電子政務基于安全核心及多標準融合的管理體系構建研究

陶毅國

摘要：分析了電子政務從建到管的重點變化及面臨挑戰，提出以安全為綱是當前提升電子政務管理水平的有效途徑。在比較分析IT服務管理體系ISO20000、信息安全管理體系ISO27000、信息安全等級保護制度、軟件能力成熟度集成模型CMMI這四個國內外常用標準的基礎上，論述了四個標準融合以構建電子政務管理體系的可行性、必要性，給出了體系構建的融合四原則、四級五類融合方案、注意要點。

關鍵詞：電子政務；管理體系；標準融合；信息安全；等級保護；ISO20000 ISO27000 CMMI

一、政府信息系統管理面臨的挑戰

（一）電子政務從建到管的重心轉換

我國電子政務建設從上個世紀開始，政府信息系統圍繞“兩網、一站、四庫、十二金”的規劃建立了大量的信息管理系統，政府業務主要流程已經基本實現了信息化、網絡化、自動化[1]， 成為政府行使管理職能、為社會提供公共服務的不可或缺的基礎技術支撐平臺。

各級政府信息部門的工作從以建為主，逐步轉向以安全為核心目標的日常管理為主。

（二）電子政務系統管理面臨的重大挑戰

電子政務系統管理面臨諸多挑戰，主要包括：

1）管理意識落后：“重技術、輕管理”、“重建設、輕維護”等現象依然存在，一些領導對新建項目關注較多，對日常管理重視程度不夠；[2]

2）低水平運行：信息部門普遍采用經驗管理法則，“摸著石頭過河”。日常工作中常處于被動應付與“應急救火”狀態.。對項目建設、運維外包的供應商的管理缺乏有效量化手段，管理粗放；

3）制度系統性差：系統管理的制度制訂與實施缺乏科學方法指導，系統性較差。各制度之間重復、沖突在所難免，許多工作卻又無章可循。制度要求過高或過低，可操作性、可核查性較差；

4）信息安全重視不夠：一些單位從領導到一般人員仍存在著信息安全及系統可靠性全部是IT專業人員的事等錯誤認識，在人財物及制度監督等方面都沒有得到重視。

以安全為核心是當前提升電子政務管理的最佳途徑

建立以信息安全為核心的電子政務管理體系，是當前快速全面提升電子政務管理水平的最佳路徑。

（二）信息安全與信息系統管理的原理目標一致性

信息安全CIA基本屬性指保密性（Confidentiality）、完整性（Integrity）、可用性（Availability）。信息系統達到了CAI這三方面要求也就實現了系統管理的基本目標。

信息安全與系統管理在以下方面是一致的：全生命周期包括設計、實施、運行、廢止四個階段的管理，性能、成本、安全之間的平衡，終極使命均是為了保障信息系統實現組織的使命。

（三）加強信息安全是電子政務的迫切需求

當前我國信息安全形勢嚴峻，主要體現在：

黑客從謀利角度會特別關注象政府信息系統這樣有大量個人寶貴隱私信息的數據庫；

斯諾頓事件揭露出，國外情報機構利用其掌握的技術優勢，對國內政府機構的信息系統進行大量入侵，形勢嚴峻；

國內電子政務采用的核心軟硬件設備基本都是美國的，一段時間內想要完成去IOE暫時還做不到；

一些政府機構的安全意識淡薄、內部管理不嚴、操作不規范等情況加重了電子政務系統所面臨的風險。

（四）信息安全是國家對電子政務系統的基本要求

2014年成立“中央網絡安全和信息化領導小組”，中共中央總書記、國家主席、中央軍委主席習近平親自擔任組長。國家將信息安全重要性提升到一個前所未有的高度。

政府為電子政務信息安全頒布了一系列法規與條例：1994年國務院令第147號《計算機信息系統安全保護條例》首次正式提出安全等級保護要求；公安局公通字[2004]66號《關于信息安全等級保護工作的實施意見》對涉及社會秩序、公共利益的信息系統安全等級保護作出了法定要求；國信辦[2005]25《電子政務信息安全等級保護實施指南（試行）》明確了電子政務等級保護的具體要求。

