本论文是一篇关于信息安全论文发表,关于如何有效地监管等级测评机构相关硕士毕业论文范文。免费优秀的关于信息安全及信息系统及机构方面论文范文资料,适合信息安全论文写作的大学硕士及本科毕业论文开题报告范文和学术职称论文参考文献下载。
摘 要:立足于信息安全等级保护工作,吸取浙江省在等级保护测评机构的管理上的经验,研究和探讨如何有效地管理等级保护测评机构,以确保测评机构管理和技术能力得到不断提升,保证测评机构在等级测评上的独立性、公正性和合规性,并对促进等级测评的顺利开展提出改善方向和意见.
关 键 词:等级保护;测评;信息安全;管理
中图分类号:TP393
文献标志码:C
文章编号:1006-8228(2011)12-60-02
0引言
信息安全等级保护作为国家信息安全工作的一项基本制度、基本国策,已经在全国实行多年,各信息系统运营使用单位都深刻认识到等级保护制度的重要性.在我国信息安全等级保护制度中,等级保护分五个工作环节――定级、备案、建设整改、等级测评和监督检查.其中,等级测评是等级测评机构依据国家信息安全等级保护制度规定,受有关单位委托,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行的检测评估活动,是信息安全等级保护工作的重要环节.
随着等级保护工作的不断推进,等级测评机构的体系建设也在不断深入,全国等级测评机构的数量在不断增加,测评机构的品质和能力、测评人员的水平和素质、测评竞争环境等诸多方面的问题将不断出现.因此,加强对等级测评机构的合理、有效监管,对提升测评行业质量,保证测评数据公正、客观,以及保障重点行业的重要信息系统安全等至关重要.
1国家层面对测评机构的监管模式
测评工作作为等级保护制度中最重要工作环节,具有明显的专业性和技术性恃点,其政策导向性强.因此,仅有相关测评技术标准是不够的,测评机构的体系化、规范化管理也是关键.
2009年7月公安部开始信息安全等级保护测评体系建设试点工作,其目的是探索信息安全等级保护测评体系建设和管理的模式和经验,保证全国重要信息系统等级保护安全建设工作的顺利开展.试点工作主要在浙江、重庆、河南、广东等省市展开.其主要内容是根据《信息安全等级保护管理办法》和有关技术标准完成五个方面的工作:一是检验并完善等级测评机构应具备的条件;二是检验并完善等级测评机构建设的主要内容;三是检验并完善等级测评人员管理的主要内容;四是检验并完善等级测评工作规范性要求的主要内容;五是检验并完善测评机构监督管理的主要内容等.从试点工作情况分析,国家对等级保护测评机构的监管模式采用的是能力评估和政府干预相结合的模式.
| 有关论文范文主题研究: | 关于信息安全的论文范本 | 大学生适用: | 在职研究生论文、研究生论文 |
|---|---|---|---|
| 相关参考文献下载数量: | 96 | 写作解决问题: | 毕业论文怎么写 |
| 毕业论文开题报告: | 文献综述、论文结论 | 职称论文适用: | 技师论文、初级职称 |
| 所属大学生专业类别: | 毕业论文怎么写 | 论文题目推荐度: | 免费选题 |
从工作程序上分为四个步骤:
(1)各测评机构向设区的市级以上所在地公安网安部门申请,公安网安部门根据《信息安全等级保护测评工作管理规范(试行)》对测评机构所提交的申请材料进行审核,审核通过后,提交给上一级公安网安部门报批,并予以受理.
(2)公安部网络安全保卫局统一将各地上报的测评机构信息转发给公安部信息安全等级保护评估中心,由评估中心按照《信息安全等级测评机构能力要求(试行)》对各测评机构进行能力评估.能力评估通过后,由评估中心将能力评估材料递交公安部网络安全保卫局审核批准.
(3)各省公安网安部门收到公安部网络安全保卫局对测评机构审核的意见及相关证书,下发给各地网安部门.
(4)公安部信息安全等级保护评估中心在网站上公布测评机构名单,接受社会监督.
能力评估的内容和要求上,分为组织管理能力、测评实施能力、设施和设备安全与保障能力、质量管理能力、规范性保证能力、风险控制能力、可持续发展能力等七个方面和基本要求、约束性要求等两个部分.
2浙江省等级测评机构现有监管模式
浙江省信息等级保护工作一直处于国内前列,2006年就颁布了《浙江省信息安全等级保护管理办法》(省政府第223号令),并在同年开展了全国等级保护试点项目.通过多年积累的经验,2007年浙江省开始在测评机构管理、测评工作模式等方面进行探索,初步形成具有浙江特色的等级保护测评机构监管模式.
(1)以社会协会管理为主,政府监管为辅的管理模式
浙江省结合实际,政府层面出台了《浙江省信息安全等级保护测评机构管理规定(试行)》,明确了省内从事等级测评工作的单位性质、条件和义务等要素.社会协会层面出台了《浙江省信息安全测评机构资信等级评定管理办法(试行)》实现测评机构资信等级一、二级管理,形成测评机构管理行业规范,变政府由市场参与主体向市场监管主体转变,由管理审批型向管理服务型转变、由直接行政干预向间接宏观调控转变.
(2)建立以行业自律管理为主的监管体系
严格测评机构行业自律管理,测评机构间签署《信息安全等级保护测评机构行业自律公约》,强化机构自律化管理,进一步规范测评机构行为和工作秩序.
(3)建立机构统一管理标准,专控审查机构自身及人员能力建设
全省测评机构必须按照“审核标准统一,管理规范标准统一、技术标准统一、测评工具标准统一、报告样式标准统一”的五统一规范开展测评工作,并由政府组织机构年审,设立准入准出机制.测评机构的能力审查对测评过程中技术人员行为的规范性、合理性和程序标准性,对机构业务范围、管理能力和技术能力要求等给予明确规定,规范申请、审核、查验和推荐流程,组建由公安、保密、密码管理、信息办和安全等部门专家组成的专门审查小组对机构背景、管理水平、资格和技术能力进行量化评价,作为推荐依据.同时,严格规范测评机构工作程序,加强对机构内部管理规范化建设督导,要求健全人员管理、项目管理、文档管理、设备管理、保密制度等各项制度,要求制定《质量手册》、《程序文件》、《作业指导书》、《测评过程记录表单》等测评实施过程文档,完善测评实施规程.
全省机构都已被要求必须获得CMA中国计量认证,并被引导和鼓励去获得CNAS实验室认证、ISO27001认证等.所有从业人员必须获得初级以上“测评师”技术证书,测评工作中持证上岗.对测评从业人员要进行录用考核、备案和背景审查等工作.
3现有监管模式的不足
在现行的测评机构监管模式中,我们侧重于对测评机构应具备条件(包括审核是否在境内注册成立、注册资本多少、法人资格、公司已有的资质、测评人员已获得的技术认证等)的监管;仅关注机构是否已具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等制度,而对这些制度的落实情况及执行情况缺乏有效监督;对测评活动实施过程中的合法性,有效性问题缺乏必要的考量.
4对测评机构进行有效性监管方法的探讨
(1)对测评机构的测评大纲实行报备审核
测评大纲应是等级测评机构的整体测评策略性文件,能综合反映不同测评机构从事等级测评活动的经验、知识、测评方法和测评程序.基于对被测评单位的利益保护以及对测评机构的监管要求,测评大纲应具有法律效力,须报公安机关审核备案后使用.测评机构&
13888888888
点击咨询 