電子政務(wù)信息安全指標(biāo)體系說明

電子政務(wù)信息安全指標(biāo)體系初探北京信息安全測評(服務(wù))中心孟亞平1一、 對設(shè)立電子政務(wù)信息安全指標(biāo)體系目 的與編制原則的理解二、 對電子政務(wù)信息安全指標(biāo)體系內(nèi)在特 點(diǎn)的幾點(diǎn)認(rèn)識三、 研究設(shè)想內(nèi)容2一、 對設(shè)立電子政務(wù)信息安全指標(biāo)體系目 的與編制原則的理解二、 對電子政務(wù)信息安全指標(biāo)體系內(nèi)在特 點(diǎn)的幾點(diǎn)認(rèn)識三、 研究設(shè)想3研究背景黨和國家高度重視信息安全，《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》和全國信息安全保障工作會議對我國的信息安全保障工作做出了整體部署；黨的十六屆四中全會進(jìn)一步提出了確保國家政治安全、經(jīng)濟(jì)安全、文化安全和信息安全的要求；信息安全保障已經(jīng)成為各級政府的一項(xiàng)重要工作。北京市基于全面掌控電子政務(wù)信息安全整體狀況，為“十一五”期間充分構(gòu)建北京市區(qū)域信息安全保障體系提供宏觀調(diào)控及決策依據(jù)的需要，適時(shí)開展了《北京市電子政務(wù)信息安全指標(biāo)體系》的研究工作。4研究目的為建立信息安全狀況評估制度提供基礎(chǔ)指導(dǎo)意見及參照標(biāo)準(zhǔn)，規(guī)范并保證信息安全狀況評價(jià)的一致性、可比性與真實(shí)性；全面掌握電子政務(wù)信息安全整體狀況和需求，將信息安全狀況評價(jià)作為戰(zhàn)略制定、政策完善、產(chǎn)業(yè)推動(dòng)的調(diào)控決策依據(jù)，提高信息安全保障工作的實(shí)效；為建立電子政務(wù)信息安全年度報(bào)告及發(fā)展?fàn)顩r評價(jià)報(bào)告引用制度奠定基礎(chǔ)，有助于形成一種有效的信息安全監(jiān)管手段；研究獲取數(shù)據(jù)及統(tǒng)計(jì)分析的途徑與方法。5編制原則全面性原則要求指標(biāo)體系能夠盡可能完整反映信息安全保障各項(xiàng)工作的績效；高效性原則指標(biāo)體系應(yīng)在確保全面的前提下力求簡潔與高效，要求通過盡量少的指標(biāo)項(xiàng)反映出盡可能全面的內(nèi)容，從而提高效率；引導(dǎo)性原則不能片面孤立地強(qiáng)調(diào)信息安全工作，指標(biāo)體系力求主導(dǎo)反映信息安全對電子政務(wù)業(yè)務(wù)的支撐和促進(jìn)作用，避免單純訴求信息安全目標(biāo)；6編制原則（續(xù)）法律遵從原則指標(biāo)體系構(gòu)架及其各要素應(yīng)盡可能遵從國家、行業(yè)、地方頒布的信息安全法規(guī)、政策與標(biāo)準(zhǔn)。但對于法規(guī)、政策與標(biāo)準(zhǔn)中未涵蓋或未詳細(xì)闡明的內(nèi)容要求，對于政策主導(dǎo)性及個(gè)性化要求，應(yīng)根據(jù)需要加以補(bǔ)充闡明；穩(wěn)定性原則信息安全指標(biāo)體系及其評價(jià)制度是一項(xiàng)較新的工作內(nèi)容，需要隨著實(shí)踐不斷探索完善，但應(yīng)保持相對穩(wěn)定，以利于不同年度間評估結(jié)果的比較。7一、《北京市電子政務(wù)信息安全指標(biāo)體 系》的研究目的與編制原則二、 對電子政務(wù)信息安全指標(biāo)體系內(nèi)在特 點(diǎn)的幾點(diǎn)認(rèn)識三、 研究設(shè)想8幾點(diǎn)認(rèn)識1、以定性評價(jià)為主“指標(biāo)”在現(xiàn)實(shí)生活中的應(yīng)用有多種，但一般歸為兩類：一類為定量指標(biāo)，一類為定性指標(biāo)。前者常運(yùn)用統(tǒng)計(jì)學(xué)原理獲得評價(jià)結(jié)果，指標(biāo)值往往是不“封頂”的，如gdp等；后者則多用于對比評估，如“國家精品課程評審指標(biāo)體系”、“國家重點(diǎn)實(shí)驗(yàn)室評估綜合指標(biāo)體系”等，指標(biāo)值往往要“封頂”。信息安全特點(diǎn)決定了其指標(biāo)體系不是考察某幾個(gè)物理量的客觀發(fā)展結(jié)果，它需要部分量化指標(biāo)的支持卻又不能完全使用統(tǒng)計(jì)指標(biāo)直接評價(jià)和反映結(jié)果。因而決定了“指標(biāo)”的構(gòu)建與結(jié)果反映需要定性描述這一特質(zhì)，決定了圍繞指標(biāo)體系開展相關(guān)工作的性質(zhì)與特點(diǎn)。9幾點(diǎn)認(rèn)識（續(xù)）2、更加關(guān)注過程 信息安全指標(biāo)體系與其它指標(biāo)體系明顯不同。絕大多數(shù)指標(biāo)主要通過事物的階段性成果,借助統(tǒng)計(jì)量化指標(biāo)來評價(jià)反映現(xiàn)狀，例如國家信息化指標(biāo)體系考察的是國家信息化領(lǐng)域的各項(xiàng)發(fā)展結(jié)果（如基礎(chǔ)設(shè)施規(guī)模、信息產(chǎn)業(yè)規(guī)模等）。但信息安全狀況表象不完全是“可視”的，信息安全工作結(jié)果更多的是通過中間過程或隱性行為來體現(xiàn)，例如，在國家信息化工作中，組織領(lǐng)導(dǎo)、經(jīng)費(fèi)支持等一般被視為保障條件，但在信息安全工作中，信息安全組織領(lǐng)導(dǎo)、信息安全經(jīng)費(fèi)投資、信息安全政策法規(guī)、工程過程控制、制度有效落實(shí)等這些保障性、過程性工作本身便是信息安全工作的重要內(nèi)容，要在指標(biāo)中反映。這也成為信息安全指標(biāo)體系無法定量的原因之一。10幾點(diǎn)認(rèn)識（續(xù)）3、復(fù)雜的關(guān)聯(lián)性和較強(qiáng)的傳遞性 信息安全指標(biāo)構(gòu)建與運(yùn)用不僅基于已有的工作基礎(chǔ)，而且具有復(fù)雜的關(guān)聯(lián)性和較強(qiáng)的傳遞性。例如，安全和密碼技術(shù)與it技術(shù)，技術(shù)措施與管理措施，基礎(chǔ)核心技術(shù)與應(yīng)用技術(shù)及自主可控要求等。因此“指標(biāo)”即要恰當(dāng)梳理各指標(biāo)要素間關(guān)聯(lián)關(guān)系與傳遞因素，又要保持“指標(biāo)”整體性和各要素的緊密銜接，盡量避免不同角度與表述形式造成指標(biāo)體系的多樣性。11幾點(diǎn)認(rèn)識（續(xù)）4、面向兩個(gè)對象評價(jià) 兩個(gè)對象指的是“一橫”“一縱”。所謂“橫”表示以信息安全主管部門制定構(gòu)建宏觀總體工作情況；所謂“縱”代表若干作為具體業(yè)務(wù)單位的信息化用戶落實(shí)運(yùn)用信息安全工作情況。因此，通過對總體部署及個(gè)體落實(shí)兩個(gè)層面的分別評估來獲得對信息安全狀況的全局評價(jià)。12幾點(diǎn)認(rèn)識（續(xù)）5、權(quán)衡安全與發(fā)展的關(guān)系

