浅谈开展质监信息系统等级保护测评的意义与实践
2021-02-18赵亮
赵亮
摘要:根据当前信息系统发展监督管理过程中所面临的信息人力资源共享差、信息系统综合利用功能不完整等问题,在总结了信息系统发展监控预警系统的国内外研究和应用经验的基础上,围绕着“等级保护测评”的核心理念,从促进信息管理多元化、市场监管等多方和社会各类行政管理监督主体信息系统整合与资源共享的角度,对中国信息系统质量发展监控预警展开了系统分析,并研究了开展质监信息系统等级保护测评的意义与实践。
关键词:质监信息系统;等级保护测评;意义;实践
引言
近年来,由于我国经济社会的快速进步和发展,因此,我国迫切需要培养一批具备创新思维能力、并且具备数字化认识的新型人才,以此为基础来支持和保证我国制造工业的发展及其在国际竞争力中的提升。而当前,信息化已成为当今世界科技、国民经济和社会发展的重大趋势,而计算机技术以其高渗透性和高度集成性,正在越来越深入地影响着人们的日常生活和各种经济社会活动。信息化在质量与技术监管行业中的广泛运用与实践证明,信息化发展必将带动质量标准化、计量、认证评价、特种设备、质量信用、生产监管、质量检验测试、依法打假等质监核心行业工作效率、监督方式、执行能力和服务质量的总体改善与提高。推进信息化建设步伐,进一步提升质监信息化管理水平,是实现"质量强国"、开创“质量时代”的必经之路。
一、等级保护重要性
安全是发展的前提,发展是安全的保证,安全与发展要共同促进,说明了在中国信息化的建设中网络安全的重要性。而当前在我国信息系统工程监理工作的一个重要前提与基础就是正确认识核心素养的具体内容与其外延,维护我国互联网安全的基本机制、方针和办法就是进行对网络安全级别的分级维护工作。实施了安全级别防护工作,就能够把互联网安全中存在的重大危险以及面临的主要问题合理的化解。就能够在进行信息化工程建设的同时,便于部署安全基础设施和协调共同维护安全和信息化工程建设;也能够对信息系统安全的工程建设与管理两个方面,进行系统化、针对性与可行性强的技术引导和咨询服务,同时也可以更有效地把安全工程建设成本控制在合理范围之内;有利于优化国家安全资源配置,建设重要信息安全设施,提高国家安全防御能力和威慑能力。所以,对实施国家信息系统的分级维护工作意义重要。随着信息化业务系统和数据中心的建设使用,业务信息量的日益增大,系统内用户、社会公众和政府管理部门对信息化建设中机房安全、设备安全、网络安全、系统安全、数据安全的建设、规范和管理能力有了新的更高的要求。
二、风险质量定性分析对等级保护测评的影响
风险质量定性分析是在对测评内容和要求熟悉的基础上,分析测评控制点中可能存在的风险的可能性和影响的过程。测评工作虽然不能完全摆脱个人主张或判断,但测评人员应当在没有偏见和最小主观判断情形下,按照测评双方相互认可的测评方案,基于明确定义的测评方法和过程,实施测评活动心。因此,只有正确识别风险的基础上,测评人员才能有效地处理风险事件,规避风险发生。事实上风险分析贯穿于信息安全测评项目的整个生命周期,信息安全测评项目中的风险在很多的方面都有体现,测评控制点中的风险更是项目计划阶段和项目实施阶段必然面对的问题,一旦遗漏了某个或某些重要风险,就会导致测评结果的片面性,甚至导致项目失败。而且针对在信息系统等级保护项目中的监理,带有咨询服务性质的行业也会变得越来越多,因其在项目的设计立项、施工、评价、设计等方面也存在着大量的咨询服务,使咨询行业的发展前景有着很大的空间。所以,监理公司在发展自己的监理服务时,还需要开拓和创新服务,需要参考其他各地在此方面的经验,根据自己公司的发展状况,形成可以适应公司发展的战略。要想让咨询行业获得更良性的发展,还必须健全相应的规章制度以及公司管理制度,并强化行业自律,严格地依据相应的管理准则和标准开展运作。另外,还需要组建咨询服务协会,并出台相应的质量标准、服务收费规范和职业道德准则等,并制定了咨询服务业务的质量评估机制以及服务资质等级考核制度。
