涉密信息系统测评的要点分析

在涉密信息系统测评实践中，因测评人员对国家保密标准理解的差异性，导致在评价时存在不一致、不规范的情况。针对这种情况，山东省软件评测中心根据参与涉密信息系统测评工作的经验和认识，对如何评价涉密信息系统安全保密管理体系的有效性进行了分析，提出了测评时应注意把握的测评要点。
　　1、应首先核实管理体系文件能否被执行
　　在涉密信息系统测评中，涉密信息系统建设使用单位一般均会依据国家保密标准制定有关管理体系文件，并确定相关责任部门和人员。但其所建立的管理体系能否被执行，不能仅仅简单依靠涉密信息系统建设使用单位人员的情况介绍，而应要求建设使用单位提供证明。
　　测评实践中一种情况是涉密信息系统建设使用单位能够提供成型的管理体系文件，但这些文件却并未经过正式发布确认，甚至还只是讨论稿。另一种况是有的单位虽然正式发布了安全保密管理体系文件，但发布的部门不具备相应权限，只能保证管理体系在本部门内被执行，无法保证管理体系在整个单位内被执行。此外，测评实践中发现，涉密信息系统建设使用单位往往将管理文件汇编并标定为涉密文件，按涉密文件进行管理，其印制的份数有限，也难于借阅。这样做虽然有利于对单位安全保密管理体系文件的保护，但同时也导致管理人员难以在需要时及时获得有关管理文件。
　　2、应从全局角度确认管理体系的完整性
　　对于已建立的管理体系，在核查其是否能够覆盖涉密信息系统安全保密管理的各个方面时，测评人员往往简单地从标准的各项具体条款入手，逐条查找相应的管理文件中是否设立了相应的规定。这种方式不仅操作繁琐，而且容易导致难以从全局的角度审视其管理体系的完整性。实际测评时应首先请涉密信息系统建设使用单位熟悉其安全保密管理体系的人员介绍管理体系文件的组成、相互关系、与保密标准的比对情况，之后再通过审视管理体系各个文件中所描述的适用范围，从全局的宏观角度确认其管理体系是否存在缺失。
　　3、采用风险分析的方法来确认具体
　　管理要求的合规性安全保密管理的具体要求与保密标准条款的符合性是系统测评时必须重点核查的内容。由于各项管理要求往往是根据涉密信息系统建设使用单位的具体情况制定的，若仅仅简单地核查管理要求的文字内容同标准中有关条款文字的符合性，则易于失去系统测评风险分析的本质，将合规性检查变成了文字核查。实际测评中，测评人员不仅要熟悉标准中各项条款的要求，更要明白各项要求中隐含的风险分析的思想与实质，采用风险分析的方法去判断各项管理要求同标准有关条款的符合性。
　　对于具体管理要求的合规性判定，测评人员一方面要深入理解标准有关要求背后所涉及的风险；另一方面要学会采用风险分析的方法，在涉密信息系统建设使用单位管理人员的充分配合下进行综合分析，而不应拘泥于具体的文字表述。
　　4、 应掌握评价管理制度可操作性的关键要素
　　安全保密管理制度的可操作性是保证整个管理体系正常、有效运转的基础。实际测评中，可以从以下几方面考查相关管理制度的可操作性。
　　4.1 是否明确了管理责任的主体
　　任何一项管理制度首先应明确所规定的管理事项针对的责任主体，即谁对此项规定的执行负责。
　　4.2 是否明确了管理的客体
　　关于具体事务的管理规定中各条款一般均会涉及被管理的对象，即管理的客体。清晰、明确的管理客体，是该项制度可操作性强的重要前提。
　　4.3 是否明确了操作的流程
　　关于具体事务的管理规定中若仅仅是提出要求，而没有详细的操作流程，则实际操作中容易因操作人员的水平、安全保密意识等的差异导致操作结果不同，甚至出现严重的安全保密事故。

　4.4 是否明确了管理事项发生的具体时间、周期或触发条件
　　保密标准中明确了必须定期开展的多项管理事项，但在涉密信息系统建设使用单位制定管理制度时，却很少结合自身情况确定开展相关事项的周期、时间或触发条件，这往往导致有关规定流于形式，不仅难以监督，而且还容易导致实际操作中必要环节的缺失。
　　4.5 管理事项应可审计
　　涉密信息系统由于安全保密管理失当导致出现安全保密事故，其结果往往存在影响大、责任重、处理严的特点。为杜绝出现安全保密管理责任事故、明确相关管理责任，也为发生事故后能够及时追查原因、减小事故造成的损失、定位责任人员或环节，以及提出合理的处理意见，必须加强涉密信息系统安全保密管理中重要事项、重点环节的审计。
　　5、管理体系应能够自我改进
　　涉密信息系统的安全保密管理不是一成不变的，而是随着技术的发展、网络结构的变化、用户的增减、人员安全保密认识的不断深入等情况动态变化的。涉密信息系统的安全保密管理体系只有具备了随着来自内部或外部的变化，不断自我适应、自我完善的能力，才能实现保护国家秘密这一最终目标。国家保密标准中也指出要通过分析异常事件、定期自评估和检查评估等手段，发现安全保密管理的薄弱环节并不断改进完善。因此，在测评实践中，要分析被测涉密信息系统的安全保密管理体系是否具备自我改进的能力，以防止在涉密信息系统开通运行一段时间后，出现安全保密管理体系与实际的管理需求不相适应的情况。
　　6、结语
　　本文根据中心参与涉密信息系统测评工作的经验和认识，就如何把握涉密信息系统安全保密管理的测评要点进行了讨论。由于在实际测评工作中，安全保密管理体系的评价存在较大的主观色彩，就本文中的不当之处，欢迎大家批评指正。
版权声明：本文出自山东省软件评测中心，51Testing软件测试网原创出品，未经明确的书面许可，任何人或单位不得对本文进行复制、转载或镜像，否则将追究法律责任。

最新内容请见作者的GitHub页：http://qaseven.github.io/