“以安全保發(fā)展，在發(fā)展中求安全”是指標(biāo)體系要注意體現(xiàn)和導(dǎo)向的關(guān)鍵點(diǎn)，指標(biāo)力求從二個(gè)方面體現(xiàn)。首先，沒有強(qiáng)調(diào)從采用安全技術(shù)措施角度直接評價(jià)，而是側(cè)重對過程的關(guān)注來評價(jià)體系，如：建設(shè)立項(xiàng)、實(shí)施、驗(yàn)收等階段的安全工作。而過程中的安全工作多數(shù)情況下是普遍適用于差異性個(gè)體的。例如，不論系統(tǒng)等級如何，均需要在單位內(nèi)成立信息安全領(lǐng)導(dǎo)小組，只是不同單位領(lǐng)導(dǎo)小組的具體工作內(nèi)容因地制宜而已；其次，強(qiáng)調(diào)安全、信息系統(tǒng)、業(yè)務(wù)三者的關(guān)聯(lián)性。從“三定”（定職能、定機(jī)構(gòu)、定編制）原則所賦予各單位的職責(zé)的角度出發(fā)，將業(yè)務(wù)對信息系統(tǒng)的依賴性及資產(chǎn)價(jià)值對安全的要求關(guān)聯(lián)起來加以考察。13幾點(diǎn)認(rèn)識（續(xù)）6、指標(biāo)化評測的局限性與個(gè)性化由于信息安全工作形式與特點(diǎn)決定了指標(biāo)化評測本身具有一定局限；由于工作主體與內(nèi)容不同，區(qū)域信息安全工作狀況只部分反映國家信息安全狀況；由于不同區(qū)域經(jīng)濟(jì)結(jié)構(gòu)與資源分布不同，其信息化發(fā)展與信息安全工作亦有著鮮明個(gè)性和差異性。區(qū)域信息安全保障體系必須突出重點(diǎn)，切忌求大求全，重復(fù)投資，不能完全照搬國家的信息安全保障體系。例如，國家行為的信息安全基礎(chǔ)設(shè)施；國家組織攻關(guān)的基礎(chǔ)技術(shù)；國家重點(diǎn)扶持的核心自主知識產(chǎn)權(quán)研究等。14幾點(diǎn)認(rèn)識（續(xù)）7、與信息安全測評、風(fēng)險(xiǎn)評估和等級保護(hù)的關(guān)系信息安全指標(biāo)體系也是一種評估活動(dòng)，但意義更寬泛。它不同于信息安全測評、風(fēng)險(xiǎn)評估和等級保護(hù)。后三者側(cè)重于個(gè)體局部的安全建設(shè)，但其工作會成為指標(biāo)體系某些指標(biāo)的具體反映。出發(fā)點(diǎn)是從通過評價(jià)調(diào)控策略定位，避免對個(gè)體問責(zé)造成信息失真影響政策制定決策準(zhǔn)確性，失去調(diào)控意義15幾點(diǎn)認(rèn)識（續(xù)）8、指標(biāo)體系的運(yùn)用力求寬泛構(gòu)建信息安全指標(biāo)體系，評價(jià)信息安全狀況應(yīng)從全局著眼，出發(fā)點(diǎn)是通過獲取各指標(biāo)要素情況，分析評價(jià)整體態(tài)勢，達(dá)到宏觀調(diào)控安全方針策略，提高安全保障效力的目標(biāo)。避免一味用來對個(gè)體問責(zé)，造成信息采集源頭失真，導(dǎo)致對整個(gè)安全態(tài)勢的錯(cuò)誤判斷，最終影響各項(xiàng)安全政策的制定與正確決策，失去調(diào)控意義16nist800-55《it系統(tǒng)安全指標(biāo)指南（securitymetricsguideforinformationtechnologysystems）》（2003年7月）1riskmanagement（風(fēng)險(xiǎn)管理）2securitycontrols（安全控制）3systemdevelopmentlifecycle（系統(tǒng)開發(fā)生命周期）4authorizeprocessing(certificationandaccreditation)（認(rèn)證和認(rèn)可）5systemsecurityplan（系統(tǒng)安全計(jì)劃）6personnelsecurity（人員安全）7physicalandenvironmentalprotection（物理和環(huán)境保護(hù)）8production,input/outputcontrols（流程，輸入/輸出控制）9contingencyplanning（應(yīng)急規(guī)劃）10hardwareandsystemssoftwaremaintenance（硬件和系統(tǒng)軟件維護(hù)）11dataintegrity（數(shù)據(jù)完整性）12documentation（文檔）13securityawareness,training,andeducation（安全意識，培訓(xùn)和教育）14incidentresponsecapability（事件響應(yīng)能力）15identificationandauthentication（標(biāo)識和鑒別）16logicalaccesscontrols（邏輯訪問控制）17audittrails（審計(jì)跟蹤）17一、《北京市電子政務(wù)信息安全指標(biāo)體 系》的研究目的與編制原則二、 對電子政務(wù)信息安全指標(biāo)體系內(nèi)在特 點(diǎn)的幾點(diǎn)認(rèn)識三、 研究設(shè)想18研究設(shè)想（1）通過上報(bào)、調(diào)查、檢查、搜集等方式研究建 立完善順暢的數(shù)據(jù)采集渠道；

