電子政務(wù)基于安全核心及多標準融合的管理體系構(gòu)建研究

陶毅國

摘要：分析了電子政務(wù)從建到管的重點變化及面臨挑戰(zhàn)，提出以安全為綱是當前提升電子政務(wù)管理水平的有效途徑。在比較分析IT服務(wù)管理體系ISO20000、信息安全管理體系ISO27000、信息安全等級保護制度、軟件能力成熟度集成模型CMMI這四個國內(nèi)外常用標準的基礎(chǔ)上，論述了四個標準融合以構(gòu)建電子政務(wù)管理體系的可行性、必要性，給出了體系構(gòu)建的融合四原則、四級五類融合方案、注意要點。

關(guān)鍵詞：電子政務(wù)；管理體系；標準融合；信息安全；等級保護；ISO20000 ISO27000 CMMI

一、政府信息系統(tǒng)管理面臨的挑戰(zhàn)

（一）電子政務(wù)從建到管的重心轉(zhuǎn)換

我國電子政務(wù)建設(shè)從上個世紀開始，政府信息系統(tǒng)圍繞“兩網(wǎng)、一站、四庫、十二金”的規(guī)劃建立了大量的信息管理系統(tǒng)，政府業(yè)務(wù)主要流程已經(jīng)基本實現(xiàn)了信息化、網(wǎng)絡(luò)化、自動化[1]， 成為政府行使管理職能、為社會提供公共服務(wù)的不可或缺的基礎(chǔ)技術(shù)支撐平臺。

各級政府信息部門的工作從以建為主，逐步轉(zhuǎn)向以安全為核心目標的日常管理為主。

（二）電子政務(wù)系統(tǒng)管理面臨的重大挑戰(zhàn)

電子政務(wù)系統(tǒng)管理面臨諸多挑戰(zhàn)，主要包括：

1）管理意識落后：“重技術(shù)、輕管理”、“重建設(shè)、輕維護”等現(xiàn)象依然存在，一些領(lǐng)導對新建項目關(guān)注較多，對日常管理重視程度不夠；[2]

2）低水平運行：信息部門普遍采用經(jīng)驗管理法則，“摸著石頭過河”。日常工作中常處于被動應(yīng)付與“應(yīng)急救火”狀態(tài).。對項目建設(shè)、運維外包的供應(yīng)商的管理缺乏有效量化手段，管理粗放；

3）制度系統(tǒng)性差：系統(tǒng)管理的制度制訂與實施缺乏科學方法指導，系統(tǒng)性較差。各制度之間重復、沖突在所難免，許多工作卻又無章可循。制度要求過高或過低，可操作性、可核查性較差；

4）信息安全重視不夠：一些單位從領(lǐng)導到一般人員仍存在著信息安全及系統(tǒng)可靠性全部是IT專業(yè)人員的事等錯誤認識，在人財物及制度監(jiān)督等方面都沒有得到重視。

以安全為核心是當前提升電子政務(wù)管理的最佳途徑

建立以信息安全為核心的電子政務(wù)管理體系，是當前快速全面提升電子政務(wù)管理水平的最佳路徑。

（二）信息安全與信息系統(tǒng)管理的原理目標一致性

信息安全CIA基本屬性指保密性（Confidentiality）、完整性（Integrity）、可用性（Availability）。信息系統(tǒng)達到了CAI這三方面要求也就實現(xiàn)了系統(tǒng)管理的基本目標。

信息安全與系統(tǒng)管理在以下方面是一致的：全生命周期包括設(shè)計、實施、運行、廢止四個階段的管理，性能、成本、安全之間的平衡，終極使命均是為了保障信息系統(tǒng)實現(xiàn)組織的使命。

（三）加強信息安全是電子政務(wù)的迫切需求

當前我國信息安全形勢嚴峻，主要體現(xiàn)在：

黑客從謀利角度會特別關(guān)注象政府信息系統(tǒng)這樣有大量個人寶貴隱私信息的數(shù)據(jù)庫；

斯諾頓事件揭露出，國外情報機構(gòu)利用其掌握的技術(shù)優(yōu)勢，對國內(nèi)政府機構(gòu)的信息系統(tǒng)進行大量入侵，形勢嚴峻；

