如何有效地监管等级测评机构
来源:用户上传
作者: 张亮
摘要:立足于信息安全等级保护工作,吸取浙江省在等级保护测评机构的管理上的经验,研究和探讨如何有效地管理等级保护测评机构,以确保测评机构管理和技术能力得到不断提升,保证测评机构在等级测评上的独立性、公正性和合规性,并对促进等级测评的顺利开展提出改善方向和意见。
关键词:等级保护;测评;信息安全;管理
中图分类号:TP393
文献标志码:C
文章编号:1006-8228(2011)12-60-02
0 引言
信息安全等级保护作为国家信息安全工作的一项基本制度、基本国策,已经在全国实行多年,各信息系统运营使用单位都深刻认识到等级保护制度的重要性。在我国信息安全等级保护制度中,等级保护分五个工作环节――定级、备案、建设整改、等级测评和监督检查。其中,等级测评是等级测评机构依据国家信息安全等级保护制度规定,受有关单位委托,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行的检测评估活动,是信息安全等级保护工作的重要环节。
随着等级保护工作的不断推进,等级测评机构的体系建设也在不断深入,全国等级测评机构的数量在不断增加,测评机构的品质和能力、测评人员的水平和素质、测评竞争环境等诸多方面的问题将不断出现。因此,加强对等级测评机构的合理、有效监管,对提升测评行业质量,保证测评数据公正、客观,以及保障重点行业的重要信息系统安全等至关重要。
1 国家层面对测评机构的监管模式
测评工作作为等级保护制度中最重要工作环节,具有明显的专业性和技术性恃点,其政策导向性强。因此,仅有相关测评技术标准是不够的,测评机构的体系化、规范化管理也是关键。
2009年7月公安部开始信息安全等级保护测评体系建设试点工作,其目的是探索信息安全等级保护测评体系建设和管理的模式和经验,保证全国重要信息系统等级保护安全建设工作的顺利开展。试点工作主要在浙江、重庆、河南、广东等省市展开。其主要内容是根据《信息安全等级保护管理办法》和有关技术标准完成五个方面的工作:一是检验并完善等级测评机构应具备的条件;二是检验并完善等级测评机构建设的主要内容;三是检验并完善等级测评人员管理的主要内容;四是检验并完善等级测评工作规范性要求的主要内容;五是检验并完善测评机构监督管理的主要内容等。从试点工作情况分析,国家对等级保护测评机构的监管模式采用的是能力评估和政府干预相结合的模式。
从工作程序上分为四个步骤:
(1)各测评机构向设区的市级以上所在地公安网安部门申请,公安网安部门根据《信息安全等级保护测评工作管理规范(试行)》对测评机构所提交的申请材料进行审核,审核通过后,提交给上一级公安网安部门报批,并予以受理。
(2)公安部网络安全保卫局统一将各地上报的测评机构信息转发给公安部信息安全等级保护评估中心,由评估中心按照《信息安全等级测评机构能力要求(试行)》对各测评机构进行能力评估。能力评估通过后,由评估中心将能力评估材料递交公安部网络安全保卫局审核批准。
(3)各省公安网安部门收到公安部网络安全保卫局对测评机构审核的意见及相关证书,下发给各地网安部门。
(4)公安部信息安全等级保护评估中心在网站上公布测评机构名单,接受社会监督。
能力评估的内容和要求上,分为组织管理能力、测评实施能力、设施和设备安全与保障能力、质量管理能力、规范性保证能力、风险控制能力、可持续发展能力等七个方面和基本要求、约束性要求等两个部分。
2 浙江省等级测评机构现有监管模式
浙江省信息等级保护工作一直处于国内前列,2006年就颁布了《浙江省信息安全等级保护管理办法》(省政府第223号令),并在同年开展了全国等级保护试点项目。通过多年积累的经验,2007年浙江省开始在测评机构管理、测评工作模式等方面进行探索,初步形成具有浙江特色的等级保护测评机构监管模式。
(1)以社会协会管理为主,政府监管为辅的管理模式
浙江省结合实际,政府层面出台了《浙江省信息安全等级保护测评机构管理规定(试行)》,明确了省内从事等级测评工作的单位性质、条件和义务等要素。社会协会层面出台了《浙江省信息安全测评机构资信等级评定管理办法(试行)》实现测评机构资信等级一、二级管理,形成测评机构管理行业规范,变政府由市场参与主体向市场监管主体转变,由管理审批型向管理服务型转变、由直接行政干预向间接宏观调控转变。
(2)建立以行业自律管理为主的监管体系
严格测评机构行业自律管理,测评机构间签署《信息安全等级保护测评机构行业自律公约》,强化机构自律化管理,进一步规范测评机构行为和工作秩序。
(3)建立机构统一管理标准,专控审查机构自身及人员能力建设
全省测评机构必须按照“审核标准统一,管理规范标准统一、技术标准统一、测评工具标准统一、报告样式标准统一”的五统一规范开展测评工作,并由政府组织机构年审,设立准入准出机制。测评机构的能力审查对测评过程中技术人员行为的规范性、合理性和程序标准性,对机构业务范围、管理能力和技术能力要求等给予明确规定,规范申请、审核、查验和推荐流程,组建由公安、保密、密码管理、信息办和安全等部门专家组成的专门审查小组对机构背景、管理水平、资格和技术能力进行量化评价,作为推荐依据。同时,严格规范测评机构工作程序,加强对机构内部管理规范化建设督导,要求健全人员管理、项目管理、文档管理、设备管理、保密制度等各项制度,要求制定《质量手册》、《程序文件》、《作业指导书》、《测评过程记录表单》等测评实施过程文档,完善测评实施规程。
