電子政務信息安全指標體系初探課件

電子政務信息安全指標體系初探北京信息安全測評(服務)中心孟亞平1電子政務信息安全指標體系初探北京信息安全測評(服務)中心一、 對設立電子政務信息安全指標體系目 的與編制原則的理解二、 對電子政務信息安全指標體系內在特 點的幾點認識三、 研究設想內容2一、 對設立電子政務信息安全指標體系目 的與編制原則的理解一、 對設立電子政務信息安全指標體系目 的與編制原則的理解二、 對電子政務信息安全指標體系內在特 點的幾點認識三、 研究設想3一、 對設立電子政務信息安全指標體系目 的與編制原則的理解3研究背景黨和國家高度重視信息安全，《國家信息化領導小組關于加強信息安全保障工作的意見》和全國信息安全保障工作會議對我國的信息安全保障工作做出了整體部署；黨的十六屆四中全會進一步提出了確保國家政治安全、經(jīng)濟安全、文化安全和信息安全的要求；信息安全保障已經(jīng)成為各級政府的一項重要工作。北京市基于全面掌控電子政務信息安全整體狀況，為“十一五”期間充分構建北京市區(qū)域信息安全保障體系提供宏觀調控及決策依據(jù)的需要，適時開展了《北京市電子政務信息安全指標體系》的研究工作。4研究背景黨和國家高度重視信息安全，《國家信息化領導小組研究目的為建立信息安全狀況評估制度提供基礎指導意見及參照標準，規(guī)范并保證信息安全狀況評價的一致性、可比性與真實性；全面掌握電子政務信息安全整體狀況和需求，將信息安全狀況評價作為戰(zhàn)略制定、政策完善、產(chǎn)業(yè)推動的調控決策依據(jù)，提高信息安全保障工作的實效；為建立電子政務信息安全年度報告及發(fā)展狀況評價報告引用制度奠定基礎，有助于形成一種有效的信息安全監(jiān)管手段；研究獲取數(shù)據(jù)及統(tǒng)計分析的途徑與方法。5研究目的為建立信息安全狀況評估制度提供基礎指導意見及參編制原則全面性原則要求指標體系能夠盡可能完整反映信息安全保障各項工作的績效；高效性原則指標體系應在確保全面的前提下力求簡潔與高效，要求通過盡量少的指標項反映出盡可能全面的內容，從而提高效率；引導性原則不能片面孤立地強調信息安全工作，指標體系力求主導反映信息安全對電子政務業(yè)務的支撐和促進作用，避免單純訴求信息安全目標；6編制原則全面性原則要求指標體系能夠盡可能完整反編制原則（續(xù)）法律遵從原則指標體系構架及其各要素應盡可能遵從國家、行業(yè)、地方頒布的信息安全法規(guī)、政策與標準。但對于法規(guī)、政策與標準中未涵蓋或未詳細闡明的內容要求，對于政策主導性及個性化要求，應根據(jù)需要加以補充闡明；穩(wěn)定性原則信息安全指標體系及其評價制度是一項較新的工作內容，需要隨著實踐不斷探索完善，但應保持相對穩(wěn)定，以利于不同年度間評估結果的比較。7編制原則（續(xù)）法律遵從原則指標體系構架及其各要一、《北京市電子政務信息安全指標體 系》的研究目的與編制原則二、 對電子政務信息安全指標體系內在特 點的幾點認識三、 研究設想8一、《北京市電子政務信息安全指標體 系》的研究目的與編制原則幾點認識1、以定性評價為主“指標”在現(xiàn)實生活中的應用有多種，但一般歸為兩類：一類為定量指標，一類為定性指標。前者常運用統(tǒng)計學原理獲得評價結果，指標值往往是不“封頂”的，如GDP等；后者則多用于對比評估，如“國家精品課程評審指標體系”、“國家重點實驗室評估綜合指標體系”等，指標值往往要“封頂”。信息安全特點決定了其指標體系不是考察某幾個物理量的客觀發(fā)展結果，它需要部分量化指標的支持卻又不能完全使用統(tǒng)計指標直接評價和反映結果。因而決定了“指標”的構建與結果反映需要定性描述這一特質，決定了圍繞指標體系開展相關工作的性質與特點。