等级测评项目实施问题思考.pdfVIP

入 选 论 文 2012年增刊 等级测评项目实施问题思考 舒萌，李永辉，张国强 （江西神舟信息安全评估中心有限公司，江西南昌  330002） 摘　要：文章以等级测评项目实施情况为立足点，阐述了等级测评过程中有可能存在分歧的现象，细 致描述了等级测评双方就同一个问题而形成的观点，并对问题形成的原因和解决问题的可行性进行了分析， 提出消除剪刀差的思路和建议，为全国广大测评机构在解决等级测评实施问题方面提供了参考。 关键词：技术安全分类；管理安全分类；权重 中图分类号：TP393.08  文献标识码：A  0 引言 随着信息化的迅速发展，社会对信息系统的依赖性逐渐提高，信息系统已成为日常办公必不可少的重要环节，而与之相随的 信息安全水平却不容乐观，各行各业信息安全事件频发，对国家、社会秩序和公共利益，以及公民、法人和其他组织均有不同程 度的侵害。 面对严峻的国内信息安全形势，自 1994 年国家发布《中华人民共和国计算机信息系统安全保护条例》（国务院 147 号令）以来， 又陆续下发《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发 [2003]27 号）和《关于信息安全等级保护工作的实 施意见》（公通字 [2004]66 号），并制定等级保护《实施指南》、《基本要求》等标准，建立较完善的等级保护体系，并要求信息系 统必须进行定级、备案、整改、测评等工作。 信息安全等级保护主要依据的工作指标是《信息系统安全保护等级基本要求》（GB/T 22239-2008）（下称《基本要求》），其 具体要求内容包含了技术和管理两方面，共计 10 个层面。无论是开展等级测评还是建设整改工作都是以《基本要求》的 10 个层 面为标准。但实际情况是信息系统运营、使用单位（下称运营、使用单位）的实际管理、维护人员，因长期工作在特定岗位上， 已习惯按照岗位故有的工作模式进行操作，在理解《基本要求》的时候，套用以往的工作模式就形成了独特的理解方式，难以按 照 10 个层面实施等级保护，所以在等级测评时就会出现两种理解之间的“剪刀差”，对等级测评项目实施造成影响。笔者根据实 际遇到的此类情况在文中进行了具体分析，并提供解决问题的建议，为测评机构在等级测评项目实施方面提供参考。 1 《基本要求》的理解问题 等级测评是信息系统安全等级保护工作的重要环节，是检验信息系统安全保护能力是否达到国家相应等级要求的唯一方法。 等级测评的指标来自于《基本要求》，但运营、使用单位依据行业标准和自身要求去理解《基本要求》是各不相同的，其中包括《基 本要求》控制项的描述，以及各控制项的权重比例等，以至于增加了等级测评实施的困难。 1.1 信息系统管理、维护人员对《基本要求》的特殊理解 信息安全保障的核心是保障信息系统的运行，从事信息系统管理、维护人员都具有独特的专业见解，对于《基本要求》的理 解也会有自己的看法，例如某信息系统管理人员就认为 ：信息安全保障工作有主次之分，那么《基本要求》十个层面的指标也应 该分主次，就《基本要求》所要达到的最终目的来说，是可以进行同类归并的。以指标的重要程度来区分，大致可以分为三大类， 分别为 ：“系统运行”、“安全保障”和“管理制度”。“系统运行”、“安全保障”为技术安全分类，“管理制度”为管理安全分类。 系统运行类指标 ：是指《基本要求》中保证信息系统正常运行的指标，这部分指标一旦未做到，信息系统就会出现立刻停止 运行的情况，造成非常严重的后果，如物理安全层面中对机房温湿度控制的各控制项等。 安全保障类指标 ：是指《基本要求》中提升信息系统安全防护能力的指标，可以加强信息系统抵御外部威胁和内部人员的操 作者简介 ： 舒萌（1981-），男，江西，中级测评师，本科，主要研究方向：信息系统安全等级保护、信息安全管理、项目管理；李永辉（1974—）， 男，江西，副主任，高级测评师，本科，主要研究方向：信息安全技术保障体系、信息系统安全等级保护；张国强（1952—），男，江西，测 评部经理，工程师，本科，主要研究方向：信息安全管理、信息系统安全解决方案。 96