國內(nèi)電子政務(wù)采用的核心軟硬件設(shè)備基本都是美國的，一段時間內(nèi)想要完成去IOE暫時還做不到；

一些政府機構(gòu)的安全意識淡薄、內(nèi)部管理不嚴、操作不規(guī)范等情況加重了電子政務(wù)系統(tǒng)所面臨的風險。

（四）信息安全是國家對電子政務(wù)系統(tǒng)的基本要求

2014年成立“中央網(wǎng)絡(luò)安全和信息化領(lǐng)導小組”，中共中央總書記、國家主席、中央軍委主席習近平親自擔任組長。國家將信息安全重要性提升到一個前所未有的高度。

政府為電子政務(wù)信息安全頒布了一系列法規(guī)與條例：1994年國務(wù)院令第147號《計算機信息系統(tǒng)安全保護條例》首次正式提出安全等級保護要求；公安局公通字[2004]66號《關(guān)于信息安全等級保護工作的實施意見》對涉及社會秩序、公共利益的信息系統(tǒng)安全等級保護作出了法定要求；國信辦[2005]25《電子政務(wù)信息安全等級保護實施指南（試行）》明確了電子政務(wù)等級保護的具體要求。

電子政務(wù)作為涉及社會秩序、公共利益的重要信息系統(tǒng)，保障其信息安全是政府部門的法定基本義務(wù)，是對系統(tǒng)管理的基本要求。

二、國內(nèi)外信息系統(tǒng)管理標準簡介及融合分析

（一）主要標準介紹

信息系統(tǒng)管理相關(guān)標準較多，現(xiàn)將國內(nèi)外應(yīng)用比較廣泛的四個標準作簡單介紹。

IT服務(wù)管理體系ISO20000：從英國ITIL脫胎而來，現(xiàn)已為ISO標準，我國等同采用標準號為GB/T 24405，是信息系統(tǒng)在運行維護階段的專門標準。該標準定義了一系列比較抽象的流程目標，以達到運維管理的質(zhì)量，包括5大過程13個管理方面，信息安全是其中一個管理方面。

信息安全管理體系ISO27000：從英國BS7799發(fā)展面來、現(xiàn)為ISO標準，我國等同采用標準號為GB/T 22080。該標準強調(diào)以風險控制點來達到信息安全管理目的。標準要求從11個方面共計133項控制措施建立起一個組織的信息安全管理體系。

信息安全等級保護制度：我國公安部等機構(gòu)制訂，包括《信息系統(tǒng)安全等級保護基本要求GB/T 22239》等一系列國家標準。該標準要求從5個技術(shù)、5個管理共計10大方面，對5類不同等級的信息系統(tǒng)提供不同的安全防護。

軟件能力成熟度集成模型CMMI：由美國卡內(nèi)基-梅隆大學軟件工程研究中心（SEI）建立，用于建設(shè)或評估一個組織的軟件過程能力成熟度。模型將軟件能力分為5級。成熟度達到3級時，組織必須在18個過程域，每個過程域涉及的12個通用實踐及相關(guān)特殊實踐方面達到模型規(guī)定要求。