9幾點認識1、以定性評價為主9幾點認識（續(xù)）2、更加關注過程 信息安全指標體系與其它指標體系明顯不同。絕大多數(shù)指標主要通過事物的階段性成果,借助統(tǒng)計量化指標來評價反映現(xiàn)狀，例如國家信息化指標體系考察的是國家信息化領域的各項發(fā)展結果（如基礎設施規(guī)模、信息產(chǎn)業(yè)規(guī)模等）。但信息安全狀況表象不完全是“可視”的，信息安全工作結果更多的是通過中間過程或隱性行為來體現(xiàn)，例如，在國家信息化工作中，組織領導、經(jīng)費支持等一般被視為保障條件，但在信息安全工作中，信息安全組織領導、信息安全經(jīng)費投資、信息安全政策法規(guī)、工程過程控制、制度有效落實等這些保障性、過程性工作本身便是信息安全工作的重要內容，要在指標中反映。這也成為信息安全指標體系無法定量的原因之一。10幾點認識（續(xù)）2、更加關注過程10幾點認識（續(xù)）3、復雜的關聯(lián)性和較強的傳遞性 信息安全指標構建與運用不僅基于已有的工作基礎，而且具有復雜的關聯(lián)性和較強的傳遞性。例如，安全和密碼技術與IT技術，技術措施與管理措施，基礎核心技術與應用技術及自主可控要求等。因此“指標”即要恰當梳理各指標要素間關聯(lián)關系與傳遞因素，又要保持“指標”整體性和各要素的緊密銜接，盡量避免不同角度與表述形式造成指標體系的多樣性。11幾點認識（續(xù)）3、復雜的關聯(lián)性和較強的傳遞性11幾點認識（續(xù)）4、面向兩個對象評價 兩個對象指的是“一橫”“一縱”。所謂“橫”表示以信息安全主管部門制定構建宏觀總體工作情況；所謂“縱”代表若干作為具體業(yè)務單位的信息化用戶落實運用信息安全工作情況。因此，通過對總體部署及個體落實兩個層面的分別評估來獲得對信息安全狀況的全局評價。12幾點認識（續(xù)）4、面向兩個對象評價12幾點認識（續(xù)）5、權衡安全與發(fā)展的關系

“以安全保發(fā)展，在發(fā)展中求安全”是指標體系要注意體現(xiàn)和導向的關鍵點，指標力求從二個方面體現(xiàn)。首先，沒有強調從采用安全技術措施角度直接評價，而是側重對過程的關注來評價體系，如：建設立項、實施、驗收等階段的安全工作。而過程中的安全工作多數(shù)情況下是普遍適用于差異性個體的。例如，不論系統(tǒng)等級如何，均需要在單位內成立信息安全領導小組，只是不同單位領導小組的具體工作內容因地制宜而已；其次，強調安全、信息系統(tǒng)、業(yè)務三者的關聯(lián)性。從“三定”（定職能、定機構、定編制）原則所賦予各單位的職責的角度出發(fā)，將業(yè)務對信息系統(tǒng)的依賴性及資產(chǎn)價值對安全的要求關聯(lián)起來加以考察。13幾點認識（續(xù)）5、權衡安全與發(fā)展的關系幾點認識（續(xù)）6、指標化評測的局限性與個性化由于信息安全工作形式與特點決定了指標化評測本身具有一定局限；由于工作主體與內容不同，區(qū)域信息安全工作狀況只部分反映國家信息安全狀況；由于不同區(qū)域經(jīng)濟結構與資源分布不同，其信息化發(fā)展與信息安全工作亦有著鮮明個性和差異性。區(qū)域信息安全保障體系必須突出重點，切忌求大求全，重復投資，不能完全照搬國家的信息安全保障體系。例如，國家行為的信息安全基礎設施；國家組織攻關的基礎技術；國家重點扶持的核心自主知識產(chǎn)權研究等。14幾點認識（續(xù)）6、指標化評測的局限性與個性化14幾點認識（續(xù)）7、與信息安全測評、風險評估和等級保護的關系信息安全指標體系也是一種評估活動，但意義更寬泛。它不同于信息安全測評、風險評估和等級保護。后三者側重于個體局部的安全建設，但其工作會成為指標體系某些指標的具體反映。