電子政務作為涉及社會秩序、公共利益的重要信息系統，保障其信息安全是政府部門的法定基本義務，是對系統管理的基本要求。

二、國內外信息系統管理標準簡介及融合分析

（一）主要標準介紹

信息系統管理相關標準較多，現將國內外應用比較廣泛的四個標準作簡單介紹。

IT服務管理體系ISO20000：從英國ITIL脫胎而來，現已為ISO標準，我國等同采用標準號為GB/T 24405，是信息系統在運行維護階段的專門標準。該標準定義了一系列比較抽象的流程目標，以達到運維管理的質量，包括5大過程13個管理方面，信息安全是其中一個管理方面。

信息安全管理體系ISO27000：從英國BS7799發展面來、現為ISO標準，我國等同采用標準號為GB/T 22080。該標準強調以風險控制點來達到信息安全管理目的。標準要求從11個方面共計133項控制措施建立起一個組織的信息安全管理體系。

信息安全等級保護制度：我國公安部等機構制訂，包括《信息系統安全等級保護基本要求GB/T 22239》等一系列國家標準。該標準要求從5個技術、5個管理共計10大方面，對5類不同等級的信息系統提供不同的安全防護。

軟件能力成熟度集成模型CMMI：由美國卡內基-梅隆大學軟件工程研究中心（SEI）建立，用于建設或評估一個組織的軟件過程能力成熟度。模型將軟件能力分為5級。成熟度達到3級時，組織必須在18個過程域，每個過程域涉及的12個通用實踐及相關特殊實踐方面達到模型規定要求。

（二）標準關聯性及融合可行性

各標準所屬領域、生命周期各階段的對應情況列表分析如表1下。

對標準綜合分析后可以得出以下結論：1）等級保護與ISO27000雖然在強制性要求、實施對象范圍、具體做法上存在不少差異，但二者同屬信息安全的專門標準，目標一致，共通性最強，也最容易整合。一般體系參照ISO27000，而具體措施要求參照等級保護；2）ISO27000與ISO20000在事件、業務連續性等管理方面有較大的共通性，在能力、變更、發布、供應商、問題管理等方面也存在許多交叉點；3）ISO27000在風險評估、最佳控制實踐、全面安全管理等方面有優勢。等級保護較符合中國行政管理習慣，各級要求明確具體，在重點保護原則、容易參照執行等方面有長處。[3]但在系統性方面與ISO體系有一定差距；4）CMMI的項目計劃、變更管理、配置管理、組織培訓、風險管理等過程域與信息安全、運維管理的標準有很多相關、交叉的要求；5）ISO27000、等級保護在規劃、建設階段僅限于安全方面要求。CMMI雖是針對軟件開發的一個標準，但模型要求的通用實踐對信息系統各階段管理均具有較強的參考價值，可以彌補規劃、建設這二個階段中其它三個標準的不足。

表1

[針對領域＼& 標準 階段＼&規劃＼&建設＼&運行＼&廢止＼&系統運維＼&ISO20000＼&無＼&無＼&有＼&無＼&信息安全＼&ISO27000＼&有＼&有＼&有＼&有＼&信息安全＼&等級保護＼&有＼&有＼&有＼&有＼&軟件開發＼&CMMI＼&有＼&有＼&部分有＼&無＼&]

四個標準面向信息系統某一領域的特定管理，采用的系統化理論、過程化方法存在大量共通性、相融性，是可以融合在一起的。

電子政務是我國信息化應用中比較成功的領域之一，業務需求實、系統投入大、應用基礎好、監管力度強，從電子政務開始推動多標準融合、高起點的系統管理，是現實可行的。

（三）標準融合的必要性

系統管理涉及信息系統的全生命周期，是以安全為核心多目標的任務。各標準著眼于某一專業領域或某一特定階段，單一采用某標準均不能完全覆蓋系統管理的全部。

部分單位建立了基于多個標準的、相互獨立的管理制度，則有可能會造成制度之間的重復問題，執行人員面對繁多流程難于掌握與執行，表單的重復填寫與多重審批，不僅增加工作量，也嚴重降低工作效率。

