在涉密信息系统测评实践中,因测评人员对国家保密标准理解的差异性,导致在评价时存在不一致、不规范的情况。针对这种情况,山东省软件评测中心根据参与涉密信息系统测评工作的经验和认识,对如何评价涉密信息系统安全保密管理体系的有效性进行了分析,提出了测评时应注意把握的测评要点。
1、应首先核实管理体系文件能否被执行
在涉密信息系统测评中,涉密信息系统建设使用单位一般均会依据国家保密标准制定有关管理体系文件,并确定相关责任部门和人员。但其所建立的管理体系能否被执行,不能仅仅简单依靠涉密信息系统建设使用单位人员的情况介绍,而应要求建设使用单位提供证明。
测评实践中一种情况是涉密信息系统建设使用单位能够提供成型的管理体系文件,但这些文件却并未经过正式发布确认,甚至还只是讨论稿。另一种况是有的单位虽然正式发布了安全保密管理体系文件,但发布的部门不具备相应权限,只能保证管理体系在本部门内被执行,无法保证管理体系在整个单位内被执行。此外,测评实践中发现,涉密信息系统建设使用单位往往将管理文件汇编并标定为涉密文件,按涉密文件进行管理,其印制的份数有限,也难于借阅。这样做虽然有利于对单位安全保密管理体系文件的保护,但同时也导致管理人员难以在需要时及时获得有关管理文件。
2、应从全局角度确认管理体系的完整性
对于已建立的管理体系,在核查其是否能够覆盖涉密信息系统安全保密管理的各个方面时,测评人员往往简单地从标准的各项具体条款入手,逐条查找相应的管理文件中是否设立了相应的规定。这种方式不仅操作繁琐,而且容易导致难以从全局的角度审视其管理体系的完整性。实际测评时应首先请涉密信息系统建设使用单位熟悉其安全保密管理体系的人员介绍管理体系文件的组成、相互关系、与保密标准的比对情况,之后再通过审视管理体系各个文件中所描述的适用范围,从全局的宏观角度确认其管理体系是否存在缺失。
3、采用风险分析的方法来确认具体
管理要求的合规性安全保密管理的具体要求与保密标准条款的符合性是系统测评时必须重点核查的内容。由于各项管理要求往往是根据涉密信息系统建设使用单位的具体情况制定的,若仅仅简单地核查管理要求的文字内容同标准中有关条款文字的符合性,则易于失去系统测评风险分析的本质,将合规性检查变成了文字核查。实际测评中,测评人员不仅要熟悉标准中各项条款的要求,更要明白各项要求中隐含的风险分析的思想与实质,采用风险分析的方法去判断各项管理要求同标准有关条款的符合性。
对于具体管理要求的合规性判定,测评人员一方面要深入理解标准有关要求背后所涉及的风险;另一方面要学会采用风险分析的方法,在涉密信息系统建设使用单位管理人员的充分配合下进行综合分析,而不应拘泥于具体的文字表述。
4、 应掌握评价管理制度可操作性的关键要素
安全保密管理制度的可操作性是保证整个管理体系正常、有效运转的基础。实际测评中,可以从以下几方面考查相关管理制度的可操作性。
4.1 是否明确了管理责任的主体
任何一项管理制度首先应明确所规定的管理事项针对的责任主体,即谁对此项规定的执行负责。
4.2 是否明确了管理的客体
关于具体事务的管理规定中各条款一般均会涉及被管理的对象,即管理的客体。清晰、明确的管理客体,是该项制度可操作性强的重要前提。
4.3 是否明确了操作的流程
关于具体事务的管理规定中若仅仅是提出要求,而没有详细的操作流程,则实际操作中容易因操作人员的水平、安全保密意识等的差异导致操作结果不同,甚至出现严重的安全保密事故。