出發(fā)點是從通過評價調控策略定位，避免對個體問責造成信息失真影響政策制定決策準確性，失去調控意義15幾點認識（續(xù)）7、與信息安全測評、風險評估和等級保護的幾點認識（續(xù)）8、指標體系的運用力求寬泛構建信息安全指標體系，評價信息安全狀況應從全局著眼，出發(fā)點是通過獲取各指標要素情況，分析評價整體態(tài)勢，達到宏觀調控安全方針策略，提高安全保障效力的目標。避免一味用來對個體問責，造成信息采集源頭失真，導致對整個安全態(tài)勢的錯誤判斷，最終影響各項安全政策的制定與正確決策，失去調控意義16幾點認識（續(xù)）8、指標體系的運用力求寬泛16NIST800-55《IT系統(tǒng)安全指標指南（SecurityMetricsGuideforInformationTechnologySystems）》（2003年7月）1RiskManagement（風險管理）2SecurityControls（安全控制）3SystemDevelopmentLifeCycle（系統(tǒng)開發(fā)生命周期）4AuthorizeProcessing(CertificationandAccreditation)（認證和認可）5SystemSecurityPlan（系統(tǒng)安全計劃）6PersonnelSecurity（人員安全）7PhysicalandEnvironmentalProtection（物理和環(huán)境保護）8Production,Input/OutputControls（流程，輸入/輸出控制）9ContingencyPlanning（應急規(guī)劃）10HardwareandSystemsSoftwareMaintenance（硬件和系統(tǒng)軟件維護）11DataIntegrity（數(shù)據(jù)完整性）12Documentation（文檔）13SecurityAwareness,Training,andEducation（安全意識，培訓和教育）14IncidentResponseCapability（事件響應能力）15IdentificationandAuthentication（標識和鑒別）16LogicalAccessControls（邏輯訪問控制）17AuditTrails（審計跟蹤）17NIST800-55《IT系統(tǒng)安全指標指南（Securit一、《北京市電子政務信息安全指標體 系》的研究目的與編制原則二、 對電子政務信息安全指標體系內在特 點的幾點認識三、 研究設想18一、《北京市電子政務信息安全指標體 系》的研究目的與編制原則研究設想（1）通過上報、調查、檢查、搜集等方式研究建 立完善順暢的數(shù)據(jù)采集渠道；

(2)利用信息化手段，研究實現(xiàn)對采集數(shù)據(jù)的 匯 總、存檔、檢索、統(tǒng)計分析等處理；

(3) 研究建立年度信息安全狀況報告制度，定期 發(fā)布信息安全狀況評價報告；

(4) 在建立年度信息安全狀況報告制度基礎上， 研究探索建立信息安全狀況評價引用機制， 使之成為信息安全戰(zhàn)略制定、宏觀調控、績 效評估、產(chǎn)業(yè)推動等工作的決策依據(jù)。19研究設想（1）通過上報、調查、檢查、搜集等方式研究建信息安全年度報告及引用制度的成功范例美國目前正在實施的年度信息安全報告制度已經(jīng)比較成熟。該制度得到了《信息安全管理法案》（FISMA）的支持和保障，并特別向聯(lián)邦各部委下發(fā)了報告表格。表格全面涵蓋了美國在制定年度信息安全報告時需要向各單位了解的內容，很具有針對性。每一年度，OMB（管理和預算辦公室）將各部委的上報信息匯總后編制總報告，提交國會審查，作為國會對政府實施監(jiān)督的重要內容。