电子政务基于安全核心及多标准融合的管理体系构建研究

陶毅国

摘要：分析了电子政务从建到管的重点变化及面临挑战，提出以安全为纲是当前提升电子政务管理水平的有效途径。在比较分析IT服务管理体系ISO20000、信息安全管理体系ISO27000、信息安全等级保护制度、软件能力成熟度集成模型CMMI这四个国内外常用标准的基础上，论述了四个标准融合以构建电子政务管理体系的可行性、必要性，给出了体系构建的融合四原则、四级五类融合方案、注意要点。

关键词：电子政务；管理体系；标准融合；信息安全；等级保护；ISO20000 ISO27000 CMMI

一、政府信息系统管理面临的挑战

（一）电子政务从建到管的重心转换

我国电子政务建设从上个世纪开始，政府信息系统围绕“两网、一站、四库、十二金”的规划建立了大量的信息管理系统，政府业务主要流程已经基本实现了信息化、网络化、自动化[1]， 成为政府行使管理职能、为社会提供公共服务的不可或缺的基础技术支撑平台。

各级政府信息部门的工作从以建为主，逐步转向以安全为核心目标的日常管理为主。

（二）电子政务系统管理面临的重大挑战

电子政务系统管理面临诸多挑战，主要包括：

1）管理意识落后：“重技术、轻管理”、“重建设、轻维护”等现象依然存在，一些领导对新建项目关注较多，对日常管理重视程度不够；[2]

2）低水平运行：信息部门普遍采用经验管理法则，“摸着石头过河”。日常工作中常处于被动应付与“应急救火”状态.。对项目建设、运维外包的供应商的管理缺乏有效量化手段，管理粗放；

3）制度系统性差：系统管理的制度制订与实施缺乏科学方法指导，系统性较差。各制度之间重复、冲突在所难免，许多工作却又无章可循。制度要求过高或过低，可操作性、可核查性较差；

4）信息安全重视不够：一些单位从领导到一般人员仍存在着信息安全及系统可靠性全部是IT专业人员的事等错误认识，在人财物及制度监督等方面都没有得到重视。

以安全为核心是当前提升电子政务管理的最佳途径

建立以信息安全为核心的电子政务管理体系，是当前快速全面提升电子政务管理水平的最佳路径。

（二）信息安全与信息系统管理的原理目标一致性

信息安全CIA基本属性指保密性（Confidentiality）、完整性（Integrity）、可用性（Availability）。信息系统达到了CAI这三方面要求也就实现了系统管理的基本目标。

信息安全与系统管理在以下方面是一致的：全生命周期包括设计、实施、运行、废止四个阶段的管理，性能、成本、安全之间的平衡，终极使命均是为了保障信息系统实现组织的使命。

（三）加强信息安全是电子政务的迫切需求

当前我国信息安全形势严峻，主要体现在：

黑客从谋利角度会特别关注象政府信息系统这样有大量个人宝贵隐私信息的数据库；

斯诺顿事件揭露出，国外情报机构利用其掌握的技术优势，对国内政府机构的信息系统进行大量入侵，形势严峻；

国内电子政务采用的核心软硬件设备基本都是美国的，一段时间内想要完成去IOE暂时还做不到；

一些政府机构的安全意识淡薄、内部管理不严、操作不规范等情况加重了电子政务系统所面临的风险。

（四）信息安全是国家对电子政务系统的基本要求

2014年成立“中央网络安全和信息化领导小组”，中共中央总书记、国家主席、中央军委主席习近平亲自担任组长。国家将信息安全重要性提升到一个前所未有的高度。

政府为电子政务信息安全颁布了一系列法规与条例：1994年国务院令第147号《计算机信息系统安全保护条例》首次正式提出安全等级保护要求；公安局公通字[2004]66号《关于信息安全等级保护工作的实施意见》对涉及社会秩序、公共利益的信息系统安全等级保护作出了法定要求；国信办[2005]25《电子政务信息安全等级保护实施指南（试行）》明确了电子政务等级保护的具体要求。

