浅谈政务信息安全评估指标体系的建立.docVIP

浅谈政务信息安全评估指标体系的建立 　　【摘 要】 本文分析了当前政务信息化安全形势，对现有信息系统安全性评估标准进行评价，在此基础上探讨了政务信息安全评估指标体系相关建设内容，为政府单位制定电子政务信息安全检查标准提供参考依据。 　　【关键词】 政务信息安全 信息安全评估 指标体系 　　1 引言 　　近年来，我国电子政务网络体系和信息系统建设加快推进，建设了大量的政务门户网站、电子公文系统等。随之而来的是政务安全威胁也与日俱增。根据统计，政府网站和信息系统依然是黑客攻击的主要目标之一。大量政府网站被挂马和恶意篡改，重要数据库信息被窃取，这些都严重影响到了政府部门的信息安全和自身公信力。 　　在政府单位信息安全日常检查工作中，由于缺乏系统、全面、统一的信息安全评估机制和评估标准，导致评估结果可量化程度低，无法直观反映评估结果和存在问题，一定程度上削弱了信息安全检查结果对整改工作的指导价值。因此，探索建立适用于政府单位的一整套信息安全评估指标体系，变信息安全“一事一议”为长效机制，对于增强政务信息安全防护水平，带动信息安全产业发展具有重要意义。 　　2 政务信息安全评估 　　信息安全评估就是从风险管理角度，运用科学的方法和手段，系统地分析网络与信息系统所面临的威胁及存在的漏洞，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施。信息安全评估的重要意义在于，通过对政府部门关心的重要信息资产的评估分级，推断出用户关心的重要资产当前的安全风险，并根据风险的严重级别制定后期处理计划，从而建立一套完整的、健壮的安全风险防御体系，为进一步制定安全风险投资预算计划、安全风险投资回报分析、人员组织计划和建立安全体系、制定安全政策、引入安全控制措施而提供基础数据，辅助最高管理层对政务信息安全管理的计划与实践做出正确决策。 　　目前，在信息安全领域较为通用的信息安全评估技术标准包括《信息技术安全评价通用准则》（ISO/IEC 15408 CC标准）、《国际信息安全管理标准体系》（BS 7799标准）、《信息技术 安全技术 信息安全管理体系 要求》（GB/T 22080-2008 ISO/IEC 27001：2005）、《信息技术 安全技术 信息安全管理 实用规则》（GB/T 22081-2008 ISO/IEC 27002：2005）、《系统安全工程能力成熟度模型》（SSE-CMM）等。 　　3 政务信息安全评估指标体系 　　本文结合上述各项信息安全评估技术标准，考虑政务信息安全各项技术要求，结合政务信息系统建设的成本、效益等操作层面问题，给出了一套包含以下七大类一级指标的政务信息安全评估三级指标体系。 　　（1）“信息安全保障机构”：为确保信息安全日常工作，政府部门应成立信息安全领导机构小组，建立相关制度，明确信息安全主管领导和信息安全专业，按照“谁主管、谁负责”的原则，全面落实工作责任制。 　　（2）“日常信息安全管理”：应根据组织的信息安全方针，规定岗位信息安全责职责并形成文件，对重要岗位应制定重要岗位安全保密责任书，对涉密信息岗位，员工离岗离职时应按照单位规定，对人员使用的计算机、存储设备、访问密码等进行管理。外部人员访问时，应确保在外部人员访问受控区域前得到授权或审批。对重大的安全责任事件有相应的问责机制。 　　（3）“系统信息安全管理”：对于政府部门信息安全等级保护，应按照等保的要求进行评测、定级、备案与安全整改。在系统运行维护方面，应明确制定每个系统的运维内容、运维方式、运维职责，对系统的用户权限和管理员权限进行管理。对于系统功能流程的变更需要建立变更审批制度，并进行变更记录。系统应具备日志和备份功能，对系统的日常操作进行安全审计。 　　（4）“信息安全技术防护”：信息安全技术防护是信息安全保障工作的重要内容，针对目前政府部门整体信息化建设和应用系统使用情况，应该注重的技术防护方面包括：网络安全、终端与介质防护、数据安全、应用安全、门户网站防护、邮件系统防护、机房环境安全等。 　　（5）“信息安全应急响应”：系统运维应急方案是对中断或严重影响业务的故障，如宕机、数据丢失、业务中断等，进行快速响应和处理，在最短时间内恢复业务系统，将损失降到最低。政府部门应针对各类突发事件，如硬件损坏、操作失误、配置丢失、数据丢失等设计相应的预防与解决措施，同时提供完整的应急预案处理流程，定期进行预案演练。 　　（6）“信息安全教育培训”：对各级安全负责人员、系统使用人员应定期进行安全教育培训，提升信息安全意识，提高信息安全管理水平。对于专业信息安全人员开展定期考核测评 　　（7）“信息安全检测评测”：通过信息自查、抽查等方式开展政府部门的信息安全检查工作，各单位应配合检查工作建立