(2)利用信息化手段，研究實(shí)現(xiàn)對采集數(shù)據(jù)的 匯 總、存檔、檢索、統(tǒng)計(jì)分析等處理；

(3) 研究建立年度信息安全狀況報(bào)告制度，定期 發(fā)布信息安全狀況評價(jià)報(bào)告；

(4) 在建立年度信息安全狀況報(bào)告制度基礎(chǔ)上， 研究探索建立信息安全狀況評價(jià)引用機(jī)制， 使之成為信息安全戰(zhàn)略制定、宏觀調(diào)控、績 效評估、產(chǎn)業(yè)推動(dòng)等工作的決策依據(jù)。19信息安全年度報(bào)告及引用制度的成功范例美國目前正在實(shí)施的年度信息安全報(bào)告制度已經(jīng)比較成熟。該制度得到了《信息安全管理法案》（fisma）的支持和保障，并特別向聯(lián)邦各部委下發(fā)了報(bào)告表格。表格全面涵蓋了美國在制定年度信息安全報(bào)告時(shí)需要向各單位了解的內(nèi)容，很具有針對性。每一年度，omb（管理和預(yù)算辦公室）將各部委的上報(bào)信息匯總后編制總報(bào)告，提交國會審查，作為國會對政府實(shí)施監(jiān)督的重要內(nèi)容。20美國《信息安全管理法案》（fisma）提出的要求各機(jī)構(gòu)的報(bào)告——每一個(gè)聯(lián)邦機(jī)構(gòu)應(yīng)每年一次向omb主任，眾議院政府改革委員會、科學(xué)委員會，參議院政府事務(wù)委員會、商務(wù)委員會、科學(xué)委員會、運(yùn)輸委員會，國會內(nèi)有關(guān)的授權(quán)和撥款委員會、總審計(jì)長匯報(bào)信息安全政策、流程以及實(shí)踐措施的充分性和有效性，并匯報(bào)是否遵循了相關(guān)條款要求；聯(lián)邦機(jī)構(gòu)的報(bào)告—