《信息安全保障指標(biāo)體系及評價方法 第2部分 指標(biāo)體系》編制說明

1.工作簡況

1.1.任務(wù)來源

根據(jù)國家標(biāo)準(zhǔn)化管理委員會2009年下達的國家標(biāo)準(zhǔn)制修訂計劃，國家標(biāo)準(zhǔn)

《信息安全技術(shù)信息安全保障指標(biāo)體系及評價方法》由國家信息中心負責(zé)主辦，

標(biāo)準(zhǔn)計劃號為20090320-T-469。

為回答“中辦27號[2003]文件”《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全

保障工作的意見》提出的各項任務(wù)的建設(shè)情況，包括所建設(shè)的信息安全保障體系

處于什么水平，是否達到了預(yù)期的目標(biāo)，基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的綜合保

障態(tài)勢等內(nèi)容。原國務(wù)院信息辦、國家信息化專家委提出開展“信息安全保障評

價指標(biāo)體系”研究的構(gòu)想。2005年7月，原國務(wù)院信息辦、國家信息化專家咨

詢委員會成立了“信息安全保障評價指標(biāo)體系研究”課題組，開始著手對這一問

題開展研究?？傮w組設(shè)在國家信息中心，另設(shè)有廣電、電信、移動、電力、金融、

互聯(lián)網(wǎng)、涉密信息系統(tǒng)、電子政務(wù)門戶網(wǎng)站等八個子課題組。2009年，項目在

全國信息安全標(biāo)準(zhǔn)化委員會立項編制成國家標(biāo)準(zhǔn)。2011年，標(biāo)準(zhǔn)研制工作得到

了國家發(fā)改委信息安全專項《國家信息安全保障評價指標(biāo)標(biāo)準(zhǔn)體系建設(shè)項目》的

支持。

1.2.編制目的

本標(biāo)準(zhǔn)主要解決國家信息安全保障工作的評價問題。

1.3.主要工作過程

1、2005年6月-2008年2月，國家信息化專家咨詢委員會對“信息安全保

障評價指標(biāo)體系”進行立項研究，開始信息安全保障評價指標(biāo)體系的研究和標(biāo)準(zhǔn)

的建設(shè)工作。在前期研究過程中，項目組研究人員團結(jié)協(xié)作，為標(biāo)準(zhǔn)體系建設(shè)奠

定了堅實的基礎(chǔ)：

1為基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)評價提出了一個理論框架，各系統(tǒng)在此

框架下展開具體指標(biāo)的設(shè)計工作；

2給出了國家宏觀指標(biāo)的設(shè)計方案；

3各系統(tǒng)根據(jù)自身特點，在統(tǒng)一框架下初步完成各自的指標(biāo)設(shè)計，完成了

前期研究報告，并且開展了試點測試；

4開始了標(biāo)準(zhǔn)編制工作，如廣電、電信等系統(tǒng)已有自己的行業(yè)標(biāo)準(zhǔn)，并將

其在行業(yè)內(nèi)廣泛運用，取得了良好的效果；

1

2、2008年3月-2009年2月，項目組立足于我國國情，充分調(diào)研了國際信息安

全保障工作動態(tài)，完成的前期研究為項目的進一步開展奠定了基礎(chǔ)，并被立項列

為國家“十一五”信息安全標(biāo)準(zhǔn)化與編制項目。

1完成了總體研究報告和八個子課題研究報告：

“信息安全保障評價指標(biāo)體系”總體研究報告

“國家基礎(chǔ)網(wǎng)絡(luò)（廣播電視）信息安全保障評價指標(biāo)體系”及其研究報告

“國家基礎(chǔ)網(wǎng)絡(luò)（移動通信）信息安全保障評價指標(biāo)體系”及其研究報告

“國家基礎(chǔ)網(wǎng)絡(luò)（固網(wǎng)）信息安全保障評價指標(biāo)體系”及其研究報告

“國家基礎(chǔ)網(wǎng)絡(luò)（互聯(lián)網(wǎng)）信息安全保障評價指標(biāo)體系”及其研究報告

“國家重要信息系統(tǒng)（金融）信息安全保障評價指標(biāo)體系”及其研究報告

“國家重要信息系統(tǒng)（電力）信息安全保障評價指標(biāo)體系”及其研究報告

“涉密信息系統(tǒng)信息安全保障評價指標(biāo)體系”及其研究報告

“電子政務(wù)門戶網(wǎng)站信息安全保障評價指標(biāo)體系”及其研究報告

2國家宏觀評價指標(biāo)的集成

對分系統(tǒng)子課題及專題組的信息安全保障評價指標(biāo)體系的研究結(jié)果進行綜

合，確定信息安全保障評價指標(biāo)體系邏輯框架和構(gòu)成及各表現(xiàn)要素的相互關(guān)系。

形成了我國信息安全保障評價指標(biāo)體系總體研究報告。

3形成課題研究的基礎(chǔ)理論體系

課題研究以中辦發(fā)[2003]27號等重要文件為基礎(chǔ)，重點解決了以下理論問

題：明確了戰(zhàn)略、管理和技術(shù)的三要素指標(biāo)體系。課題以戰(zhàn)略、管理和技術(shù)作為

構(gòu)建信息安全保障評價指標(biāo)體系的三個基本要素，并把處理元素間的內(nèi)在關(guān)聯(lián)作

為研究指標(biāo)體系的基礎(chǔ)。結(jié)合我國信息化和信息安全政策，確立了信息安全保障

評價指標(biāo)體系。

4完成了標(biāo)準(zhǔn)草案的預(yù)編工作。

3、2010年7月-2010年12月，項目組在編制預(yù)編稿的基礎(chǔ)上，廣泛征求業(yè)內(nèi)