电子政务作为涉及社会秩序、公共利益的重要信息系统，保障其信息安全是政府部门的法定基本义务，是对系统管理的基本要求。

二、国内外信息系统管理标准简介及融合分析

（一）主要标准介绍

信息系统管理相关标准较多，现将国内外应用比较广泛的四个标准作简单介绍。

IT服务管理体系ISO20000：从英国ITIL脱胎而来，现已为ISO标准，我国等同采用标准号为GB/T 24405，是信息系统在运行维护阶段的专门标准。该标准定义了一系列比较抽象的流程目标，以达到运维管理的质量，包括5大过程13个管理方面，信息安全是其中一个管理方面。

信息安全管理体系ISO27000：从英国BS7799发展面来、现为ISO标准，我国等同采用标准号为GB/T 22080。该标准强调以风险控制点来达到信息安全管理目的。标准要求从11个方面共计133项控制措施建立起一个组织的信息安全管理体系。

信息安全等级保护制度：我国公安部等机构制订，包括《信息系统安全等级保护基本要求GB/T 22239》等一系列国家标准。该标准要求从5个技术、5个管理共计10大方面，对5类不同等级的信息系统提供不同的安全防护。

软件能力成熟度集成模型CMMI：由美国卡内基-梅隆大学软件工程研究中心（SEI）建立，用于建设或评估一个组织的软件过程能力成熟度。模型将软件能力分为5级。成熟度达到3级时，组织必须在18个过程域，每个过程域涉及的12个通用实践及相关特殊实践方面达到模型规定要求。

（二）标准关联性及融合可行性

各标准所属领域、生命周期各阶段的对应情况列表分析如表1下。

对标准综合分析后可以得出以下结论：1）等级保护与ISO27000虽然在强制性要求、实施对象范围、具体做法上存在不少差异，但二者同属信息安全的专门标准，目标一致，共通性最强，也最容易整合。一般体系参照ISO27000，而具体措施要求参照等级保护；2）ISO27000与ISO20000在事件、业务连续性等管理方面有较大的共通性，在能力、变更、发布、供应商、问题管理等方面也存在许多交叉点；3）ISO27000在风险评估、最佳控制实践、全面安全管理等方面有优势。等级保护较符合中国行政管理习惯，各级要求明确具体，在重点保护原则、容易参照执行等方面有长处。[3]但在系统性方面与ISO体系有一定差距；4）CMMI的项目计划、变更管理、配置管理、组织培训、风险管理等过程域与信息安全、运维管理的标准有很多相关、交叉的要求；5）ISO27000、等级保护在规划、建设阶段仅限于安全方面要求。CMMI虽是针对软件开发的一个标准，但模型要求的通用实践对信息系统各阶段管理均具有较强的参考价值，可以弥补规划、建设这二个阶段中其它三个标准的不足。

表1

[针对领域＼& 标准 阶段＼&规划＼&建设＼&运行＼&废止＼&系统运维＼&ISO20000＼&无＼&无＼&有＼&无＼&信息安全＼&ISO27000＼&有＼&有＼&有＼&有＼&信息安全＼&等级保护＼&有＼&有＼&有＼&有＼&软件开发＼&CMMI＼&有＼&有＼&部分有＼&无＼&]

四个标准面向信息系统某一领域的特定管理，采用的系统化理论、过程化方法存在大量共通性、相融性，是可以融合在一起的。

电子政务是我国信息化应用中比较成功的领域之一，业务需求实、系统投入大、应用基础好、监管力度强，从电子政务开始推动多标准融合、高起点的系统管理，是现实可行的。

（三）标准融合的必要性

系统管理涉及信息系统的全生命周期，是以安全为核心多目标的任务。各标准着眼于某一专业领域或某一特定阶段，单一采用某标准均不能完全覆盖系统管理的全部。

部分单位建立了基于多个标准的、相互独立的管理制度，则有可能会造成制度之间的重复问题，执行人员面对繁多流程难于掌握与执行，表单的重复填写与多重审批，不仅增加工作量，也严重降低工作效率。