全省机构都已被要求必须获得CMA中国计量认证,并被引导和鼓励去获得CNAS实验室认证、ISO27001认证等。所有从业人员必须获得初级以上“测评师”技术证书,测评工作中持证上岗。对测评从业人员要进行录用考核、备案和背景审查等工作。
3 现有监管模式的不足
在现行的测评机构监管模式中,我们侧重于对测评机构应具备条件(包括审核是否在境内注册成立、注册资本多少、法人资格、公司已有的资质、测评人员已获得的技术认证等)的监管;仅关注机构是否已具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等制度,而对这些制度的落实情况及执行情况缺乏有效监督;对测评活动实施过程中的合法性,有效性问题缺乏必要的考量。
4 对测评机构进行有效性监管方法的探讨
(1)对测评机构的测评大纲实行报备审核
测评大纲应是等级测评机构的整体测评策略性文件,能综合反映不同测评机构从事等级测评活动的经验、知识、测评方法和测评程序。基于对被测评单位的利益保护以及对测评机构的监管要求,测评大纲应具有法律效力,须报公安机关审核备案后使用。测评机构只有按照测评大纲中明确的指标严格检测、测评,其测评结果才能真实地反映被测单位计算机信息
系统的安全状况,为安全整改建设提供科学的依据和指南。
(2)对等级测评活动的各周期程序实行监督指导
等级测评流程分为四个阶段:测评准备、方案编制、现场测评及报告编制,政府部门的督导工作须贯穿其中。如,在测评准备阶段,为了避免测评小组成员和委托人之间存在利害关系,影响测评结果的公平、客观、真实,测评机构在确定测评小组成员名单后让测评委托人确认签字,确认书要留档备查,未经确认开展的项目测评报告不具有法律效力。方案编制中,必须明确测评对象、范围、依据法律法规和标准、制定具体的测评检查表,记录文件要测评双方签字确认,方案和测评过程文档应留档备查。现场测评中,测评小组必须使用可信、安全等级测评工具采集数据,测评工具要向公安机关报备,现场测评要按照检测程序全面检测关键测评项,依据测评标准客观、公正、准确评价,政府主管部门应随机驻点督查现场测评过程实施情况。测评报告反映的是被测评单位信息系统的安全保护现状,应具有法律效力,报告要使用标准模板,起草过程中测评机构和测评人员应当遵守国家的有关法律法规,保守被测评单位秘密、保障被测单位利益,政府部门有必要明确测机构及其工作人员的法律责任来规范其职业道德。测评机构的测评结果直接对信息系统运营使用单位的建设、整改和运营成本,以及对监管部门的行政监管成本产生影响,也就是说,测评报告对国家和社会都会产生影响。因此,测评机构要对自身的测评行为负责,政府主管部门将对机构及从业人员违反法律规定的行为予以民事、行政或刑事处罚。
(3)对测评人员实行从录用到离职的全程监督
等级测评涉及用户单位的核心业务系统,是一项高技术的专业安全服务,需要具有一定政治素质、道德素质和专业素质的测评人员来支撑。管理应进一步加大对测评人员的政治背景、从业背景、专业背景、技术素养的审查力度,建立完备测评人员档案库,考量测评机构测评人员稳定性,重点加大对离职测评人员的管控,明确保密条约,关注人员离职去向。
(4)制定测评机构优劣考量机制,促进诚信服务的企业文化
等级测评的执行主体是测评机构,测评机构的企业文化是否具有凝聚性,企业价值观是否诚信,内部管理模式是否健康,关乎其市场竞争力,更关乎测评机构能否为信息系统安全等级保护工作提供安全、客观、公正的检测评估服务。因此,要求测评企业必须有一定的政治觉悟,要严格遵守国家有关法律法规,要承担社会责任和法律责任,不能唯利是图。政府部门要定期开展管理评审,制定考量测评机构优劣评判标准,完善被测评单位满意度反馈机制,建立机构诚信状况、信用状况、评级结果等信息公开机制,将政府监管和社会监督结合起来,通过评星评级、市场退出和奖惩机制的建立,鼓励诚信机构,惩戒不诚信机构,增加机构不规范测评行为的风险成本。
(5)规范价格体系,推动测评机构良性发展
等级测评是近两年才兴起的行业,政府要引导建立良好的测评市场价格体系,借鉴其他行业自律的经验手段,避免恶性价格竞争,要保障等级测评有一定的利润空间,以使得测评机构能朝更专业、更具实力方向发展,充分调动测评机构提升品牌建设、服务工作效率、专业能力、测评人员素质的内在动力。
5 结束语
对信息系统实行等级保护是国家法定制度和基本国策,是提高信息安全保障能力和水平,维护国家安全,维护社会稳定和公共利益,保障和促进信息化建设的重大举措,具有重大的现实和战略意义。对信息系统进行等级测评是实行等级保护的关键环节,而对测评机构、测评人员、测评活动的有效管理,可以规范、控制测评机构的行为,保证测评结果的权威性和公正性,并维护被测评单位利益。本文从行业管理、政府监管的角度分析了现有管理模式的不足,吸收和借鉴了浙江省在测评机构管理上可行的方法,所提出的针对性的解决思路,对全国测评机构的管理有一定的借鉴和指导作用。我国的等级保护工作还处于不断推进和发展中,等级测评机构的管理需要不断的探索,特别是在机构能力的考核量化、价格体系的合理性、测评的有效性等问题上,还需要通过实践加以验证。相信未来在政府和社会的不断努力和关注下,等级测评市场将会更加健康、有序的发展。
转载注明来源:https://www.xzbu.com/8/view-44810.htm