三、建立健全等级保护防护体系
安全防护体系包括物理环境安全、网络安全防护、系统安全防护和应用安全防护等多个方面。建成后的安全保障体系将充分符合国家等级保护标准,能够为本单位信息系统稳定运行提供有力保障。将信息系统从结构上划分为不同的安全区域,各个安全区域内部的网络设备、服务器、终端、应用系统形成单独的计算环境、各个安全区域之间的访问形成边界、各个安全区域之间的连接链路和网络设备构成了网络基础设施。因此方案架构设计将从保护计算环境、保护边界、保护网络基础设施三个层面进行设计,应制定整体安全策略,对安全薄弱环节预先保护,对安全事件能够实时监控,并能针对遭受到的威胁进行实时响应,保证信息的安全和系统连续正常的运行。因为信息产业自身的特殊性,在国家现有的法规体制上并无法对其进行有效的实施,同时信息产业监理工作也是在近些年才逐渐蓬勃发展起来的,属于新型业务领域,这也在一定程度上导致了不少人员对监理工作的具体服务内容比较陌生,不知道工作人员所必须履行的职能以及所拥有的权力和义务有哪些,在进行工作业务的分配时,常会发生各类争议。所以,政府部门有关人员必须按照信息产业监理工作的具体工作内容和性质健全相应的规章制度,促使信息产业的监理活动走向越来越规范,从而建立行之有效的监督机制,促进监管业务的良性发展。监管制度的健全不是一朝一夕可以实现的,而是一项长期的发展过程,所以各地人民政府就必须在国家政府制定有关法规政策以前,就针对当地所监理产业的发展趋势出台地方立法对之加以规范,以促进该产业在长期发展过程中始终都处在合理的发展轨迹,从而发挥信息工程监管的巨大功能。
四、质监信息系统等级保护测评的原则
在实际质监信息系统等级保护中对评价指标打分进行量化的过程中,应该通过使用评估专家团队对评估指标的调查,得到评估指标的等比较矩阵后,使用多维度分析法对评估指标的权重进行计算和量化。由于每一个专家对其评价的侧重点有所不同,这样的评估方法能够对实际的内容进行动态的量化,可以有效地对实际操作中的各个环节做出有针对性的评估。经过这样的动态量化评估后,就已经达到了充分运用实际评估不断改善和提升信息监理系统质量的目标,这样的评估也就避免了简单地为打分而进行量化。而且一般来说,评价范例的变革必须要注重与评价体制改革相配套,同时还可以促进行业监理系统评估理论和实际应用模式的创新。评价范例的转换对于系统的更新升级起到很大的促进作用,支持行业的改革与转型,这不仅是符合当下的信息工程的体制背景,更是在现代化科技改革之下的一次伟大尝试。
结束语
实行信息系统等级保护意义重大。本文对开展质监信息系统等级保护测评工作的意义进行了归纳总结,对开展质监信息系统等级保护测评工作的策略进行了分析研究。实践证明,等级保护测评工作对全面提升质监信息化建设水平具有重要引领推动作用。
参考文献:
[1]温丽云. 浅谈开展质监信息系统等级保护测评的意义与实践[J]. 电子世界,2017(18):31-32.
[2]王智,王大萌,刘兆东. 等级保护测评中的风险质量定性分析研究[J]. 信息技术,2014(10):185-187. DOI:10.3969/j.issn.1009-2552.2014.10.047.
[3]张晓丽. 我国信息安全等级测评师素质模型初探[D]. 北京:中国人民大学,2010.
[4]胡雅雯. 等级测评安全管理实践与探讨[C]. //第二届全国信息安全等级保护技术大会论文集. 2013:60-61.
[5]李之隆. 浅谈信息安全等级测评过程中的風险管理[C]. //第二届全国信息安全等级保护技术大会论文集. 2013:263-264.