摘 要：信息系統(tǒng)監(jiān)理服務(wù)與等級(jí)保護(hù)測(cè)評(píng)是2個(gè)相對(duì)獨(dú)立的體系。在大部分項(xiàng)目中，二者獨(dú)立存在作用于項(xiàng)目實(shí)施的不同階段，關(guān)聯(lián)性和協(xié)同性較低，但是二者的結(jié)果均支持項(xiàng)目的驗(yàn)收及使用。提高一者的協(xié)同性是否會(huì)對(duì)項(xiàng)目的建設(shè)或者驗(yàn)收起到正向的收益，文章將結(jié)合二者的特點(diǎn)、工作流程及針對(duì)項(xiàng)目建設(shè)的各階段重點(diǎn)工作，對(duì)其協(xié)同服務(wù)的重要性進(jìn)行討論。

關(guān)鍵詞：信息系統(tǒng)監(jiān)理：等級(jí)保護(hù);協(xié)同服務(wù)

中圖法分類號(hào)：TP311文獻(xiàn)標(biāo)識(shí)碼：A

隨著我國(guó)信息化建設(shè)的發(fā)展完善，針對(duì)信息系統(tǒng)的使用需求也從之前的“可以用”經(jīng)“好用”向“安全用”進(jìn)行轉(zhuǎn)化，各行業(yè)使用的信息系統(tǒng)對(duì)信息安全性、建設(shè)合規(guī)性也更加重視。信息系統(tǒng)監(jiān)理及等級(jí)保護(hù)測(cè)評(píng)作為２ 項(xiàng)相對(duì)獨(dú)立的信息系統(tǒng)服務(wù)，分別可以通過(guò)監(jiān)理和測(cè)評(píng)項(xiàng)目的建設(shè)合規(guī)性及使用安全來(lái)保證項(xiàng)目的建設(shè)及后續(xù)運(yùn)行。但在實(shí)際工作中，這２ 項(xiàng)相對(duì)獨(dú)立的工作也隨著我國(guó)對(duì)信息系統(tǒng)需求的完善和增加有了更多的聯(lián)系，而二者的協(xié)同工作也變得更加重要。

１ 信息系統(tǒng)監(jiān)理工作

監(jiān)理作為獨(dú)立的第三方，承擔(dān)了項(xiàng)目建設(shè)過(guò)程中的監(jiān)督管理工作，以保障項(xiàng)目合規(guī)、有序、高效地建設(shè)；以項(xiàng)目驗(yàn)收及審計(jì)留存完整的證據(jù)鏈及標(biāo)準(zhǔn)規(guī)范流程為工作重點(diǎn)，應(yīng)用專業(yè)的業(yè)務(wù)及技術(shù)知識(shí)為業(yè)主提供服務(wù)。在項(xiàng)目的各個(gè)階段中，監(jiān)理?yè)?dān)任了有效識(shí)別、規(guī)避項(xiàng)目風(fēng)險(xiǎn)、確保項(xiàng)目實(shí)現(xiàn)目標(biāo)的責(zé)任。信息系統(tǒng)監(jiān)理服務(wù)主要內(nèi)容為“四控、三管、一協(xié)調(diào)”，通過(guò)對(duì)項(xiàng)目質(zhì)量、進(jìn)度、投資和變更的科學(xué)控制，保證信息化項(xiàng)目健康執(zhí)行。在項(xiàng)目實(shí)施的各個(gè)階段，監(jiān)理服務(wù)貫穿始終，并配合項(xiàng)目順利完成驗(yàn)收?，F(xiàn)實(shí)中，監(jiān)理服務(wù)主要體現(xiàn)在現(xiàn)場(chǎng)協(xié)調(diào)功能上，在施工進(jìn)度、變更、質(zhì)量、設(shè)備等方面，監(jiān)理的協(xié)調(diào)能力很大程度上能推進(jìn)項(xiàng)目進(jìn)展，并將項(xiàng)目進(jìn)程、質(zhì)量穩(wěn)定在相對(duì)合理的軌道上。其中與協(xié)同服務(wù)相關(guān)的也正是監(jiān)理的協(xié)調(diào)職能。