因此，融合各標準的優點，建立一套系統、規范、實用的電子政務管理體系是十分必要的。

基于安全核心及多標準融合的電子政務管理體系構建

在政府部門、大型事業單位的信息安全、運維管理咨詢的實踐基礎上，我們總結了電子政務管理體系構建的一些經驗，與大家分享探討。

（四）多標準融合四原則

電子政務系統管理多標準融合應遵循以下原則：

1）系統性原則：以系統工程思想為指導，建設以安全為核心的信息系統管理體系。體系應覆蓋規劃、建設、運行、廢止全生命周期，管理對象應包括信息系統相關的全部信息資產；

2）實用性原則：整合各標準的體例、分類、術語、方法，摒棄標準中過于學術化與抽象的描述，統一規劃、簡單明了，保證體系獲得明確、快捷的理解與執行。在兼顧標準要求基礎上，具體措施應結合單位實際情況，吸納已有成功做法；

3）靈活性原則：針對不同的信息系統規模、等保備案級別，使用中可以進行靈活、便捷的裁減。

4）合規性原則：管理體系運行結果可以同時通過政府信息安全主管部門、體系外審機構的測評、審核等要求。

（五）四級五類的體系融合方案

在研究及大量實踐的基礎上，我們提出了電子政務管理體系四級五類的融合方案。

按層次關系劃分為四級文件：

1）一級文件--制度總則：規定了系統管理的范圍、方針和目標，原則、方法及職責，主要管理過程綜述。

2）二級文件--管理制度：具體規定各個方面的管理要求；

3）三級文件--規范文檔：對制度的細化與明確，包括技術規范、SOP、方法、細則等；

4）四級文件--記錄模板：包括表單、報告等模板。

按類別屬性劃分為A-E五大類制度：

A）制度總則類：制度總則及其下級文檔，包括組織架構、體系負責人任命、安全區域示意圖等；

B）系統管理綜合類：各階段共通的管理要求，如文件記錄、人力資源、配置、變更、事件、問題、合規性等方面；

C）信息系統建設類：信息系統建設階段相關管理文件，主要制度是項目建設管理制度，涉及立項、采購、建設、試運行、驗收等。由于軟件開發的特殊性，可參考CMMI專門建立軟件開發涉及的需求、設計、測試、試運行等階段的專門要求；

D）信息系統運維類：信息系統運維到終止階段相關管理文件，主要參考ISO20000及信息安全相關要求，如信息資產、持續性可用性、業務關系、供應商、預算及考核，以及物理、網絡、主機、應用、數據的安全要求；

E）信息安全專項：信息安全專門的管理文件，包括信息安全風險評估、信息安全等級等。

（六）體系建設過程中注意要點

在制度的具體制訂、實施、檢查、審核過程中，應特別注意以下要點：

1）管理意識培育：應通過宣傳、培訓、考核等方式，樹立單位全員人員對系統管理的正確認識。[4]例如：領導層要認識到對系統管理工作的資源保障、監督管理的責任；全體人員要意識到保障信息系統安全可靠人人有責；

2）人性化落地措施：管理體系本身復雜又專業性強，但涉及全體人員的要求并不多，可專門整合成冊并人手一本，如能通俗化圖畫化則更佳。還可以采用上墻告示、目視化管理等方式，提高體系落地的有效性；

3）應用于外包管理：系統管理工作外包后，相應管理制度應成為對外包人員的要求；

4）軟件工具的作用：軟件工具可以使體系實施中減少工作量、固化流程、強化監督、提高效率。ISO20000相關的運維工具，只要增加規劃、建設階段的審核流程，就能滿足體系的大多數管理需求。

參考文獻

[1] 李長征.中國電子政務運維管理現狀與發展趨勢（J），電子政務，2008年，第12期，19-20

[2] 高用成.對海關信息系統運維管理工作的思考（A），信息科技，2010年，第21期，215-215

[3] 王閃閃.ISO27000與等級保護系列標準對比研究（D），陜西師范大學碩士學位論文，2010-06，41-45

[4] 武曉春、王茵、劉永慶.面向組織機構的人員信息安全意識培養模式研究（A），電腦知識與技術，2011年，第34期，Vol.7