專家意見，召開了多次討論會，形成了《信息安全技術(shù)信息安全保障指標(biāo)體系

及評價方法：第2部分指標(biāo)體系》草案初稿。

4、2011年4月-2012年2月，項目組借助國家發(fā)改委信息安全專項的契機，對

標(biāo)準(zhǔn)草案提出的相關(guān)指標(biāo)在電信系統(tǒng)、廣電系統(tǒng)和江蘇省進行了試點測試工作，

進一步檢驗了指標(biāo)體系的可操作性和適用性。

2

5、2011年7月-2013年5月，項目組在國家信息中心、中國信息安全測評中心、

北京大學(xué)、中國職工之家等地就標(biāo)準(zhǔn)草案共進行了18次規(guī)模不等的專家意見征

求，并根據(jù)專家提出的意見和建議進行了認真討論，逐步完善了標(biāo)準(zhǔn)草案。

6、2012年3月-2013年4月，設(shè)計開發(fā)了配套的評價軟件系統(tǒng)，為數(shù)據(jù)采集和

專家評價工作提供了技術(shù)支撐。期間，召開了多次專家會，進一步完善了標(biāo)準(zhǔn)內(nèi)

容。

7、2013年5月，全國信息安全標(biāo)準(zhǔn)委秘書處組織專家對標(biāo)準(zhǔn)草案進行了評審，

專家組認為，研究提出的指標(biāo)體系對服務(wù)于國家信息安全宏觀決策具有重要的參

考價值。會后，根據(jù)專家提出的意見進行修改（參見標(biāo)準(zhǔn)征求意見稿意見匯總處

理表），于5月24日形成并提交《信息安全技術(shù)信息安全保障指標(biāo)體系及評價方

法：第2部分指標(biāo)體系》征求意見稿。

8、2013年6月4日－6月30日，送7個部門（安標(biāo)委副主任單位）征求意見，

并面向社會在安標(biāo)委TC260網(wǎng)站上對標(biāo)準(zhǔn)征求意見稿征求意見。

9、2013年7月18日，收到1個部門的反饋，根據(jù)國家保密局提出的具體反饋

意見進行修改（參見標(biāo)準(zhǔn)征求意見稿意見匯總處理表），形成了《信息安全技術(shù)信

息安全保障指標(biāo)體系及評價方法：第2部分指標(biāo)體系》標(biāo)準(zhǔn)送審稿。

1.4.承擔(dān)單位

起草單位：國家信息中心

協(xié)作單位：國家信息中心、國家新聞出版廣電總局監(jiān)管中心、中國電信集團、

中國移動通信集團、中國信息安全測評中心、大連理工大學(xué)、中國民航大學(xué)、江

蘇省信息中心、中國電力科學(xué)研究院等。

主要起草人：何德全王長勝呂欣王憲磊郭艷卿楊月圓呂漢

陽…等。

2.編制原則和主要內(nèi)容

2.1.編制原則

為保證所建立的“信息安全保障指標(biāo)體系及評價方法”有一個客觀、統(tǒng)一的

基礎(chǔ)，在評價指標(biāo)體系的設(shè)計及指標(biāo)的選取過程中，本課題主要遵循以下設(shè)計原

則：

1、綜合性原則

國家信息安全保障綜合評價指標(biāo)標(biāo)準(zhǔn)體系建設(shè)是通過從整體和全局上把握

3

我國信息安全保障體系的建設(shè)效果、運行狀況和整體態(tài)勢，形成多維的、動態(tài)的、

綜合的國家信息安全保障評價標(biāo)準(zhǔn)體系。因此，標(biāo)準(zhǔn)設(shè)計的首要原則是綜合性。

2、科學(xué)適用性原則

國家信息安全保障評價指標(biāo)體系必須是在符合我國國情、充分認識國家信息

安全保障體系的科學(xué)基礎(chǔ)之上建立的。按照國家信息安全保障體系總目標(biāo)的設(shè)計

原則，把信息安全各構(gòu)成要素作為一個有機整體來考慮。指標(biāo)體系必須符合理論

上的完備性、科學(xué)性和正確性，即指標(biāo)概念必須具有明確完整的科學(xué)內(nèi)涵。

適用性原則，就是指標(biāo)體系應(yīng)該能夠在時空上覆蓋我國信息安全保障評價的

各個層面，滿足系統(tǒng)在完整性和全面性方面的客觀要求。尤其是必須考慮由于經(jīng)

