在涉密信息
系統(tǒng)測評實踐中,因測評人員對國家保密標(biāo)準(zhǔn)理解的差異性,導(dǎo)致在評價時存在不一致、不規(guī)范的情況。針對這種情況,山東省軟件評測中心根據(jù)參與涉密信息系統(tǒng)測評
工作的經(jīng)驗和認(rèn)識,對如何評價涉密信息系統(tǒng)安全保密管理體系的有效性進(jìn)行了分析,提出了測評時應(yīng)注意把握的測評要點。
1、應(yīng)首先核實管理體系文件能否被執(zhí)行
在涉密信息系統(tǒng)測評中,涉密信息系統(tǒng)建設(shè)使用單位一般均會依據(jù)國家保密標(biāo)準(zhǔn)制定有關(guān)管理體系文件,并確定相關(guān)責(zé)任部門和人員。但其所建立的管理體系能否被執(zhí)行,不能僅僅簡單依靠涉密信息系統(tǒng)建設(shè)使用單位人員的情況介紹,而應(yīng)要求建設(shè)使用單位提供證明。
測評實踐中一種情況是涉密信息系統(tǒng)建設(shè)使用單位能夠提供成型的管理體系文件,但這些文件卻并未經(jīng)過正式發(fā)布確認(rèn),甚至還只是討論稿。另一種況是有的單位雖然正式發(fā)布了安全保密管理體系文件,但發(fā)布的部門不具備相應(yīng)權(quán)限,只能保證管理體系在本部門內(nèi)被執(zhí)行,無法保證管理體系在整個單位內(nèi)被執(zhí)行。此外,測評實踐中發(fā)現(xiàn),涉密信息系統(tǒng)建設(shè)使用單位往往將管理文件匯編并標(biāo)定為涉密文件,按涉密文件進(jìn)行管理,其印制的份數(shù)有限,也難于借閱。這樣做雖然有利于對單位安全保密管理體系文件的保護(hù),但同時也導(dǎo)致管理人員難以在需要時及時獲得有關(guān)管理文件。
2、應(yīng)從全局角度確認(rèn)管理體系的完整性
對于已建立的管理體系,在核查其是否能夠覆蓋涉密信息系統(tǒng)安全保密管理的各個方面時,測評人員往往簡單地從標(biāo)準(zhǔn)的各項具體條款入手,逐條查找相應(yīng)的管理文件中是否設(shè)立了相應(yīng)的規(guī)定。這種方式不僅操作繁瑣,而且容易導(dǎo)致難以從全局的角度審視其管理體系的完整性。實際測評時應(yīng)首先請涉密信息系統(tǒng)建設(shè)使用單位熟悉其安全保密管理體系的人員介紹管理體系文件的組成、相互關(guān)系、與保密標(biāo)準(zhǔn)的比對情況,之后再通過審視管理體系各個文件中所描述的適用范圍,從全局的宏觀角度確認(rèn)其管理體系是否存在缺失。
3、采用風(fēng)險分析的方法來確認(rèn)具體
管理要求的合規(guī)性安全保密管理的具體要求與保密標(biāo)準(zhǔn)條款的符合性是系統(tǒng)測評時必須重點核查的內(nèi)容。由于各項管理要求往往是根據(jù)涉密信息系統(tǒng)建設(shè)使用單位的具體情況制定的,若僅僅簡單地核查管理要求的文字內(nèi)容同標(biāo)準(zhǔn)中有關(guān)條款文字的符合性,則易于失去系統(tǒng)測評風(fēng)險分析的本質(zhì),將合規(guī)性檢查變成了文字核查。實際測評中,測評人員不僅要熟悉標(biāo)準(zhǔn)中各項條款的要求,更要明白各項要求中隱含的風(fēng)險分析的思想與實質(zhì),采用風(fēng)險分析的方法去判斷各項管理要求同標(biāo)準(zhǔn)有關(guān)條款的符合性。
對于具體管理要求的合規(guī)性判定,測評人員一方面要深入理解標(biāo)準(zhǔn)有關(guān)要求背后所涉及的風(fēng)險;另一方面要學(xué)會采用風(fēng)險分析的方法,在涉密信息系統(tǒng)建設(shè)使用單位管理人員的充分配合下進(jìn)行綜合分析,而不應(yīng)拘泥于具體的文字表述。