因此，融合各标准的优点，建立一套系统、规范、实用的电子政务管理体系是十分必要的。

基于安全核心及多标准融合的电子政务管理体系构建

在政府部门、大型事业单位的信息安全、运维管理咨询的实践基础上，我们总结了电子政务管理体系构建的一些经验，与大家分享探讨。

（四）多标准融合四原则

电子政务系统管理多标准融合应遵循以下原则：

1）系统性原则：以系统工程思想为指导，建设以安全为核心的信息系统管理体系。体系应覆盖规划、建设、运行、废止全生命周期，管理对象应包括信息系统相关的全部信息资产；

2）实用性原则：整合各标准的体例、分类、术语、方法，摒弃标准中过于学术化与抽象的描述，统一规划、简单明了，保证体系获得明确、快捷的理解与执行。在兼顾标准要求基础上，具体措施应结合单位实际情况，吸纳已有成功做法；

3）灵活性原则：针对不同的信息系统规模、等保备案级别，使用中可以进行灵活、便捷的裁减。

4）合规性原则：管理体系运行结果可以同时通过政府信息安全主管部门、体系外审机构的测评、审核等要求。

（五）四级五类的体系融合方案

在研究及大量实践的基础上，我们提出了电子政务管理体系四级五类的融合方案。

按层次关系划分为四级文件：

1）一级文件--制度总则：规定了系统管理的范围、方针和目标，原则、方法及职责，主要管理过程综述。

2）二级文件--管理制度：具体规定各个方面的管理要求；

3）三级文件--规范文档：对制度的细化与明确，包括技术规范、SOP、方法、细则等；

4）四级文件--记录模板：包括表单、报告等模板。

按类别属性划分为A-E五大类制度：

A）制度总则类：制度总则及其下级文档，包括组织架构、体系负责人任命、安全区域示意图等；

B）系统管理综合类：各阶段共通的管理要求，如文件记录、人力资源、配置、变更、事件、问题、合规性等方面；

C）信息系统建设类：信息系统建设阶段相关管理文件，主要制度是项目建设管理制度，涉及立项、采购、建设、试运行、验收等。由于软件开发的特殊性，可参考CMMI专门建立软件开发涉及的需求、设计、测试、试运行等阶段的专门要求；

D）信息系统运维类：信息系统运维到终止阶段相关管理文件，主要参考ISO20000及信息安全相关要求，如信息资产、持续性可用性、业务关系、供应商、预算及考核，以及物理、网络、主机、应用、数据的安全要求；

E）信息安全专项：信息安全专门的管理文件，包括信息安全风险评估、信息安全等级等。

（六）体系建设过程中注意要点

在制度的具体制订、实施、检查、审核过程中，应特别注意以下要点：

1）管理意识培育：应通过宣传、培训、考核等方式，树立单位全员人员对系统管理的正确认识。[4]例如：领导层要认识到对系统管理工作的资源保障、监督管理的责任；全体人员要意识到保障信息系统安全可靠人人有责；

2）人性化落地措施：管理体系本身复杂又专业性强，但涉及全体人员的要求并不多，可专门整合成册并人手一本，如能通俗化图画化则更佳。还可以采用上墙告示、目视化管理等方式，提高体系落地的有效性；

3）应用于外包管理：系统管理工作外包后，相应管理制度应成为对外包人员的要求；

4）软件工具的作用：软件工具可以使体系实施中减少工作量、固化流程、强化监督、提高效率。ISO20000相关的运维工具，只要增加规划、建设阶段的审核流程，就能满足体系的大多数管理需求。

参考文献

[1] 李长征.中国电子政务运维管理现状与发展趋势（J），电子政务，2008年，第12期，19-20

[2] 高用成.对海关信息系统运维管理工作的思考（A），信息科技，2010年，第21期，215-215

[3] 王闪闪.ISO27000与等级保护系列标准对比研究（D），陕西师范大学硕士学位论文，2010-06，41-45

[4] 武晓春、王茵、刘永庆.面向组织机构的人员信息安全意识培养模式研究（A），电脑知识与技术，2011年，第34期，Vol.7