辦公信息系統(tǒng)安全相關(guān)標(biāo)準(zhǔn)解讀

謝宗曉 董坤祥 甄杰

關(guān)于辦公信息系統(tǒng)的3項(xiàng)標(biāo)準(zhǔn)，GB/ T 37094—2018《信息安全技術(shù) 辦公信息系統(tǒng)安全管理要求》、GB/ T 37095—2018《信息安全技術(shù) 辦公信息系統(tǒng)安全基本技術(shù)要求》和GB/ T 37096—2018《信息安全技術(shù) 辦公信息系統(tǒng)安全測試規(guī)范》發(fā)布于2018年12月28日，將于2019年7月1日正式實(shí)施。

其中，GB/ T 37095—2018中定義了辦公信息系統(tǒng)的概念：

由服務(wù)器、桌面PC、操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、應(yīng)用服務(wù)器中間件、辦公軟件、網(wǎng)絡(luò)設(shè)施、應(yīng)用軟件系統(tǒng)等軟硬件組成，通過數(shù)據(jù)的收集、存儲(chǔ)、傳遞、管理和處理等手段，提供辦公服務(wù)的信息系統(tǒng)。

這個(gè)定義比較寬泛，實(shí)際情況是，這3項(xiàng)標(biāo)準(zhǔn)，主要針對(duì)黨政部門的辦公信息系統(tǒng)，這在標(biāo)準(zhǔn)的范圍中進(jìn)行了說明。

1 辦公信息系統(tǒng)安全管理要求

GB/ T 37094—2018正文共有4章，前3章為標(biāo)準(zhǔn)通用條款，第4章給出了辦公信息系統(tǒng)的建設(shè)管理、系統(tǒng)運(yùn)維管理、制度管理和外包管理方面的要求。

建設(shè)管理中描述了一個(gè)信息系統(tǒng)獲取/開發(fā)的過程，具體如圖1所示。

建設(shè)管理中包括了方案設(shè)計(jì)、產(chǎn)品采購和使用、軟件開發(fā)、工程實(shí)施、測試驗(yàn)收和系統(tǒng)交付，最后單獨(dú)提出了供應(yīng)商選擇。如果將上述過程更簡化一些，實(shí)際就是設(shè)計(jì)、采購、實(shí)施直至交付。

系統(tǒng)運(yùn)維管理呈現(xiàn)的不是一個(gè)流程，而是分為不同的控制，這類似于GB/ T 22081—2016（ISO/IEC 27002：2013，IDT）《信息技術(shù) 安全技術(shù) 信息安全控制實(shí)踐指南》等常見標(biāo)準(zhǔn)的控制域或控制（controls）。具體如圖2所示。

接下來是制度管理，包括管理制度、管理機(jī)構(gòu)和人員管理。這個(gè)分類與GB/T 22081—2016（IDL）存在一定的差異，但是就具體控制而言，都是保持相互兼容的。

最后討論的是外包管理，沒有給出詳細(xì)要求，而是直接引用了GB/T 32926—2016《信息安全技術(shù) 政府部門信息技術(shù)服務(wù)外包信息安全管理規(guī)范》。

2 辦公信息系統(tǒng)安全基本技術(shù)要求

GB/ T 37095—2018共有6章，前3章為標(biāo)準(zhǔn)通用條款，第4章為縮略語，第5章為基本原則，在第6章中，對(duì)辦公信息系統(tǒng)部署和運(yùn)維的物理環(huán)境提出了要求，并對(duì)辦公信息系統(tǒng)的重要組成部分，包括基礎(chǔ)軟硬件產(chǎn)品、網(wǎng)絡(luò)設(shè)施、應(yīng)用軟件提出了要求，這與“辦公信息系統(tǒng)”的定義實(shí)際是一一對(duì)應(yīng)的。

GB/ T 37095—2018的要求實(shí)際是一個(gè)標(biāo)準(zhǔn)索引，由于其中涉及的絕大部分安全要求（例如，通用要求）在其他標(biāo)準(zhǔn)中都已經(jīng)有了，辦公信息系統(tǒng)應(yīng)按照GB/ T 22239—20081）《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》的第三級(jí)及以上要求進(jìn)行設(shè)計(jì)、建設(shè)和運(yùn)維。

整理之后的安全要求索引如表1所示。

3 辦公信息系統(tǒng)安全測試規(guī)范

GB/ T 37096—2018是GB/T 37095—2018的配套標(biāo)準(zhǔn)，用以指導(dǎo)測試人員對(duì)辦公信息系統(tǒng)安全進(jìn)行測試。該標(biāo)準(zhǔn)正文共有9章，前3章為標(biāo)準(zhǔn)通用內(nèi)容，第4章為縮略語，第5章至第9章，按照GB/T 37095—2018關(guān)于辦公信息系統(tǒng)安全基本技術(shù)要求，分別從物理環(huán)境、基礎(chǔ)硬件產(chǎn)品、基礎(chǔ)軟件產(chǎn)品、網(wǎng)絡(luò)設(shè)施和應(yīng)用軟件系統(tǒng)5個(gè)方面規(guī)定了辦公信息系統(tǒng)安全測試規(guī)范。

GB/ T 37096—2018與GB/ T 37095—2018相似，也是一個(gè)標(biāo)準(zhǔn)索引的結(jié)構(gòu)，以第5章“物理環(huán)境測試”為例，其中測試內(nèi)容為：測試辦公信息系統(tǒng)部署、運(yùn)維的物理環(huán)境中機(jī)房的建設(shè)是否符合GB/ T 2887—2011的要求、物理環(huán)境是否符合GB/ T 21052—2007的要求。對(duì)應(yīng)的測試項(xiàng)和測試方法，如表2所示。

當(dāng)然，不是所有的安全域都能夠采用表2所示的索引辦法，直接要求提交已有的證明材料，但是最大化地與現(xiàn)有標(biāo)準(zhǔn)形成兼容，降低用戶的合規(guī)負(fù)擔(dān)，是標(biāo)準(zhǔn)整合的要求，也是以后監(jiān)管的主要方向。

4 小結(jié)

雖然關(guān)于辦公信息系統(tǒng)的3項(xiàng)標(biāo)準(zhǔn)——

GB/T 37094—2018、GB/T 37095—2018和GB/T 37096—2018的正文中，對(duì)其他國家標(biāo)準(zhǔn)存在諸多引用，但是其發(fā)布仍然有很大的意義，例如，這為黨政部門辦公信息系統(tǒng)的建設(shè)、運(yùn)維、外包、軟硬件采購、測試和部署等各個(gè)環(huán)節(jié)提供了整合的依據(jù)和指南。

（注：本文僅做學(xué)術(shù)探討，與作者所在單位觀點(diǎn)無關(guān)）