網絡安全測評項目質量管理淺析

◆武建雙

網絡安全測評項目質量管理淺析

◆武建雙

(合肥天帷信息安全技術有限公司 安徽 230000)

隨著信息化進程的深入和互聯網的迅速發展，信息安全顯得日益重要，國家對此十分重視。因此如何高質量完成網絡安全測評，如何在過程中監控落實意義重大。本文從完善測評項目管理框架、強化全生命周期培訓、關注全生命周期溝通、建立健全質量控制體系、完善持續服務體系等五大方面，簡要闡述了如何提高網絡安全測評項目的質量管理，旨在為保障測評項目高質量順利實施提供可參考的意見。

質量管理；管理框架；培訓；溝通；持續服務

0 引言

網絡安全等級保護測評工作，是針對我國境內的網絡系統，按照《GB/T 22239-2008 信息安全技術 信息系統安全等級保護測評要求》落實對應等級的網絡安全要求，主要從技術和管理兩大版塊，涉及物理安全、網絡安全、主機安全、應用安全、數據備份和恢復、安全機構、安全制度、人員安全管理、安全建設、安全運維共十大領域，數百個控制點，上千個檢查項，幫助各單位發現問題，開展對應的差距分析、風險評估、建設整改等工作，最終達到網絡安全水平的提升的目的，從而保障公民、法人、社會秩序和國家利益。

網絡安全測評項目能否高品質的完成，決定了我國等級保護制度落實的質量，因此，探索如何提升測評項目完成質量，如何在過程中監控落實等工作的意義重大。

1 完善測評項目管理框架

按照《GB/T 28449-2012 信息安全技術 信息系統安全等級保護測評過程指南》的要求，網絡安全等級保護測評工作，主要分為準備階段、方案編制、現場測評（初測、整改、復測）、報告編制四大階段，通常實施周期為3-4個月，部分項目可能會長達一年。網絡安全等級保護測評工作需要委托單位相關人員（內部信息安全技術人員、第三方技術人員、人事行政、財務人員、物業管理、相關領導等）、委托單位所在地公安局網絡安全警察、測評機構人員（商務、技術、質控、售后等）等，整個項目參與人員較多、人員成分復雜、周期相對較長，對項目管理的要求較高。

基于多年的實踐，我們針對網絡安全等級保護測評項目管理，從項目階段、項目流程、實施方案、質量管控做了梳理和優化。

按照PMBOK的五個過程組，從啟動過程組、規劃過程組、執行過程組、監控過程組、收尾過程組來規范項目管理工作。網絡安全等級保護測評項目各階段都需要按照這五個過程組來開展，在《GB/T 28449-2012 信息安全技術 信息系統安全等級保護測評過程指南》的基礎上，我們將項目優化為對接版塊、測評版塊、交付版塊，對接版塊分解為內部對接、三方對接兩大階段，測評版塊分為準備實施、方案編寫、現場測評、報告編制四大階段，交付版塊分為報告交付、結項回款、后期服務三大階段，各階段又分解為多個控制點和要求項，形成了網絡安全等級保護測評項目管理的3大版塊、9大階段、30個控制點，108個要求項的項目管理框架，如圖1。

2 強化全生命周期培訓

網絡安全等級保護測評工作是一項對信息安全技術要求相對較高的工作，整個工作涉及到技術和管理兩大板塊十大領域，包含物理、主機、網絡、應用、數據、管理機構、管理制度、人員管理、建設管理、運維管理。測評不僅要對國家標準非常熟悉，還要深刻理解其內涵及要求，同時，還需要了解十大領域的安全基線和各行業的特殊要求，不僅能發現問題，還能給出相應的整改建議。不僅能現場完成測評，還要能撰寫高質量的項目報告。所以，項目全生命周期的培訓就顯得尤為必要。全生命周期的培訓由定期培訓和不定期培訓、集中培訓和短期培訓、技能培訓和技巧培訓、質量培訓和安全培訓、面授培訓和遠程培訓等多種形式、多種內容、多種方式相結合的方式構成。

圖1 網絡安全測評項目管理框架

3 關注全生命周期溝通

網絡安全等級保護測評工作中，測評機構和委托單位的關系很微妙，既不是傳統意義上的甲方、乙方的關系，也不是上下級的關系。整個項目的干系人涉及內部、委托方、公安、運維方等，人員組成很復雜，要想保障項目順利實施，良好的溝通是必備要素。尤其是《網絡安全法》于2017年6月1日才正式施行，整個社會對《網絡安全法》的理解，對網絡安全等級保護工作的重要性理解不夠，使得項目實施過程中面臨著各種阻力和困難。為了保障項目實施的質量，我們在測評項目全生命周期都制定了較為完善的溝通要求和對應的培訓及考核。如我們在準備階段舉辦項目啟動會，要求委托單位的技術骨干、網絡安全直接負責人、相關部門領導、單位主要領導共同參與，讓大家了解國內外的安全形勢、面臨的安全威脅、未來的安全風險、等級保護測評工作的重要意義以及此項工作給委托單位帶來哪些切實的幫助和提升，讓項目啟動會成為我們和委托單位項目實施規劃的交流、網絡安全技術的交流、網絡安全法律和意識的宣傳平臺，從而保障項目的順利實施。

4 建立全生命周期質控

網絡安全等級保護測評工作中涉及的環節較多，技術點也很多，同時流程特征也很明顯，前期的工作不到位，后期再努力都無法彌補，甚至連返工的機會都沒有，只有建立全生命周期的質量控制體系，才能保障測評項目的質量。我們在測評項目實施的各環節都設定了質控的關鍵節點，每個節點都設計了相關的考核標準及獎懲措施，從每一個環節保障項目質量。如報告編制，我們設計了項目經理自審、小組內審、質控三審和終審四個環節，每個環節都設置了從內容到形式的評價指標及獎懲措施，通過這種方式使報告的編制水平獲得了大幅度的提升。

5 完善交付后持續服務

傳統意義上網絡安全等級保護測評工作在報告交付后，項目就全部結束了。這種對項目結項的定義不能說錯，但這種定義在現實的工作中，一方面不利于委托單位的持續改進，另一方面不利于測評機構的業務連續性。為了改變這種現狀，我們提出了測評項目交付后持續服務的概念，并落實執行。持續服務主要包含培訓服務、技術支持、關鍵節點保障三部分內容，培訓服務包含安全意識培訓和技術培訓，技術支持包括專業技能支持和管理支持，關鍵節點保障主要是幫助客戶在重大業務節點提供全面保障，實施半年來獲得了客戶的良好評價并且很多客戶和我們簽訂了后續測評服務協議。

6 結語

網絡安全等級保護測評項目雖然已經有十余年的歷史，但從目前情況來看，它又是一個全新的項目，需要完善和升級的地方還有很多，我們只有在不斷摸索、不斷創新中提升，將網絡安全等級保護測評工作落到實處，為我國的網絡安全事業貢獻綿薄之力。

[1]GB/T 28449-2012.信息安全技術 信息系統安全等級保護測評過程指南.

[2]GB/T 25058-2010.信息安全技術 信息系統安全等級保護實施指南.