4.4 是否明确了管理事项发生的具体时间、周期或触发条件
保密标准中明确了必须定期开展的多项管理事项,但在涉密信息系统建设使用单位制定管理制度时,却很少结合自身情况确定开展相关事项的周期、时间或触发条件,这往往导致有关规定流于形式,不仅难以监督,而且还容易导致实际操作中必要环节的缺失。
4.5 管理事项应可审计
涉密信息系统由于安全保密管理失当导致出现安全保密事故,其结果往往存在影响大、责任重、处理严的特点。为杜绝出现安全保密管理责任事故、明确相关管理责任,也为发生事故后能够及时追查原因、减小事故造成的损失、定位责任人员或环节,以及提出合理的处理意见,必须加强涉密信息系统安全保密管理中重要事项、重点环节的审计。
5、管理体系应能够自我改进
涉密信息系统的安全保密管理不是一成不变的,而是随着技术的发展、网络结构的变化、用户的增减、人员安全保密认识的不断深入等情况动态变化的。涉密信息系统的安全保密管理体系只有具备了随着来自内部或外部的变化,不断自我适应、自我完善的能力,才能实现保护国家秘密这一最终目标。国家保密标准中也指出要通过分析异常事件、定期自评估和检查评估等手段,发现安全保密管理的薄弱环节并不断改进完善。因此,在测评实践中,要分析被测涉密信息系统的安全保密管理体系是否具备自我改进的能力,以防止在涉密信息系统开通运行一段时间后,出现安全保密管理体系与实际的管理需求不相适应的情况。
6、结语
本文根据中心参与涉密信息系统测评工作的经验和认识,就如何把握涉密信息系统安全保密管理的测评要点进行了讨论。由于在实际测评工作中,安全保密管理体系的评价存在较大的主观色彩,就本文中的不当之处,欢迎大家批评指正。
版权声明:本文出自山东省软件评测中心,51Testing软件测试网原创出品,未经明确的书面许可,任何人或单位不得对本文进行复制、转载或镜像,否则将追究法律责任。
