欢迎来到天天文库
浏览记录
ID:4261159
大小:118.70 KB
页数:3页
时间:2017-11-30
《信息安全等级保护测评管理体系建设初探》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、2011年增刊特别论文信息安全等级保护测评管理体系建设初探罗峥,王宁(公安部信息安全等级保护评估中心,北京100142)摘 要:文章介绍了全国范围内的信息安全等级保护测评体系建设和等级测评工作,已经进入全面开展与深入推进阶段,分析了测评体系关键要素、基本属性以及相互关系构成的基本框架,既是测评机构开展体系化管理的依据,也是测评管理体系科学建立的基础。关键词:等级保护;测评体系;关键要素;基本属性中图分类号:TP393.08文献标识码:A0引言信息安全等级保护测评是等级保护工作的重要环节,通过等级保护测
2、评管理体系的建立,可以规范等级测评活动,加强等级测评机构管理和队伍建设,为信息系统运营使用单位提供客观、公正和安全的测评服务。另一方面,测评管理体系建设又是一个逐步构建和动态完善的过程,从国家等级保护制度的要求出发,把握规律,通过各阶段针对性的任务部署与落实,将最终建立一个可信、可控、健康成长的等级测评产业和监管体系。本文希望在总结前期工作的基础上,深入分析,探讨测评关键要素、基本属性和管理要点,为下一阶段开展的测评管理体系建设工作提供一种思路和参考。1关键要素作为从事生产管理和质量管理的五个基本方面
3、,“人(人员)、机(设备、工具)、料(物料)、法(法则)、环(环境)”,广为人们所熟知。信息安全等级测评机构从事安全等级测评活动,就其活动的本质来讲也离不开上述因素,根据等级安全测评的特点,经修订后提炼出以下五个最为关键的要素,即组织机构、人员、测试设备、测评方法、测评过程。2基本属性经分析,对于上述测评机构和测评活动的关键要素,其工作和管理要求上表现出的基本属性是:公正性、可信性、可控性、保密性。其中“可控性”包括“质量可控”和“风险可控”。3关于基本属性的说明作为一般性的质量检查检测机构,“公正性
4、”和“质量可控性”是开展工作的最基本要求。但是,信息安全等级测评活动不同于一般的检查检测活动,它是测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估,并提供公正客观结果的活动。可见,等级测评首先必须置于等级保护这一国家制度的背景之下,测评活动的对象不是日常生活中只要求质量合格的消费商品,而是关系到国家安全、社会稳定和公共利益的重要信息系统。对于从事测评的组织和人员,要求其技术能力合格是非常必要的,但又是不全面的,在测评过程中,人员
5、的故意破坏、有意窃取,或者无意识行为,都有可能给被测系统造成额外的风险。这就要求在质量意识之外,还应强调人员的可信和保密意识。比如,由于测评过程中测试工具的检查和管理的缺失,或者是测评过程某些环节要求不到位,都有可能带来系统信息的泄漏或安全隐患。有些观点可能认为,这些问题也属于质量管理工作中对客户权益的保护范畴,其实不然,重要系统的信息失窃密和安全问题,其影响绝不仅仅只限于客户自身,其负面后果往往不可估量,这就是等级安全测评活动与质量检验工作的最根本不同。可见,由于测评活动本身给系统带来的安全风险是需
6、要引起高度重视的。所以在要求“公正性”和“质量可控性“之外,还应强调可信、保密和风险可控。作者简介:罗峥(1970-),男,浙江,硕士,主要研究方向:信息安全;王宁(1979-),女,黑龙江,研究实习员,本科,主要研究方向:等级测评机构质量管理体系建设。61特别论文2011年增刊表1信息安全等级测评工作管理基本要点基本可控性属性公正性可信性保密性关键质量可控风险可控要素组织机构防止机构由于防止由于外资、1.通过组织结构和工作分工,保证测评活动的1.保证组织具有相应的法律地位,可承担相应1.保证从领导层
7、就引起利益关联,影涉外背景机构的顺利开展法律责任重视响其公正性判介入可能造成的2.通过设置与技术、质量相关的岗位,保证测2.保证具备一定的资金基础,保证基本运营和2.保证将保密工作通断安全问题评工作职责落实到各岗位风险担保过组织内自上而下落3.通过软硬件必要投入,保证对测评活动的质实到每个人量提供支持人员防止人员行为防止违法违纪人1.通过培训、考核等多种手段保证测评人员的1.保证足够的具备测评条件人员的投入,防止1.保证保密职责落实由于利益关员介入测评活动技术实施能力达到测评工作要求,确保人员整人力资
8、源不足带来的风险到岗位和个人联,影响其公造成安全问题体能力水平的一致性2.保证人员具备风险防范意识,防止由于能力2.保证人员脱离测评正性判断2.通过培训、考核等多种手段保证测评人员对原因造成系统安全问题或引起客户的投申诉工作后的信息保密整个测评过程的熟悉,确保测评实施流程的规范统一测试设备保证使用符合测评设备的有效正确使用,是确保测评实施能1.保证对满足测评要求的测试设备的足够投入标准和统一推力和结果一致性的重要方面,体现在以下方面:2.防止使用非商用测
此文档下载收益归作者所有