在涉密信息
系統測評實踐中,因測評人員對國家保密標準理解的差異性,導致在評價時存在不一致、不規范的情況。針對這種情況,山東省軟件評測中心根據參與涉密信息系統測評
工作的經驗和認識,對如何評價涉密信息系統安全保密管理體系的有效性進行了分析,提出了測評時應注意把握的測評要點。
1、應首先核實管理體系文件能否被執行
在涉密信息系統測評中,涉密信息系統建設使用單位一般均會依據國家保密標準制定有關管理體系文件,并確定相關責任部門和人員。但其所建立的管理體系能否被執行,不能僅僅簡單依靠涉密信息系統建設使用單位人員的情況介紹,而應要求建設使用單位提供證明。
測評實踐中一種情況是涉密信息系統建設使用單位能夠提供成型的管理體系文件,但這些文件卻并未經過正式發布確認,甚至還只是討論稿。另一種況是有的單位雖然正式發布了安全保密管理體系文件,但發布的部門不具備相應權限,只能保證管理體系在本部門內被執行,無法保證管理體系在整個單位內被執行。此外,測評實踐中發現,涉密信息系統建設使用單位往往將管理文件匯編并標定為涉密文件,按涉密文件進行管理,其印制的份數有限,也難于借閱。這樣做雖然有利于對單位安全保密管理體系文件的保護,但同時也導致管理人員難以在需要時及時獲得有關管理文件。
2、應從全局角度確認管理體系的完整性
對于已建立的管理體系,在核查其是否能夠覆蓋涉密信息系統安全保密管理的各個方面時,測評人員往往簡單地從標準的各項具體條款入手,逐條查找相應的管理文件中是否設立了相應的規定。這種方式不僅操作繁瑣,而且容易導致難以從全局的角度審視其管理體系的完整性。實際測評時應首先請涉密信息系統建設使用單位熟悉其安全保密管理體系的人員介紹管理體系文件的組成、相互關系、與保密標準的比對情況,之后再通過審視管理體系各個文件中所描述的適用范圍,從全局的宏觀角度確認其管理體系是否存在缺失。
3、采用風險分析的方法來確認具體
管理要求的合規性安全保密管理的具體要求與保密標準條款的符合性是系統測評時必須重點核查的內容。由于各項管理要求往往是根據涉密信息系統建設使用單位的具體情況制定的,若僅僅簡單地核查管理要求的文字內容同標準中有關條款文字的符合性,則易于失去系統測評風險分析的本質,將合規性檢查變成了文字核查。實際測評中,測評人員不僅要熟悉標準中各項條款的要求,更要明白各項要求中隱含的風險分析的思想與實質,采用風險分析的方法去判斷各項管理要求同標準有關條款的符合性。
對于具體管理要求的合規性判定,測評人員一方面要深入理解標準有關要求背后所涉及的風險;另一方面要學會采用風險分析的方法,在涉密信息系統建設使用單位管理人員的充分配合下進行綜合分析,而不應拘泥于具體的文字表述。
4、 應掌握評價管理制度可操作性的關鍵要素
安全保密管理制度的可操作性是保證整個管理體系正常、有效運轉的基礎。實際測評中,可以從以下幾方面考查相關管理制度的可操作性。
4.1 是否明確了管理責任的主體
任何一項管理制度首先應明確所規定的管理事項針對的責任主體,即誰對此項規定的執行負責。
4.2 是否明確了管理的客體
關于具體事務的管理規定中各條款一般均會涉及被管理的對象,即管理的客體。清晰、明確的管理客體,是該項制度可操作性強的重要前提。
4.3 是否明確了操作的流程
關于具體事務的管理規定中若僅僅是提出要求,而沒有詳細的操作流程,則實際操作中容易因操作人員的水平、安全保密意識等的差異導致操作結果不同,甚至出現嚴重的安全保密事故。
4.4 是否明確了管理事項發生的具體時間、周期或觸發條件
保密標準中明確了必須定期開展的多項管理事項,但在涉密信息系統建設使用單位制定管理制度時,卻很少結合自身情況確定開展相關事項的周期、時間或觸發條件,這往往導致有關規定流于形式,不僅難以監督,而且還容易導致實際操作中必要環節的缺失。
4.5 管理事項應可審計
涉密信息系統由于安全保密管理失當導致出現安全保密事故,其結果往往存在影響大、責任重、處理嚴的特點。為杜絕出現安全保密管理責任事故、明確相關管理責任,也為發生事故后能夠及時追查原因、減小事故造成的損失、定位責任人員或環節,以及提出合理的處理意見,必須加強涉密信息系統安全保密管理中重要事項、重點環節的審計。
5、管理體系應能夠自我改進
涉密信息系統的安全保密管理不是一成不變的,而是隨著技術的發展、網絡結構的變化、用戶的增減、人員安全保密認識的不斷深入等情況動態變化的。涉密信息系統的安全保密管理體系只有具備了隨著來自內部或外部的變化,不斷自我適應、自我完善的能力,才能實現保護國家秘密這一最終目標。國家保密標準中也指出要通過分析異常事件、定期自評估和檢查評估等手段,發現安全保密管理的薄弱環節并不斷改進完善。因此,在測評實踐中,要分析被測涉密信息系統的安全保密管理體系是否具備自我改進的能力,以防止在涉密信息系統開通運行一段時間后,出現安全保密管理體系與實際的管理需求不相適應的情況。
6、結語
本文根據中心參與涉密信息系統測評工作的經驗和認識,就如何把握涉密信息系統安全保密管理的測評要點進行了討論。由于在實際測評工作中,安全保密管理體系的評價存在較大的主觀色彩,就本文中的不當之處,歡迎大家批評指正。
版權聲明:本文出自山東省軟件評測中心,51Testing軟件測試網原創出品,未經明確的書面許可,任何人或單位不得對本文進行復制、轉載或鏡像,否則將追究法律責任。