（二）標準關(guān)聯(lián)性及融合可行性

各標準所屬領(lǐng)域、生命周期各階段的對應(yīng)情況列表分析如表1下。

對標準綜合分析后可以得出以下結(jié)論：1）等級保護與ISO27000雖然在強制性要求、實施對象范圍、具體做法上存在不少差異，但二者同屬信息安全的專門標準，目標一致，共通性最強，也最容易整合。一般體系參照ISO27000，而具體措施要求參照等級保護；2）ISO27000與ISO20000在事件、業(yè)務(wù)連續(xù)性等管理方面有較大的共通性，在能力、變更、發(fā)布、供應(yīng)商、問題管理等方面也存在許多交叉點；3）ISO27000在風險評估、最佳控制實踐、全面安全管理等方面有優(yōu)勢。等級保護較符合中國行政管理習慣，各級要求明確具體，在重點保護原則、容易參照執(zhí)行等方面有長處。[3]但在系統(tǒng)性方面與ISO體系有一定差距；4）CMMI的項目計劃、變更管理、配置管理、組織培訓、風險管理等過程域與信息安全、運維管理的標準有很多相關(guān)、交叉的要求；5）ISO27000、等級保護在規(guī)劃、建設(shè)階段僅限于安全方面要求。CMMI雖是針對軟件開發(fā)的一個標準，但模型要求的通用實踐對信息系統(tǒng)各階段管理均具有較強的參考價值，可以彌補規(guī)劃、建設(shè)這二個階段中其它三個標準的不足。

表1

[針對領(lǐng)域＼& 標準 階段＼&規(guī)劃＼&建設(shè)＼&運行＼&廢止＼&系統(tǒng)運維＼&ISO20000＼&無＼&無＼&有＼&無＼&信息安全＼&ISO27000＼&有＼&有＼&有＼&有＼&信息安全＼&等級保護＼&有＼&有＼&有＼&有＼&軟件開發(fā)＼&CMMI＼&有＼&有＼&部分有＼&無＼&]

四個標準面向信息系統(tǒng)某一領(lǐng)域的特定管理，采用的系統(tǒng)化理論、過程化方法存在大量共通性、相融性，是可以融合在一起的。

電子政務(wù)是我國信息化應(yīng)用中比較成功的領(lǐng)域之一，業(yè)務(wù)需求實、系統(tǒng)投入大、應(yīng)用基礎(chǔ)好、監(jiān)管力度強，從電子政務(wù)開始推動多標準融合、高起點的系統(tǒng)管理，是現(xiàn)實可行的。

（三）標準融合的必要性

系統(tǒng)管理涉及信息系統(tǒng)的全生命周期，是以安全為核心多目標的任務(wù)。各標準著眼于某一專業(yè)領(lǐng)域或某一特定階段，單一采用某標準均不能完全覆蓋系統(tǒng)管理的全部。

部分單位建立了基于多個標準的、相互獨立的管理制度，則有可能會造成制度之間的重復問題，執(zhí)行人員面對繁多流程難于掌握與執(zhí)行，表單的重復填寫與多重審批，不僅增加工作量，也嚴重降低工作效率。

因此，融合各標準的優(yōu)點，建立一套系統(tǒng)、規(guī)范、實用的電子政務(wù)管理體系是十分必要的。

基于安全核心及多標準融合的電子政務(wù)管理體系構(gòu)建

在政府部門、大型事業(yè)單位的信息安全、運維管理咨詢的實踐基礎(chǔ)上，我們總結(jié)了電子政務(wù)管理體系構(gòu)建的一些經(jīng)驗，與大家分享探討。

（四）多標準融合四原則

電子政務(wù)系統(tǒng)管理多標準融合應(yīng)遵循以下原則：

1）系統(tǒng)性原則：以系統(tǒng)工程思想為指導，建設(shè)以安全為核心的信息系統(tǒng)管理體系。體系應(yīng)覆蓋規(guī)劃、建設(shè)、運行、廢止全生命周期，管理對象應(yīng)包括信息系統(tǒng)相關(guān)的全部信息資產(chǎn)；

2）實用性原則：整合各標準的體例、分類、術(shù)語、方法，摒棄標準中過于學術(shù)化與抽象的描述，統(tǒng)一規(guī)劃、簡單明了，保證體系獲得明確、快捷的理解與執(zhí)行。在兼顧標準要求基礎(chǔ)上，具體措施應(yīng)結(jié)合單位實際情況，吸納已有成功做法；