4、 應(yīng)掌握評價管理制度可操作性的關(guān)鍵要素
安全保密管理制度的可操作性是保證整個管理體系正常、有效運(yùn)轉(zhuǎn)的基礎(chǔ)。實際測評中,可以從以下幾方面考查相關(guān)管理制度的可操作性。
4.1 是否明確了管理責(zé)任的主體
任何一項管理制度首先應(yīng)明確所規(guī)定的管理事項針對的責(zé)任主體,即誰對此項規(guī)定的執(zhí)行負(fù)責(zé)。
4.2 是否明確了管理的客體
關(guān)于具體事務(wù)的管理規(guī)定中各條款一般均會涉及被管理的對象,即管理的客體。清晰、明確的管理客體,是該項制度可操作性強(qiáng)的重要前提。
4.3 是否明確了操作的流程
關(guān)于具體事務(wù)的管理規(guī)定中若僅僅是提出要求,而沒有詳細(xì)的操作流程,則實際操作中容易因操作人員的水平、安全保密意識等的差異導(dǎo)致操作結(jié)果不同,甚至出現(xiàn)嚴(yán)重的安全保密事故。
4.4 是否明確了管理事項發(fā)生的具體時間、周期或觸發(fā)條件
保密標(biāo)準(zhǔn)中明確了必須定期開展的多項管理事項,但在涉密信息系統(tǒng)建設(shè)使用單位制定管理制度時,卻很少結(jié)合自身情況確定開展相關(guān)事項的周期、時間或觸發(fā)條件,這往往導(dǎo)致有關(guān)規(guī)定流于形式,不僅難以監(jiān)督,而且還容易導(dǎo)致實際操作中必要環(huán)節(jié)的缺失。
4.5 管理事項應(yīng)可審計
涉密信息系統(tǒng)由于安全保密管理失當(dāng)導(dǎo)致出現(xiàn)安全保密事故,其結(jié)果往往存在影響大、責(zé)任重、處理嚴(yán)的特點。為杜絕出現(xiàn)安全保密管理責(zé)任事故、明確相關(guān)管理責(zé)任,也為發(fā)生事故后能夠及時追查原因、減小事故造成的損失、定位責(zé)任人員或環(huán)節(jié),以及提出合理的處理意見,必須加強(qiáng)涉密信息系統(tǒng)安全保密管理中重要事項、重點環(huán)節(jié)的審計。
5、管理體系應(yīng)能夠自我改進(jìn)
涉密信息系統(tǒng)的安全保密管理不是一成不變的,而是隨著技術(shù)的發(fā)展、網(wǎng)絡(luò)結(jié)構(gòu)的變化、用戶的增減、人員安全保密認(rèn)識的不斷深入等情況動態(tài)變化的。涉密信息系統(tǒng)的安全保密管理體系只有具備了隨著來自內(nèi)部或外部的變化,不斷自我適應(yīng)、自我完善的能力,才能實現(xiàn)保護(hù)國家秘密這一最終目標(biāo)。國家保密標(biāo)準(zhǔn)中也指出要通過分析異常事件、定期自評估和檢查評估等手段,發(fā)現(xiàn)安全保密管理的薄弱環(huán)節(jié)并不斷改進(jìn)完善。因此,在測評實踐中,要分析被測涉密信息系統(tǒng)的安全保密管理體系是否具備自我改進(jìn)的能力,以防止在涉密信息系統(tǒng)開通運(yùn)行一段時間后,出現(xiàn)安全保密管理體系與實際的管理需求不相適應(yīng)的情況。
6、結(jié)語
本文根據(jù)中心參與涉密信息系統(tǒng)測評工作的經(jīng)驗和認(rèn)識,就如何把握涉密信息系統(tǒng)安全保密管理的測評要點進(jìn)行了討論。由于在實際測評工作中,安全保密管理體系的評價存在較大的主觀色彩,就本文中的不當(dāng)之處,歡迎大家批評指正。
版權(quán)聲明:本文出自山東省軟件評測中心,51Testing軟件測試網(wǎng)原創(chuàng)出品,未經(jīng)明確的書面許可,任何人或單位不得對本文進(jìn)行復(fù)制、轉(zhuǎn)載或鏡像,否則將追究法律責(zé)任。