信息管理和信息系統安全管理也都在說明信息安全在項目開發實施中的重要性。系統信息安全是指系統內不同賬戶之間的信息安全，主要表現在系統中用戶角色的區分及權限的分立，通俗地講就是不同權限的用戶賬號密碼區分使用。不同賬號對應的用戶不同，其使用權限也不相同，這中間若混用，其結果造成對公民、法人、其他組織權益、社會秩序、公共利益、國家安全損害的嚴重程度是評定等級保護等級的重要標準之一。針對監理而言，這部分主要體現在需求說明階段，需要明確各職級人員權限，確認管理員賬號使用要求及規范，確定三員權限保證分立，以保證系統最終呈現情況符合等級保護要求。系統服務安全是指系統停止服務或設備停機對公民、法人、其他組織權益、社會秩序、公共利益、國家安全的影響，其嚴重程度是另一個測評標準。監理層面，確認相關設備參數的合理性是監理在方案制定階段和設備開箱及變更階段的重要工作之一，而該部分所保留的證據、參考依據、文檔資料，很大程度上能佐證相關設備是否符合用戶使用需求及相關標準。而在項目開發實施階段中，各個應用的安裝開發及安裝人員操作時的旁站工作也是確保該部分安全的重要保障手段之一。由此可見，信息系統監理服務和等級保護測評的協同服務在很大程度上通過對監理過程中標準的確認或對用戶需求的提升來協助管理相關開發工作，并保證項目開發實施過程中信息、用戶數據的安全。二者的協同服務無論針對項目本身，還是監理工作順利進行或是測評工作通過率，都存在正向的推進能力。

５ 討論反思

在實際項目建設過程中，監理在設計階段的職能以可行性審核為主，在確保用戶需求的前提下，對項目方案設計進行審核并提出建議，雖然目前監理工作中涉及的測評知識及測評相關條例也是監理工程師所需要的知識儲備之一，但就服務對象而言，監理以項目成果物順利交付為最終目的，而測評工程師僅考慮項目對應條目是否符合測評要求，監理相較于測評更加需要考慮全局。對于監理而言，測評工作過晚介入項目，會提高項目后期的變更風險，導致不必要的人力、成本支出和時間消耗。所以盡早通過監理和測評的協同服務，對項目開發實施過程進行全局地把控和推進，是對項目起到正向作用的好方法之一。對于測評而言，工作本身以項目安全性為主體，將測評標準融入項目建設過程，可以更好地對項目安全性進行評價、測試，并可以通過配合監理工作，確保在后續測評、備案期間對項目信息的了解更加全面，從而更好地掌握系統，方便后續測評、整改工作。

６ 結束語

信息系統監理服務和等級保護測評的協同服務可以在一定程度上提高項目前期準備階段、設計階段的工作精度，幫助用戶及開發人員更好地確認項目需求，明確項目開發中及項目完成后的使用制度，也可以進一步協助用戶提高對項目的掌控力。

參考文獻：

［１］ 林揚陽，謝文潔，莊林楷，等．初探信息化維護項目監理管理模式［Ｊ］．電子技術與軟件工程，２０１４（２２）：２４４?２４６＋２６２．

［２］ 楊春，徐瑋．信息化項目中信息系統的監理作用研究［Ｊ］，花炮科技與市場，２０１９（４）：１１８?１１９．

作者簡介：

俞晟皓（ １９９４—）， 本科， 工程師， 研究方向： 信息系統監理。