3）靈活性原則：針對不同的信息系統(tǒng)規(guī)模、等保備案級別，使用中可以進行靈活、便捷的裁減。

4）合規(guī)性原則：管理體系運行結(jié)果可以同時通過政府信息安全主管部門、體系外審機構(gòu)的測評、審核等要求。

（五）四級五類的體系融合方案

在研究及大量實踐的基礎(chǔ)上，我們提出了電子政務(wù)管理體系四級五類的融合方案。

按層次關(guān)系劃分為四級文件：

1）一級文件--制度總則：規(guī)定了系統(tǒng)管理的范圍、方針和目標，原則、方法及職責，主要管理過程綜述。

2）二級文件--管理制度：具體規(guī)定各個方面的管理要求；

3）三級文件--規(guī)范文檔：對制度的細化與明確，包括技術(shù)規(guī)范、SOP、方法、細則等；

4）四級文件--記錄模板：包括表單、報告等模板。

按類別屬性劃分為A-E五大類制度：

A）制度總則類：制度總則及其下級文檔，包括組織架構(gòu)、體系負責人任命、安全區(qū)域示意圖等；

B）系統(tǒng)管理綜合類：各階段共通的管理要求，如文件記錄、人力資源、配置、變更、事件、問題、合規(guī)性等方面；

C）信息系統(tǒng)建設(shè)類：信息系統(tǒng)建設(shè)階段相關(guān)管理文件，主要制度是項目建設(shè)管理制度，涉及立項、采購、建設(shè)、試運行、驗收等。由于軟件開發(fā)的特殊性，可參考CMMI專門建立軟件開發(fā)涉及的需求、設(shè)計、測試、試運行等階段的專門要求；

D）信息系統(tǒng)運維類：信息系統(tǒng)運維到終止階段相關(guān)管理文件，主要參考ISO20000及信息安全相關(guān)要求，如信息資產(chǎn)、持續(xù)性可用性、業(yè)務(wù)關(guān)系、供應(yīng)商、預算及考核，以及物理、網(wǎng)絡(luò)、主機、應(yīng)用、數(shù)據(jù)的安全要求；

E）信息安全專項：信息安全專門的管理文件，包括信息安全風險評估、信息安全等級等。

（六）體系建設(shè)過程中注意要點

在制度的具體制訂、實施、檢查、審核過程中，應(yīng)特別注意以下要點：

1）管理意識培育：應(yīng)通過宣傳、培訓、考核等方式，樹立單位全員人員對系統(tǒng)管理的正確認識。[4]例如：領(lǐng)導層要認識到對系統(tǒng)管理工作的資源保障、監(jiān)督管理的責任；全體人員要意識到保障信息系統(tǒng)安全可靠人人有責；

2）人性化落地措施：管理體系本身復雜又專業(yè)性強，但涉及全體人員的要求并不多，可專門整合成冊并人手一本，如能通俗化圖畫化則更佳。還可以采用上墻告示、目視化管理等方式，提高體系落地的有效性；

3）應(yīng)用于外包管理：系統(tǒng)管理工作外包后，相應(yīng)管理制度應(yīng)成為對外包人員的要求；

4）軟件工具的作用：軟件工具可以使體系實施中減少工作量、固化流程、強化監(jiān)督、提高效率。ISO20000相關(guān)的運維工具，只要增加規(guī)劃、建設(shè)階段的審核流程，就能滿足體系的大多數(shù)管理需求。

參考文獻

[1] 李長征.中國電子政務(wù)運維管理現(xiàn)狀與發(fā)展趨勢（J），電子政務(wù)，2008年，第12期，19-20

[2] 高用成.對海關(guān)信息系統(tǒng)運維管理工作的思考（A），信息科技，2010年，第21期，215-215

[3] 王閃閃.ISO27000與等級保護系列標準對比研究（D），陜西師范大學碩士學位論文，2010-06，41-45

[4] 武曉春、王茵、劉永慶.面向組織機構(gòu)的人員信息安全意識培養(yǎng)模式研究（A），電腦知識與技術(shù)，2011年，第34期，Vol.7