２ 等級(jí)保護(hù)測(cè)評(píng)工作

網(wǎng)絡(luò)安全等級(jí)保護(hù)是指對(duì)國(guó)家重要信息、法人和其他組織及公民的專有信息及公開信息和存儲(chǔ)、傳輸、處理這些信息的信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)，對(duì)信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級(jí)管理，對(duì)信息系統(tǒng)中發(fā)生的信息安全事件分等級(jí)響應(yīng)、處置。網(wǎng)絡(luò)安全等級(jí)保護(hù)工作包括定級(jí)、備案、安全建設(shè)整改、等級(jí)測(cè)評(píng)和安全檢查５ 個(gè)主要環(huán)節(jié)，等級(jí)測(cè)評(píng)是其中核心內(nèi)容。根據(jù)《信息安全等級(jí)保護(hù)管理辦法》第十四條，信息系統(tǒng)建設(shè)完成后，運(yùn)營(yíng)、使用單位或者其主管部門應(yīng)當(dāng)選擇符合本辦法規(guī)定條件的測(cè)評(píng)機(jī)構(gòu)，依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》等技術(shù)標(biāo)準(zhǔn)，定期對(duì)信息系統(tǒng)安全等級(jí)狀況開展等級(jí)測(cè)評(píng)。通過(guò)測(cè)評(píng)，運(yùn)營(yíng)、使用單位或者其主管部門可以對(duì)信息系統(tǒng)安全防范管理體系的能力進(jìn)行剖析與確定，并找出存有的安全風(fēng)險(xiǎn)，從而合理提高信息系統(tǒng)的安全防護(hù)水準(zhǔn)。

３ 協(xié)同服務(wù)的可行性

隨著國(guó)家對(duì)信息安全的重視，目前大多數(shù)項(xiàng)目將通過(guò)相應(yīng)級(jí)別的等級(jí)保護(hù)測(cè)評(píng)視為項(xiàng)目驗(yàn)收通過(guò)的基礎(chǔ)，但在實(shí)際建設(shè)中，測(cè)評(píng)工作的準(zhǔn)備仍然獨(dú)立于項(xiàng)目建設(shè)之外，沒(méi)有合適的聯(lián)動(dòng)或提前準(zhǔn)備，在項(xiàng)目建設(shè)完成后，測(cè)評(píng)要求與建設(shè)情況會(huì)存在較大差異，導(dǎo)致項(xiàng)目延期或驗(yàn)收困難。監(jiān)理工作內(nèi)容及手段大多針對(duì)項(xiàng)目建設(shè)過(guò)程中所發(fā)生或產(chǎn)生的系統(tǒng)、文檔、記錄等產(chǎn)物，而測(cè)評(píng)往往在項(xiàng)目建設(shè)完成后，根據(jù)測(cè)評(píng)標(biāo)準(zhǔn)對(duì)項(xiàng)目建設(shè)完成部分進(jìn)行整改，產(chǎn)出的產(chǎn)品也包括相應(yīng)的系統(tǒng)、文檔、記錄等。由此可見，信息系統(tǒng)監(jiān)理和等級(jí)保護(hù)測(cè)評(píng)２ 項(xiàng)工作可以具有一定的協(xié)同性，測(cè)評(píng)工作提前介入?yún)f(xié)調(diào)，可以保證更快地進(jìn)行最后的測(cè)評(píng)工作，并在工作上對(duì)監(jiān)理服務(wù)進(jìn)行正向的幫助。

區(qū)別于監(jiān)理服務(wù)，其測(cè)評(píng)有確定的評(píng)判標(biāo)準(zhǔn)，針對(duì)系統(tǒng)的安全性、制度的完整性有明確的要求，導(dǎo)致大多數(shù)情況下，測(cè)評(píng)工作開展時(shí)，大部分系統(tǒng)已完成，開發(fā)過(guò)程記錄、相關(guān)策略及管理制度已成型，但是部分不符合相關(guān)測(cè)評(píng)標(biāo)準(zhǔn)。比如，根據(jù)ＧＢ／ Ｔ２２２３９《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》和ＧＢ／Ｔ２８４４８《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》中對(duì)安全管理制度的要求，“應(yīng)制定網(wǎng)絡(luò)安全工作的總體方針和安全策略，闡明機(jī)構(gòu)安全工作的總體目標(biāo)、范圍、原則和安全框架等”。該項(xiàng)要求會(huì)對(duì)系統(tǒng)整體需求產(chǎn)生影響，后期系統(tǒng)建設(shè)進(jìn)入測(cè)試階段，整體框架已完成開發(fā)，若這項(xiàng)基本需求不符合規(guī)定，則影響部分功能，將對(duì)系統(tǒng)驗(yàn)收工作產(chǎn)生影響。相對(duì)應(yīng)的，若在項(xiàng)目的設(shè)計(jì)階段或前期需求確認(rèn)階段，監(jiān)理在提供監(jiān)理服務(wù)的同時(shí)，協(xié)調(diào)測(cè)評(píng)單位提前對(duì)該部分要求進(jìn)行培訓(xùn)整理，將等保測(cè)評(píng)要求滲透入相關(guān)的需求中，項(xiàng)目后期的測(cè)評(píng)驗(yàn)收工作效率將得到提升，所以協(xié)同服務(wù)可以對(duì)測(cè)評(píng)工作產(chǎn)生積極的影響，更進(jìn)一步推進(jìn)項(xiàng)目驗(yàn)收上線。