20信息安全年度報告及引用制度的成功范例美國目前正在實施的年度信美國《信息安全管理法案》（FISMA）提出的要求各機構的報告——每一個聯(lián)邦機構應每年一次向OMB主任，眾議院政府改革委員會、科學委員會，參議院政府事務委員會、商務委員會、科學委員會、運輸委員會，國會內有關的授權和撥款委員會、總審計長匯報信息安全政策、流程以及實踐措施的充分性和有效性，并匯報是否遵循了相關條款要求；聯(lián)邦機構的報告——在規(guī)定時間前，聯(lián)邦各機構的領導應每年一次向OMB主任提交信息安全評估結論；OMB向國會的報告——OMB主任在向國會提交報告時，應做出結論性評估。21美國《信息安全管理法案》（FISMA）提出的要求各機構的報告美國2004年FISMA報告封面22美國2004年FISMA報告封面22美國FISMA信息上報模版示例23美國FISMA信息上報模版示例23美國FISMA信息上報模版示例24美國FISMA信息上報模版示例24謝謝!北京信息安全測評(服務)中心地址：北京市海淀區(qū)阜成路16號B座5層郵編：100037電話：010-6876887725謝謝!北京信息安全測評(服務)中心25電子政務信息安全指標體系初探北京信息安全測評(服務)中心孟亞平26電子政務信息安全指標體系初探北京信息安全測評(服務)中心一、 對設立電子政務信息安全指標體系目 的與編制原則的理解二、 對電子政務信息安全指標體系內在特 點的幾點認識三、 研究設想內容27一、 對設立電子政務信息安全指標體系目 的與編制原則的理解一、 對設立電子政務信息安全指標體系目 的與編制原則的理解二、 對電子政務信息安全指標體系內在特 點的幾點認識三、 研究設想28一、 對設立電子政務信息安全指標體系目 的與編制原則的理解3研究背景黨和國家高度重視信息安全，《國家信息化領導小組關于加強信息安全保障工作的意見》和全國信息安全保障工作會議對我國的信息安全保障工作做出了整體部署；黨的十六屆四中全會進一步提出了確保國家政治安全、經(jīng)濟安全、文化安全和信息安全的要求；信息安全保障已經(jīng)成為各級政府的一項重要工作。北京市基于全面掌控電子政務信息安全整體狀況，為“十一五”期間充分構建北京市區(qū)域信息安全保障體系提供宏觀調控及決策依據(jù)的需要，適時開展了《北京市電子政務信息安全指標體系》的研究工作。29研究背景黨和國家高度重視信息安全，《國家信息化領導小組研究目的為建立信息安全狀況評估制度提供基礎指導意見及參照標準，規(guī)范并保證信息安全狀況評價的一致性、可比性與真實性；全面掌握電子政務信息安全整體狀況和需求，將信息安全狀況評價作為戰(zhàn)略制定、政策完善、產(chǎn)業(yè)推動的調控決策依據(jù)，提高信息安全保障工作的實效；為建立電子政務信息安全年度報告及發(fā)展狀況評價報告引用制度奠定基礎，有助于形成一種有效的信息安全監(jiān)管手段；研究獲取數(shù)據(jù)及統(tǒng)計分析的途徑與方法。30研究目的為建立信息安全狀況評估制度提供基礎指導意見及參編制原則全面性原則要求指標體系能夠盡可能完整反映信息安全保障各項工作的績效；高效性原則指標體系應在確保全面的前提下力求簡潔與高效，要求通過盡量少的指標項反映出盡可能全面的內容，從而提高效率；引導性原則不能片面孤立地強調信息安全工作，指標體系力求主導反映信息安全對電子政務業(yè)務的支撐和促進作用，避免單純訴求信息安全目標；31編制原則全面性原則要求指標體系能夠盡可能完整反編制原則（續(xù)）法律遵從原則指標體系構架及其各要素應盡可能遵從國家、行業(yè)、地方頒布的信息安全法規(guī)、政策與標準。