刘琦 河南警察学院信息安全系，郑州河南 450002

多种机制并举确保公安信息化的深度应用

刘琦 河南警察学院信息安全系，郑州河南 450002

为保障公安信息化建设的顺利运行，更好地服务公安实战，本文提出使用多种机制建立信息化保障体系的思路。文中借鉴国际标准ISO/IEC9000及ISO/IEC27000中所使用的PDCA模型，通过循环方式，以期发现并不断改进公安机关运行信息系统过程中爆发出的或潜在的问题，更好的保证信息化的深度应用。

多种机制；公安信息化；深度应用

various mechanisms；public security information technology; deepening application

引言

上个世纪我们已经进入了信息时代。人们已经完成了从以制造业为基础的工业社会时代到以知识为基础的信息时代[1]。在这个时代，公安信息化建设是我们公安系统需要考虑的重点之一。公安系统必须坚持向科技要警力，深入推进公安信息化建设，才能有效提升社会管理服务的整体水平[2]-[5]。公安系统通过使用信息化方法，利用网络等平台共享资源，实现了各警种、各地区整体作战，从而节省了破案时间，提高了破案效率。在河南省委省政府、河南省公安厅党委领导下创建了“新乡警务模式”。但是，推行科技强警、公安信息化建设的同时，我们公安系统的各项工作对信息系统的依赖性与日俱增。如果信息系统出现问题，无法正常运行，或出现机密信息的泄露甚至篡改等问题，会严重影响到公安案件侦破、打击犯罪等正常工作，甚至对公安系统、人民群众，乃至整个社会造成无法估量的损失。必须综合考虑组织机制、人力管理机制、软硬件安全机制等各个要素，建立完善的信息化保障体系，才能确保公安信息化的深度应用。

笔者经过深入调研，发现不少地市已采取了相应的信息化保障技术及措施，具体包括：组建专门信息化保障管理机构及常设办公机构，制定并实施了相关管理制度，指定专门管理人员，并制定了一些应急响应措施及灾备预案，进行着一些不定期技术培训等等。但也存在一些问题，比如管理制度的落实没有完善的监督、测评体制；信息化建设整体规划问题；个别民警存在的信息安全意识问题；应急预案没有定期演练；各个地市信息化保障体系完善程度差别悬殊等等问题。希望今后能够有机会到河南省各地市进行相关调研，并明确河南公安信息化进展情况。

根据我们调研的结果及与地方公安机关各级领导同志的交流与探索，我们认为，梳理各种机制之间的联系，构建一个有效保障信息化建设的体系是保障各项制度落实、提高民警信息化意识、提高公安民警对信息化突发事件应急响应能力，提高民警保障信息化正常运行的积极主动性，提高地市公安机关保障信息化系统的前瞻性的必要措施。借鉴国际质量管理体系ISO/IEC 9000，国际信息安全管理体系ISO/IEC 27000及我国警界诸多专家学者的论文著作，在与我省个别地市公安机关各级领导交流探讨的基础上，本文提出了多种体制确保信息化深度应用的具体思路，及初步的量化测评体系。

1 信息化保障体系中多种机制的工作思路

建立信息化保障体系的目标在于指明公安信息化建设、运行等每个阶段各岗位民警的职责、权限，以保证信息化过程中信息及资源的安全性[6]。即建立访问控制机制，保障各警种公安信息系统不被非授权者截获及篡改；保障授权用户能够正常使用信息系统；保障个公安系统信息能够正常传递；保障出现异常事件后的可核查性[7]等等。结合ISO/IEC9000中的PDCA模型（即：规划(Plan)—实施(Do)—检查(Check)—处置(Act)，循环改进的模型）提出为保障信息化深度应用，多种机制的运行模式如下所述。

1.1 组织管理机制

各地市公安机关需要建立或完善能够保障信息化建设的健全的组织管理机制，制定信息化保障体系完善的方针政策及管理制度、提供必要的人力、物力、财力等资源，保证定期实施测评及审核；据调研，河南省各地市公安局基本已经建立相应的组织管理机制，但制度的落实是难点。一般地，各地市均建立了图1所示的工作架构。