從監(jiān)理角度來(lái)說(shuō)，測(cè)評(píng)工作介入時(shí)間靠后，后續(xù)根據(jù)測(cè)評(píng)要求，會(huì)增加項(xiàng)目變更風(fēng)險(xiǎn)，會(huì)對(duì)監(jiān)理變更控制、成本控制、文檔管理等工作帶來(lái)更多挑戰(zhàn)，不利于項(xiàng)目的執(zhí)行。例如，根據(jù)測(cè)評(píng)中對(duì)管理制度的要求，對(duì)應(yīng)的管理制度應(yīng)在項(xiàng)目試運(yùn)行時(shí)執(zhí)行工作，若由測(cè)評(píng)工作指出并修改，則試運(yùn)行期間的信息安全將得不到保障，項(xiàng)目的風(fēng)險(xiǎn)會(huì)增強(qiáng)。所以，測(cè)評(píng)的協(xié)同監(jiān)理工作，在項(xiàng)目前期設(shè)計(jì)階段或需求確認(rèn)階段開始，將對(duì)項(xiàng)目整體開發(fā)中的需求確認(rèn)、制度制定、開發(fā)情況、信息安全等存在正向幫助。在監(jiān)理過(guò)程中，可以將測(cè)評(píng)要求作為監(jiān)理依據(jù)，對(duì)項(xiàng)目進(jìn)行管理，測(cè)評(píng)部分也可以通過(guò)監(jiān)理的協(xié)調(diào)工作對(duì)相應(yīng)制度、機(jī)構(gòu)、人員、設(shè)備提出相應(yīng)要求，從而簡(jiǎn)化安全建設(shè)整改階段的工作，優(yōu)化系統(tǒng)全生命周期的建設(shè)。

４ 協(xié)同服務(wù)的必要性

在項(xiàng)目建設(shè)過(guò)程中，信息化監(jiān)理服務(wù)和等級(jí)保護(hù)測(cè)評(píng)工作的協(xié)同服務(wù)不僅可以在項(xiàng)目各階段對(duì)項(xiàng)目的實(shí)施進(jìn)行優(yōu)化，也可以對(duì)項(xiàng)目建設(shè)過(guò)程中的信息安全進(jìn)行保障。