濟、地區(qū)等原因造成的各機構(gòu)間發(fā)展?fàn)顩r的差異，盡量做到不對基礎(chǔ)數(shù)據(jù)的收集

工作造成困擾。這一原則的關(guān)鍵在于，最精簡的指標(biāo)體系全面反映國家信息安全

保障的整體水平。

3、導(dǎo)向性原則

評價的目的不是單純評出名次及優(yōu)劣的程度，更重要的是引導(dǎo)和鼓勵被評價

對象向正確的方向和目標(biāo)發(fā)展，要引導(dǎo)我國信息安全的健康發(fā)展。

4、可操作性強原則

可操作性強直接關(guān)系到指標(biāo)體系的落實與實施，包括數(shù)據(jù)的易獲取性（具有

一定的現(xiàn)實統(tǒng)計基礎(chǔ)，所選的指標(biāo)變量必須在現(xiàn)實生活中是可以測量得到的或可

通過科學(xué)方法聚合生成的）、可靠性（通過規(guī)范數(shù)據(jù)的來源、標(biāo)準(zhǔn)等保證數(shù)據(jù)的

可靠與可信）、易處理性（數(shù)據(jù)便于統(tǒng)計分析處理）以及結(jié)果的可用性（便于實

際操作，能夠服務(wù)于我國涉密信息系統(tǒng)安全評價的）等方面。

5、定性定量結(jié)合原則

在眾多指標(biāo)中，有些因素是反映最終效果的定性指標(biāo)，有些是能夠通過項目

運行過程得到實際數(shù)據(jù)的定量指標(biāo)。對于評價最終效果而言，指標(biāo)體系中這兩方

面的因素都不可或缺。但為了使指標(biāo)體系具有高度的操作性，必須在選取定性指

標(biāo)時，舍棄部分與實施效果關(guān)系不大的非關(guān)鍵因素，并且盡量將關(guān)鍵的定性指標(biāo)

融合到對權(quán)重分配的影響中去。該指標(biāo)設(shè)計的定性定量結(jié)合原則就是將定性分析

反映在權(quán)重上，定量分析反映在指標(biāo)數(shù)據(jù)上。

6、可比性原則

可比性是衡量國家信息安全保障評價體系的實際效果的客觀標(biāo)準(zhǔn)，是方案權(quán)

4

威性的重要標(biāo)志。國家信息安全保障評價指標(biāo)應(yīng)該既可以橫向?qū)Ρ炔煌瑱C構(gòu)信息

安全保障水平的差異、又能夠縱向反映國家及各地區(qū)信息安全保障的歷史進程和

發(fā)展趨勢。這一原則主要體現(xiàn)在對各級指標(biāo)的定義、量化和加權(quán)等方面。

2.2.主要內(nèi)容

本標(biāo)準(zhǔn)在GB/TXXXXX.1給出的指標(biāo)框架下，在第1部分的指標(biāo)框架下，給

出了一套適用于具體信息安全保障評價工作的指標(biāo)體系。本標(biāo)準(zhǔn)主要用于：輔助

政府管理層的信息安全態(tài)勢判斷和宏觀決策；支撐各基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系

統(tǒng)運營單位及管理部門的信息安全管理工作；規(guī)范評價機構(gòu)和評價人員使用該標(biāo)

準(zhǔn)開展的相關(guān)評價活動。

本標(biāo)準(zhǔn)主要框架如下：

前言

引言

1范圍

2規(guī)范性引用文件

3術(shù)語和定義

4指標(biāo)體系設(shè)計

4.1指標(biāo)層級

4.2指標(biāo)體系

5指標(biāo)釋義

5.1建設(shè)情況指標(biāo)

5.2運行能力指標(biāo)

5.3安全態(tài)勢指標(biāo)

參考文獻

本標(biāo)準(zhǔn)主要貢獻如下：

1、設(shè)計了指標(biāo)的三級結(jié)構(gòu)。

2、設(shè)計了信息安全保障評價指標(biāo)體系。

3、研究并選取了23項較為宏觀的、科學(xué)性較好的、可操作性較強的指標(biāo)。

4、對各項指標(biāo)中涉及到的術(shù)語進行了解釋或說明。

5、對各項指標(biāo)的定義和評價的內(nèi)容進行了說明，對每項指標(biāo)（包括定性指

標(biāo)和定量指標(biāo)）分別給出了量化方法的概要說明。

5

3.其他事項說明

a.信息安全保障評價工作涉及面十分廣泛，涉及的各類指標(biāo)很多，項目組

在研究過程中，盡量把握指標(biāo)的宏觀性特征，指標(biāo)的提法盡量與等級保護、信任

體系、應(yīng)急響應(yīng)、測評認證等國家信息安全制度和標(biāo)準(zhǔn)中的提法相協(xié)調(diào)一致，努

力不去涉足微觀指標(biāo)。

b.在指標(biāo)設(shè)計方面，兼顧了指標(biāo)的科學(xué)性和可操作性原則。在研究過程中，

發(fā)現(xiàn)部分指標(biāo)理論上很合理，但在實踐檢驗中證明獲取十分困