建立完整的检测认证体系对信息化建设与管理的重要意义
1 必要性
1.1 政策之需要
《国家信息化发展战略纲要》明确提出“建立涵盖规划、建设、应用、管理、评价的全流程闭环管理机制”、“推进网络安全标准化和认证认可工作,做好等级保护、风险评估、漏洞发现等基础性工作”。
《中华人民共和国网络安全法》明确要求“开展网络安全认证、检测和风险评估等安全服务”是网络安全重要的组成部分。
《金融和重要领域密码应用与创新发展工作规划(2018—2022年)》明确提出:“建立高质量密码供给体系和测评认证体系”是安全建设的重要目标。
上述的政策和要求充分体现建立完整的检测认证体系对于信息化和网络安全的重要意义。
1.2 管理之需要
对于政务信息化建设而言,顺应“放管服”政府职能转变的要求,通过有效的检测认证机制,一方面为信息化系统本身建立完善的保障支撑,另一方面顺应政府信息公开接受大众监督的治理体系要求。检测认证之于管理可起到整合外力,修正自身的作用,促管理即言之凿凿,更行之灼灼。
1.3 业务之需要
对于政府信息化主责单位(比如:信息中心)而言,最大的职能核心是“业务管理”(需求、设计、建设、运维等),而具体落实往往借助厂商或服务单位,而如何对厂商或服务单位的交付物有一个客观的评价就成了主责单位业务重要的保障手段。建立完整的检测与认证体系之于政府信息化主责单位就成为必要。检测与认证可以在业务上对可行性、安全性、合规性、科学性、合理性、公正性进行有效的支撑。
1.4 服务与诚信之需要
考量政府信息化水平高低的重要指标一方面看是否能提高业务效率,更重要的要看是否提高对外的服务能力,并是否提升政府公众可信地位和诚信形象。建立构建在标准、合规、权威基础上的检测与认证体系,及时提升服务水平和发布诚信数据,并接受全员监督是不二之选择。
1.5 市场公正、公平之需要
政府信息化的能力依赖于供货商和服务商,选择供货商和服务商应该遵照公平、公正、公开的原则。常用的做法就是,政府制定需求和管理标准,然后交由市场行为来完成选择。检测与认证体系,即是检测需求标准可行性、合理性、公正性的最好方法,又是验证市场行为是否公正、公平、公开的重要保障手段。
总之:建立以标准、合规、权威为基础的完整检测认证体系,对于政务信息化建设、管理、运维等有着重要的意义,是信息化管理部门最为重要的抓手,是管理者监督各个执行单位工作是否落实到位最客观、最公正的手段。
2 设计原则
2.1 坚持整体性,强调局部深化
信息化组成部分较为复杂,包括物理环境、计算环境、业务系统、管理系统、数据系统、网络系统、安全系统、人员、制度等等,为此一个完整的检测认证体系必须能在整体上涵盖上述部分,并且能在局部上进行深化,保障整体无漏项,局部无漏点。
2.2 坚持全过程,强调关键节点
任何信息化工作都存在设计(方案)、建设(工程)、应用(系统)、维护(操作)、更新(升级)等几个过程,彼此依赖,周而复始。完整的检测与认证体系需要融合信息化的整个全过程,并在每个节点上进行重点的展开。比如:在设计阶段,需要对需求、设计方案等进行合理性、可行性、扩展性、安全性、合法性、经济型等进行检测和认证;
2.3 坚持场景,强调数据核心
每个应用(比如:安防系统、办公系统等)在流程上自成体系,但应用与应用之间数据是交互的根本,为此对应用场景的检测和认证一方面要保证场景流程的完整性,又要确保应用彼此之间的数据流转的一致性。
2.4 坚持标准性,强调实际情况
目前信息化各个层面检测和认证的相关标准比较全面,检测和认证原则上需要遵从这些标准,但是每个系统都有自身的实际情况,必须量身裁衣,不能僵化。
2.5 坚持权威性,强调实操能力
检测和认证的相关方法、机构都应该采用有资质的、有权威性的,这是当前约定俗成的惯例,需要参考。检测和认证之于信息化意义如此重大,在坚持权威性的前提下,必须考虑实际的业务能力和服务保障,要做到权威、能力双保险。
2.6 坚持平台化,强调长效服务
检测和认证不能只是靠线下感官操作,需要配备专业化的系统或是平台,进行体系化和系统化的工具保障,检测和认证必须建立或者接入有针对性的检测和认证平台。检测和认证不是一撮而就的工作,而是伴随着信息化的全生命周期,平台配备完善的服务队伍才是检测和认证在执行层面的关键要素。
2.7 坚持可用性,强调安全性
检测和认证所对应的范围很广,每一个方面都涉及,将对于信息化的责任单位将是一项巨大的工程。为此在检测和认证的步骤上需要先从保障业务可用、安全性开始,逐步扩展其检测和认证范围。
3 操作方法
按照上述的设计原则,结合当前信息化的现状,适合信息化的检测和认证体系重点包括如下几个部分:
物理环境检测与认证
方案检测与认证
工程检测与认证
代码检测与认证
安全检测与认证
密码应用检测与认证
人员素质检测与认证
电子数据合法性检测与认证
落实检测和认证体系建设的工作,首先选择一个或多个集权威和能力与一身机构就上述内容进行设计,并开展试点效果验证工作,共同形成一套完整的检测和认证系统体系和服务体系,共同为信息化的建设保驾护航。
(详细内容请向作者索要)