图1 信息化保障体系组织架构图

为了确保信息化的落实及应用，建议地市公安局的信息化领导小组能够定期召开会议，健全信息化保障相关规章制度、部署及督促信息化，保障监督、审核、测评、赏罚等各项工作。信息化保障工作小组（可由信息化相关部门承担），下发信息化保障领导组的各项决议，敦促各部门、各派出所按规定及时执行。建议各部门指定的专人能够切实落实信息化保障工作小组下发下来的各项任务。通过领导批示、工作组协调、各部门专人执行的分级工作制度，确保各项制度的落实与执行。

1.2 定期审核与不定时检查相结合的机制

为保障信息系统正常运转，相关人员没有工作上的疏漏，建议采取定期审核及不定期抽查相结合的机制。建议选拔内部民警进行专门培训，深入了解该地市信息化建设的整体规划，并定期到各部门进行审核。为了使得审核更具客观性，建议制定并实施详细的、行之有效的测评体系，并聘请第三方机构的专家定期到地市公安机关进行审核工作。并由审核小组相关人员书写“审核报告”，汇报审核的具体情况，并针对存在问题的地方，结合一线工作民警提出改进合理的改进建议，提交信息化保障协调组研究批示。

1.3 定期汇报及持续改进机制

审核小组成员应定期（建议一年至少一次）向信息化保障领导组汇报保障体系的运转工作，以便信息化保障领导组能够识别保障体系是否有效运行，哪些地方亟待改进，审核组提出的改建建议是否合理等等，并综合这些建议制定出未来一段时间的发展规划。

2 信息化保障体系量化测评构架

为确保审核的客观性，建议可借鉴ISO/IEC TR 13335-3[8]，OCTAVE[9]，NIST SP800-30[10]等风险管理相关标准，对信息化建设中的相关资产进行测评，评价出存在较高风险的资产，并对高风险资产重点处理。信息化保障体系量化测评构架如图2所示。

图2 信息化保障体系量化测评构架

如图所示，建议根据各个警种不同职能，对信息化资产进行分类并确定其级别。重点分析重要信息资产所面临的外部威胁；自身存在的脆弱性及漏洞；并确认对此已经采取的控制策略，已经采取控制策略的有效性等。根据分析的结果对信息资产进行综合评价，根据量化的测评结果，甄选出亟待解决的严重问题。汇总各方面意见，依据信息保障领导组的决议，确定是否规划控制策略来处理这些存在着的问题及隐患，最后，落实并实施这些规划好的控制策略，使得这些残余风险落到可接受的范围之内，以保障公安信息化建设的正常运行。

3 结论

公安信息化建设是公安部门实现科技强警的重要部分，是保证公安系统案件侦破时资源共享、各警种、各地区联合作战的基石。本文主要对如何保障信息化的深度应用提出了一些观点及看法，以期能构建出一种完善的、简单可行的、能够更好地保障信息化服务公安实战的监督、测评体系。

[1]信息安全管理体系教程.中国标准出版社.2007.3

[2]孟建柱在广东调研时强调要牢固树立人民公安为人民的宗旨努力把社会管理创新成果惠及于民.汪洋黄华会见孟建柱一行

[3]包丽茹, 田锐. 科技引领和支撑现代警务机制初探.内蒙古科技与经济. 2009(24)

[4]朱明. 科技强警与公安科技管理. 科技管理研究. 2009(7)

[5]陆克泉, 吴向明, 虞小立. 依托科技强警建设推动公安科技和信息化应用大发展. 广西警官高等专科学校校报. 2009年增刊

[6]ISO/IEC 27001 Information Technology—Security techniques—Information security—management systems—Requirements. ISO, 2005

[7]王靖亚, 黄明, 巩荣. 公安信息化信息安全指标体系研究. 中国人民公安大学学报(自然科学版). 2008(4)

[8] ISO/IEC 13335-1:2004 Information technology—Security techniques—Management of information and communications technology security—Part1: Concepts and models for information and communications technology security management. ISO, 2004

[9] OCTAVE Operationally Critical Treat, Asset, and Vulnerability Evaluation.

[10] NIST SP800-30 Risk Management Guide for Information Technology Systems. NIST, 2002

Various Mechanisms Guarantee the Deepening Application of Information Technology

LIU Qi (Department of information security, Henan Police College Zhengzhou Henan 450002)

An information technology guarantee system using various mechanisms was proposed in this paper, to guarantee smooth running of information technology, and serve public security practice. Referenced on PDCA model used in ISO/IEC 9000 and ISO/IEC 27000, through circulating mode, the potential or existing problems could be found and modified to guarantee the deepen application of information technology.

10.3969/j.issn.1001-8972.2011.15.044