但對于法規(guī)、政策與標準中未涵蓋或未詳細闡明的內容要求，對于政策主導性及個性化要求，應根據(jù)需要加以補充闡明；穩(wěn)定性原則信息安全指標體系及其評價制度是一項較新的工作內容，需要隨著實踐不斷探索完善，但應保持相對穩(wěn)定，以利于不同年度間評估結果的比較。32編制原則（續(xù)）法律遵從原則指標體系構架及其各要一、《北京市電子政務信息安全指標體 系》的研究目的與編制原則二、 對電子政務信息安全指標體系內在特 點的幾點認識三、 研究設想33一、《北京市電子政務信息安全指標體 系》的研究目的與編制原則幾點認識1、以定性評價為主“指標”在現(xiàn)實生活中的應用有多種，但一般歸為兩類：一類為定量指標，一類為定性指標。前者常運用統(tǒng)計學原理獲得評價結果，指標值往往是不“封頂”的，如GDP等；后者則多用于對比評估，如“國家精品課程評審指標體系”、“國家重點實驗室評估綜合指標體系”等，指標值往往要“封頂”。信息安全特點決定了其指標體系不是考察某幾個物理量的客觀發(fā)展結果，它需要部分量化指標的支持卻又不能完全使用統(tǒng)計指標直接評價和反映結果。因而決定了“指標”的構建與結果反映需要定性描述這一特質，決定了圍繞指標體系開展相關工作的性質與特點。34幾點認識1、以定性評價為主9幾點認識（續(xù)）2、更加關注過程 信息安全指標體系與其它指標體系明顯不同。絕大多數(shù)指標主要通過事物的階段性成果,借助統(tǒng)計量化指標來評價反映現(xiàn)狀，例如國家信息化指標體系考察的是國家信息化領域的各項發(fā)展結果（如基礎設施規(guī)模、信息產(chǎn)業(yè)規(guī)模等）。但信息安全狀況表象不完全是“可視”的，信息安全工作結果更多的是通過中間過程或隱性行為來體現(xiàn)，例如，在國家信息化工作中，組織領導、經(jīng)費支持等一般被視為保障條件，但在信息安全工作中，信息安全組織領導、信息安全經(jīng)費投資、信息安全政策法規(guī)、工程過程控制、制度有效落實等這些保障性、過程性工作本身便是信息安全工作的重要內容，要在指標中反映。這也成為信息安全指標體系無法定量的原因之一。35幾點認識（續(xù)）2、更加關注過程10幾點認識（續(xù)）3、復雜的關聯(lián)性和較強的傳遞性 信息安全指標構建與運用不僅基于已有的工作基礎，而且具有復雜的關聯(lián)性和較強的傳遞性。例如，安全和密碼技術與IT技術，技術措施與管理措施，基礎核心技術與應用技術及自主可控要求等。因此“指標”即要恰當梳理各指標要素間關聯(lián)關系與傳遞因素，又要保持“指標”整體性和各要素的緊密銜接，盡量避免不同角度與表述形式造成指標體系的多樣性。36幾點認識（續(xù)）3、復雜的關聯(lián)性和較強的傳遞性11幾點認識（續(xù)）4、面向兩個對象評價 兩個對象指的是“一橫”“一縱”。所謂“橫”表示以信息安全主管部門制定構建宏觀總體工作情況；所謂“縱”代表若干作為具體業(yè)務單位的信息化用戶落實運用信息安全工作情況。因此，通過對總體部署及個體落實兩個層面的分別評估來獲得對信息安全狀況的全局評價。37幾點認識（續(xù)）4、面向兩個對象評價12幾點認識（續(xù)）5、權衡安全與發(fā)展的關系

