基于信息安全的涉密信息工程监理研究

基于信息安全的涉密信息工程监理研究

翟秋瑾王善镔

山东省淄博市第五人民医院

前言

随着我国信息化进程的不断推进和电子政务的快速发展，信息系统的应用逐渐拓展到各个领域。然而信息工程项目的建设存在着因信息量不对称引发的风险，因决策双方信息处理能力不对称引起的风险等，所以，信息工程在实施过程中必须有一个评估监督的机制，必须引入第三方监理的制度来规避风险，客观地评测信息工程的实施效果。应设立信息工程监理，对信息工程建设的全过程进行独立、公正的督导、协调与管理，对工程的质量、进度、投资承担监理责任，以确保信息工程建设的顺利完成。

一、信息系统工程监理的特点

对于信息系统工程的建设，主要指的是：系统设计；选择合适的系统集成商；实施系统工程建设；对工程的投资、进度和质量的控制；验收报告等。这些行为要靠用户、系统集成商和监理单位三方来共同实现。而在实现过程中，由监理单位负责监督管理。由此可见在信息系统工程建设过程中，监理单位起着非常重要的作用。监理单位应该是具有独立性、社会化、专业化特点，专门从事信息系统工程建设监督管理和其他技术服务活动的组织，并能按照独立、自主的原则以"公正的第三方"的身份进行监督管理和服务活动。监理单位应与用户和系统集成商三者之间是一种密切配合，协调工作的关系。

工程建设监理是一种特殊的工程建设活动，对于信息系统工程建设更是如此。它与信息系统工程建设本身有着明显的区别和差异，两者之间必须划出清楚的界限。信息系统建设监理应当成为新的、独立的行业，它的中心任务是控制工程项目的投资、进度和质量目标。对于信息系统工程讲，控制质量目标是极端重要的，它关系着系统工程的成败。

二、涉密信息安全管理的必要性

目前的安全保密工作主要是在以计算机网络为载体、以传输电子信息为主的信息系统下进行，与传统的纸质文件信息的安全保密管理相比，虽然处理过程更为快速便捷，但同时也带来了安全隐患问题。因此，构建涉密信息系统安全管理制度显得十分必要和紧迫。这主要体现在以下四个方面：一是涉密电子政务信息系统覆盖范围大、涉及人员广。凡是网络所覆盖的所有单位和人员均为信息安全管理的重要对象。大大拓展了信息安全管理的深度和广度。二是涉密电子政务信息系统环节较多、流程复杂。信息安全管理已由原来纸质文件流转下的孤立的点对点管理。过渡到环节众多、交叉复杂的网络状、立体化管理，容易造成信息不经意外流。三是涉密信息系统的安全管理具有很强的技术性、专业性。不仅要求工作人员具有较强的信息安全意识，还要具有较强的信息网络安全专业知识。四是涉密电子信息的安全控制更加困难。电子信息传输快，载体多样化易复制，易传输，看不见，摸不着，隐蔽性强。而且电子信息可远程控制，易被窃取，易批量丢失且丢失不易被觉察，一旦丢失造成损失十分巨大。这些特点增加了电子信息安全管理的难度。通过以上四点，不难看出涉密信息系统面临着严峻的信息安全挑战，需要全方位、系统化构建信息系统安全管理制度体系，全面提升信息系统安全防范能力。在对涉密信息化工程监理的过程中，在评估监理工程能够如期保质完成的基础上，同时需保证项目在各个环节的信息安全。

三、涉密信息工程监理的工作重点

对于涉密信息工程监理有两项额外的工作重点，即安全保密策略的制定和安全保密管理制度体系建设。

1.安全保密策略的制定

根据对有关标准的理解，编写文档化的安全保密策略并正确执行是涉密信息系统建设工程的一个难点。安全保密策略是一种处理安全保密问题管理策略的描述，需要对每一个安全保密主题进行描述，探讨其必要性和重要性，解释清楚什么该做，什么不该做。制定文档化的安全保密策略文件，应明确实施安全保密策略的设备、资源和人员，确定系统配置管理权限的划分和变更流程。安全保密策略文件应当由建设使用单位保密委员会批准后下发正式文件，并通过教育和培训，传达给涉密信息系统的全体管理和使用人员，确保安全保密策略文件的各项要求在涉密信息系统的安全保密管理工作中得到正确执行。应当根据环境、系统和威胁变化情况及时调整安全保密策略，调整应当依据风险分析的结果，以不降低涉密信息系统整体安全保密强度，确保国家秘密安全为原则。不应简单地将安全保密产品的部署策略作为安全保密策略文件。

2.安全保密管理制度体系建设

夯实制度基础，建立严密、务实、有效的制度体系是安全保密管理制度建设的难点之一。在涉密信息产生、存储、处理、传输、归档和销毁全过程中，应从人员、物理环境与设施、设备与介质、运行与开发和信息保密五个方面制定相应的安全保密管理工作制度。安全保密管理制度应充分考虑建设使用单位的机构设置、机构职责，依据《涉及国家秘密的信息系统分级保护管理规范》要求（军工单位还应参照"军工保密资格审查认证相关要求"）编写。安全保密管理制度的制定涉及保密、人事、信息化、保卫、密码及相关的业务工作部门，各部门的组织、协调及配合是制度编写能否按时保质完成，满足测评要求并可以落地实施的重要保障。

四、如何提高涉密监理工作的专业性

为了提高涉密监理工作的专业性，不仅需要努力提高涉密信息系统工程监理的职业操守和业务水平，也需要系统化构建涉密信息系统安全管理制度建设，主要包括以下内容：

1.完善运行维护制度，强化涉密日常安全运行管理

对涉密电子政务信息系统的变更、应用系统的运行维护及新增系统的开发等提出明确的安全建设和具体要求。明确规定新增应用系统在接入电子政务信息系统前。系统开发单位须在身份鉴别、访问控制和安全审计等方面进行安全功能的同步开发。同时，制定信息应用系统的使用管理细则，规范各部门的使用行为。

2.完善责任制度，加强对涉密人员管理

对涉密人员制定严格的管理制度，包括涉密行政业务人员和涉密信息技术人员在内的所有涉及电子政务信息系统的人员。实行从人员录用、岗位职责、教育培训、安全监管、人员奖惩、人员离岗离职管理多方面严格的全过程管理。推行安全管理和年度考核挂钩的奖惩制度，切实提高工作人员的信息安全防范意识和技能。

3.善应急响应管理制度，强化涉密应急突发事件的处置能力

要制定涉密电子政务信息系统的安全应急响应预案。要求各部门根据实际情况。结合安全审计等措施。指定专职管理人员进行安全监测丁作。定期开展安全

分析和风险评估。对发生涉密异常事件后的应急响应措施和处置流程提出明确要求。

4.完善信息安全政策宣贯制度，强化涉密信息安全教育

针对机关及事业单位工作人员电脑技术基础薄弱、信息安全知识缺乏的现状。要建立涉密信息安全知识培训和政策宣贯制度。根据网络安全现状和信息安全要求。通过建立信息安全法规讲座制度、信息安全宣传周制度、信息安全问卷制度、定期培训教育制度等。全面提高信息系统使用和管理人员的涉密信息安全意识和防范能力。

结束语

总之，要结合信息安全问题去处理涉密信息工程监理工作，保证监理工作有效、高质、安全的完成。

参考文献：

[1]茆政权.计算机信息系统保密管理工作存在的问题和解决办法[J].计算机安全，2010（05）.

[2]孔斌.涉密信息系统检测评估综述[J].保密科学技术，2011（05）