◆武建双
网络安全测评项目质量管理浅析
◆武建双
(合肥天帷信息安全技术有限公司 安徽 230000)
随着信息化进程的深入和互联网的迅速发展,信息安全显得日益重要,国家对此十分重视。因此如何高质量完成网络安全测评,如何在过程中监控落实意义重大。本文从完善测评项目管理框架、强化全生命周期培训、关注全生命周期沟通、建立健全质量控制体系、完善持续服务体系等五大方面,简要阐述了如何提高网络安全测评项目的质量管理,旨在为保障测评项目高质量顺利实施提供可参考的意见。
质量管理;管理框架;培训;沟通;持续服务
网络安全等级保护测评工作,是针对我国境内的网络系统,按照《GB/T 22239-2008 信息安全技术 信息系统安全等级保护测评要求》落实对应等级的网络安全要求,主要从技术和管理两大版块,涉及物理安全、网络安全、主机安全、应用安全、数据备份和恢复、安全机构、安全制度、人员安全管理、安全建设、安全运维共十大领域,数百个控制点,上千个检查项,帮助各单位发现问题,开展对应的差距分析、风险评估、建设整改等工作,最终达到网络安全水平的提升的目的,从而保障公民、法人、社会秩序和国家利益。
网络安全测评项目能否高品质的完成,决定了我国等级保护制度落实的质量,因此,探索如何提升测评项目完成质量,如何在过程中监控落实等工作的意义重大。
按照《GB/T 28449-2012 信息安全技术 信息系统安全等级保护测评过程指南》的要求,网络安全等级保护测评工作,主要分为准备阶段、方案编制、现场测评(初测、整改、复测)、报告编制四大阶段,通常实施周期为3-4个月,部分项目可能会长达一年。网络安全等级保护测评工作需要委托单位相关人员(内部信息安全技术人员、第三方技术人员、人事行政、财务人员、物业管理、相关领导等)、委托单位所在地公安局网络安全警察、测评机构人员(商务、技术、质控、售后等)等,整个项目参与人员较多、人员成分复杂、周期相对较长,对项目管理的要求较高。
基于多年的实践,我们针对网络安全等级保护测评项目管理,从项目阶段、项目流程、实施方案、质量管控做了梳理和优化。
按照PMBOK的五个过程组,从启动过程组、规划过程组、执行过程组、监控过程组、收尾过程组来规范项目管理工作。网络安全等级保护测评项目各阶段都需要按照这五个过程组来开展,在《GB/T 28449-2012 信息安全技术 信息系统安全等级保护测评过程指南》的基础上,我们将项目优化为对接版块、测评版块、交付版块,对接版块分解为内部对接、三方对接两大阶段,测评版块分为准备实施、方案编写、现场测评、报告编制四大阶段,交付版块分为报告交付、结项回款、后期服务三大阶段,各阶段又分解为多个控制点和要求项,形成了网络安全等级保护测评项目管理的3大版块、9大阶段、30个控制点,108个要求项的项目管理框架,如图1。
网络安全等级保护测评工作是一项对信息安全技术要求相对较高的工作,整个工作涉及到技术和管理两大板块十大领域,包含物理、主机、网络、应用、数据、管理机构、管理制度、人员管理、建设管理、运维管理。测评不仅要对国家标准非常熟悉,还要深刻理解其内涵及要求,同时,还需要了解十大领域的安全基线和各行业的特殊要求,不仅能发现问题,还能给出相应的整改建议。不仅能现场完成测评,还要能撰写高质量的项目报告。所以,项目全生命周期的培训就显得尤为必要。全生命周期的培训由定期培训和不定期培训、集中培训和短期培训、技能培训和技巧培训、质量培训和安全培训、面授培训和远程培训等多种形式、多种内容、多种方式相结合的方式构成。
图1 网络安全测评项目管理框架
网络安全等级保护测评工作中,测评机构和委托单位的关系很微妙,既不是传统意义上的甲方、乙方的关系,也不是上下级的关系。整个项目的干系人涉及内部、委托方、公安、运维方等,人员组成很复杂,要想保障项目顺利实施,良好的沟通是必备要素。尤其是《网络安全法》于2017年6月1日才正式施行,整个社会对《网络安全法》的理解,对网络安全等级保护工作的重要性理解不够,使得项目实施过程中面临着各种阻力和困难。为了保障项目实施的质量,我们在测评项目全生命周期都制定了较为完善的沟通要求和对应的培训及考核。如我们在准备阶段举办项目启动会,要求委托单位的技术骨干、网络安全直接负责人、相关部门领导、单位主要领导共同参与,让大家了解国内外的安全形势、面临的安全威胁、未来的安全风险、等级保护测评工作的重要意义以及此项工作给委托单位带来哪些切实的帮助和提升,让项目启动会成为我们和委托单位项目实施规划的交流、网络安全技术的交流、网络安全法律和意识的宣传平台,从而保障项目的顺利实施。
网络安全等级保护测评工作中涉及的环节较多,技术点也很多,同时流程特征也很明显,前期的工作不到位,后期再努力都无法弥补,甚至连返工的机会都没有,只有建立全生命周期的质量控制体系,才能保障测评项目的质量。我们在测评项目实施的各环节都设定了质控的关键节点,每个节点都设计了相关的考核标准及奖惩措施,从每一个环节保障项目质量。如报告编制,我们设计了项目经理自审、小组内审、质控三审和终审四个环节,每个环节都设置了从内容到形式的评价指标及奖惩措施,通过这种方式使报告的编制水平获得了大幅度的提升。
传统意义上网络安全等级保护测评工作在报告交付后,项目就全部结束了。这种对项目结项的定义不能说错,但这种定义在现实的工作中,一方面不利于委托单位的持续改进,另一方面不利于测评机构的业务连续性。为了改变这种现状,我们提出了测评项目交付后持续服务的概念,并落实执行。持续服务主要包含培训服务、技术支持、关键节点保障三部分内容,培训服务包含安全意识培训和技术培训,技术支持包括专业技能支持和管理支持,关键节点保障主要是帮助客户在重大业务节点提供全面保障,实施半年来获得了客户的良好评价并且很多客户和我们签订了后续测评服务协议。
网络安全等级保护测评项目虽然已经有十余年的历史,但从目前情况来看,它又是一个全新的项目,需要完善和升级的地方还有很多,我们只有在不断摸索、不断创新中提升,将网络安全等级保护测评工作落到实处,为我国的网络安全事业贡献绵薄之力。
[1]GB/T 28449-2012.信息安全技术 信息系统安全等级保护测评过程指南.
[2]GB/T 25058-2010.信息安全技术 信息系统安全等级保护实施指南.