信息化監(jiān)理服務(wù)和等級(jí)保護(hù)測(cè)評(píng)工作的協(xié)同服務(wù)在項(xiàng)目前期的方案制定和需求確認(rèn)階段除了制定系統(tǒng)的業(yè)務(wù)需求、流程需求，也將參考后續(xù)測(cè)評(píng)工作要求，提前對(duì)測(cè)評(píng)工作所需的資料、制度、機(jī)構(gòu)、人員、設(shè)備安全等做出反應(yīng)和協(xié)調(diào)，達(dá)到協(xié)同優(yōu)化的目的。項(xiàng)目建設(shè)過(guò)程中的前期，項(xiàng)目組的工作重心集中在整體方案設(shè)計(jì)和需求確認(rèn)等方向性的工作上，主要的成果為《工程實(shí)施方案》《項(xiàng)目需求說(shuō)明書》等，用于后期監(jiān)理工作依據(jù)的標(biāo)志性文檔，對(duì)于后續(xù)的監(jiān)理工作起到?jīng)Q定性的作用。在此階段，信息化監(jiān)理服務(wù)和等級(jí)保護(hù)測(cè)評(píng)工作的協(xié)同服務(wù)顯得尤為重要。根據(jù)ＧＢ／ Ｔ２２２３９《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》和ＧＢ／ Ｔ２８４４８《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》，其中，安全管理制度、安全管理機(jī)構(gòu)、安全人員管理、安全建設(shè)管理、安全運(yùn)維管理的要求均可以作為該階段成果的依據(jù)，根據(jù)系統(tǒng)評(píng)級(jí)，針對(duì)其等級(jí)相對(duì)應(yīng)的要求對(duì)安全策略、管理制度、崗位設(shè)置、人員配備、人員流動(dòng)等部分進(jìn)行整體性、宏觀的決策，并以監(jiān)理依據(jù)的方式融入項(xiàng)目開發(fā)實(shí)施過(guò)程中。這樣，既可以避免后續(xù)因不符合相應(yīng)等級(jí)要求而進(jìn)行系統(tǒng)調(diào)整的情況，也為監(jiān)理提供顆粒度更小，更精準(zhǔn)的標(biāo)準(zhǔn)來(lái)保證項(xiàng)目的正常進(jìn)行。另一方面，從測(cè)評(píng)的角度來(lái)看，在測(cè)評(píng)的５ 大主要環(huán)節(jié)中，定級(jí)決定了系統(tǒng)在等保測(cè)評(píng)中所需要符合的標(biāo)準(zhǔn)，需要備案項(xiàng)目建設(shè)的實(shí)際情況，測(cè)評(píng)和整改的內(nèi)容涉及項(xiàng)目的整個(gè)生命周期，安全檢查是針對(duì)項(xiàng)目整體的保障，從這些要求看，協(xié)同監(jiān)理可以從項(xiàng)目過(guò)程文檔、變更情況、成本控制等方面，結(jié)合監(jiān)理的協(xié)調(diào)能力，保證對(duì)應(yīng)等級(jí)的等保要求更好地在項(xiàng)目中執(zhí)行、深化、貫徹落實(shí)，提升測(cè)評(píng)的通過(guò)率［１～２］ 。

在項(xiàng)目建設(shè)過(guò)程中，除了施工情況，信息安全也是項(xiàng)目開發(fā)實(shí)施過(guò)程中不可避免的關(guān)鍵性問(wèn)題，其中業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全則是測(cè)評(píng)工作中比較重要的評(píng)價(jià)條目，而監(jiān)理工作中的信息系統(tǒng)信息管理和信息系統(tǒng)安全管理也都在說(shuō)明信息安全在項(xiàng)目開發(fā)實(shí)施中的重要性。系統(tǒng)信息安全是指系統(tǒng)內(nèi)不同賬戶之間的信息安全，主要表現(xiàn)在系統(tǒng)中用戶角色的區(qū)分及權(quán)限的分立，通俗地講就是不同權(quán)限的用戶賬號(hào)密碼區(qū)分使用。不同賬號(hào)對(duì)應(yīng)的用戶不同，其使用權(quán)限也不相同，這中間若混用，其結(jié)果造成對(duì)公民、法人、其他組織權(quán)益、社會(huì)秩序、公共利益、國(guó)家安全損害的嚴(yán)重程度是評(píng)定等級(jí)保護(hù)等級(jí)的重要標(biāo)準(zhǔn)之一。針對(duì)監(jiān)理而言，這部分主要體現(xiàn)在需求說(shuō)明階段，需要明確各職級(jí)人員權(quán)限，確認(rèn)管理員賬號(hào)使用要求及規(guī)范，確定三員權(quán)限保證分立，以保證系統(tǒng)最終呈現(xiàn)情況符合等級(jí)保護(hù)要求。系統(tǒng)服務(wù)安全是指系統(tǒng)停止服務(wù)或設(shè)備停機(jī)對(duì)公民、法人、其他組織權(quán)益、社會(huì)秩序、公共利益、國(guó)家安全的影響，其嚴(yán)重程度是另一個(gè)測(cè)評(píng)標(biāo)準(zhǔn)。監(jiān)理層面，確認(rèn)相關(guān)設(shè)備參數(shù)的合理性是監(jiān)理在方案制定階段和設(shè)備開箱及變更階段的重要工作之一，而該部分所保留的證據(jù)、參考依據(jù)、文檔資料，很大程度上能佐證相關(guān)設(shè)備是否符合用戶使用需求及相關(guān)標(biāo)準(zhǔn)。而在項(xiàng)目開發(fā)實(shí)施階段中，各個(gè)應(yīng)用的安裝開發(fā)及安裝人員操作時(shí)的旁站工作也是確保該部分安全的重要保障手段之一。由此可見，信息系統(tǒng)監(jiān)理服務(wù)和等級(jí)保護(hù)測(cè)評(píng)的協(xié)同服務(wù)在很大程度上通過(guò)對(duì)監(jiān)理過(guò)程中標(biāo)準(zhǔn)的確認(rèn)或?qū)τ脩粜枨蟮奶嵘齺?lái)協(xié)助管理相關(guān)開發(fā)工作，并保證項(xiàng)目開發(fā)實(shí)施過(guò)程中信息、用戶數(shù)據(jù)的安全。二者的協(xié)同服務(wù)無(wú)論針對(duì)項(xiàng)目本身，還是監(jiān)理工作順利進(jìn)行或是測(cè)評(píng)工作通過(guò)率，都存在正向的推進(jìn)能力。