“以安全保發(fā)展，在發(fā)展中求安全”是指標體系要注意體現(xiàn)和導向的關鍵點，指標力求從二個方面體現(xiàn)。首先，沒有強調從采用安全技術措施角度直接評價，而是側重對過程的關注來評價體系，如：建設立項、實施、驗收等階段的安全工作。而過程中的安全工作多數(shù)情況下是普遍適用于差異性個體的。例如，不論系統(tǒng)等級如何，均需要在單位內成立信息安全領導小組，只是不同單位領導小組的具體工作內容因地制宜而已；其次，強調安全、信息系統(tǒng)、業(yè)務三者的關聯(lián)性。從“三定”（定職能、定機構、定編制）原則所賦予各單位的職責的角度出發(fā)，將業(yè)務對信息系統(tǒng)的依賴性及資產(chǎn)價值對安全的要求關聯(lián)起來加以考察。38幾點認識（續(xù)）5、權衡安全與發(fā)展的關系幾點認識（續(xù)）6、指標化評測的局限性與個性化由于信息安全工作形式與特點決定了指標化評測本身具有一定局限；由于工作主體與內容不同，區(qū)域信息安全工作狀況只部分反映國家信息安全狀況；由于不同區(qū)域經(jīng)濟結構與資源分布不同，其信息化發(fā)展與信息安全工作亦有著鮮明個性和差異性。區(qū)域信息安全保障體系必須突出重點，切忌求大求全，重復投資，不能完全照搬國家的信息安全保障體系。例如，國家行為的信息安全基礎設施；國家組織攻關的基礎技術；國家重點扶持的核心自主知識產(chǎn)權研究等。39幾點認識（續(xù)）6、指標化評測的局限性與個性化14幾點認識（續(xù)）7、與信息安全測評、風險評估和等級保護的關系信息安全指標體系也是一種評估活動，但意義更寬泛。它不同于信息安全測評、風險評估和等級保護。后三者側重于個體局部的安全建設，但其工作會成為指標體系某些指標的具體反映。出發(fā)點是從通過評價調控策略定位，避免對個體問責造成信息失真影響政策制定決策準確性，失去調控意義40幾點認識（續(xù)）7、與信息安全測評、風險評估和等級保護的幾點認識（續(xù)）8、指標體系的運用力求寬泛構建信息安全指標體系，評價信息安全狀況應從全局著眼，出發(fā)點是通過獲取各指標要素情況，分析評價整體態(tài)勢，達到宏觀調控安全方針策略，提高安全保障效力的目標。避免一味用來對個體問責，造成信息采集源頭失真，導致對整個安全態(tài)勢的錯誤判斷，最終影響各項安全政策的制定與正確決策，失去調控意義41幾點認識（續(xù)）8、指標體系的運用力求寬泛16NIST800-55《IT系統(tǒng)安全指標指南（SecurityMetricsGuideforInformationTechnologySystems）》（2003年7月）1RiskManagement（風險管理）2SecurityControls（安全控制）3SystemDevelopmentLifeCycle（系統(tǒng)開發(fā)生命周期）4AuthorizeProcessing(CertificationandAccreditation)（認證和認可）5SystemSecurityPlan（系統(tǒng)安全計劃）6PersonnelSecurity（人員安全）7PhysicalandEnvironmentalProtection（物理和環(huán)境保護）8Production,Input/OutputControls（流程，輸入/輸出控制）9ContingencyPlanning（應急規(guī)劃）10HardwareandSystemsSoftwareMaintenance（硬件和系統(tǒng)軟件維護）11DataIntegrity（數(shù)據(jù)完整性）12Documentation（文檔）13SecurityAwareness,Training,andEducation（安全意識，培訓和教育）14IncidentResponseCapability（事件響應能力）15IdentificationandAuthentication（標識和鑒別）16LogicalAccessControls（邏輯訪問控制）17AuditTrails（審計跟蹤）42NIST800-55《IT系統(tǒng)安全指標指南（Securit一、《北京市電子政務信息安全指標體 系》的研究目的與編制原則二、 對電子政務信