５ 討論反思

在實(shí)際項(xiàng)目建設(shè)過(guò)程中，監(jiān)理在設(shè)計(jì)階段的職能以可行性審核為主，在確保用戶需求的前提下，對(duì)項(xiàng)目方案設(shè)計(jì)進(jìn)行審核并提出建議，雖然目前監(jiān)理工作中涉及的測(cè)評(píng)知識(shí)及測(cè)評(píng)相關(guān)條例也是監(jiān)理工程師所需要的知識(shí)儲(chǔ)備之一，但就服務(wù)對(duì)象而言，監(jiān)理以項(xiàng)目成果物順利交付為最終目的，而測(cè)評(píng)工程師僅考慮項(xiàng)目對(duì)應(yīng)條目是否符合測(cè)評(píng)要求，監(jiān)理相較于測(cè)評(píng)更加需要考慮全局。對(duì)于監(jiān)理而言，測(cè)評(píng)工作過(guò)晚介入項(xiàng)目，會(huì)提高項(xiàng)目后期的變更風(fēng)險(xiǎn)，導(dǎo)致不必要的人力、成本支出和時(shí)間消耗。所以盡早通過(guò)監(jiān)理和測(cè)評(píng)的協(xié)同服務(wù)，對(duì)項(xiàng)目開發(fā)實(shí)施過(guò)程進(jìn)行全局地把控和推進(jìn)，是對(duì)項(xiàng)目起到正向作用的好方法之一。對(duì)于測(cè)評(píng)而言，工作本身以項(xiàng)目安全性為主體，將測(cè)評(píng)標(biāo)準(zhǔn)融入項(xiàng)目建設(shè)過(guò)程，可以更好地對(duì)項(xiàng)目安全性進(jìn)行評(píng)價(jià)、測(cè)試，并可以通過(guò)配合監(jiān)理工作，確保在后續(xù)測(cè)評(píng)、備案期間對(duì)項(xiàng)目信息的了解更加全面，從而更好地掌握系統(tǒng)，方便后續(xù)測(cè)評(píng)、整改工作。

６ 結(jié)束語(yǔ)

信息系統(tǒng)監(jiān)理服務(wù)和等級(jí)保護(hù)測(cè)評(píng)的協(xié)同服務(wù)可以在一定程度上提高項(xiàng)目前期準(zhǔn)備階段、設(shè)計(jì)階段的工作精度，幫助用戶及開發(fā)人員更好地確認(rèn)項(xiàng)目需求，明確項(xiàng)目開發(fā)中及項(xiàng)目完成后的使用制度，也可以進(jìn)一步協(xié)助用戶提高對(duì)項(xiàng)目的掌控力。

參考文獻(xiàn)：

［１］ 林揚(yáng)陽(yáng)，謝文潔，莊林楷，等．初探信息化維護(hù)項(xiàng)目監(jiān)理管理模式［Ｊ］．電子技術(shù)與軟件工程，２０１４（２２）：２４４?２４６＋２６２．

［２］ 楊春，徐瑋．信息化項(xiàng)目中信息系統(tǒng)的監(jiān)理作用研究［Ｊ］，花炮科技與市場(chǎng)，２０１９（４）：１１８?１１９．

作者簡(jiǎn)介：

俞晟皓（ １９９４—）， 本科， 工程師， 研究方向： 信息系統(tǒng)監(jiān)理。