电子政务信息安全指标体系说明

电子政务信息安全指标体系初探北京信息安全测评(服务)中心孟亚平1一、 对设立电子政务信息安全指标体系目 的与编制原则的理解二、 对电子政务信息安全指标体系内在特 点的几点认识三、 研究设想内容2一、 对设立电子政务信息安全指标体系目 的与编制原则的理解二、 对电子政务信息安全指标体系内在特 点的几点认识三、 研究设想3研究背景党和国家高度重视信息安全，《国家信息化领导小组关于加强信息安全保障工作的意见》和全国信息安全保障工作会议对我国的信息安全保障工作做出了整体部署；党的十六届四中全会进一步提出了确保国家政治安全、经济安全、文化安全和信息安全的要求；信息安全保障已经成为各级政府的一项重要工作。北京市基于全面掌控电子政务信息安全整体状况，为“十一五”期间充分构建北京市区域信息安全保障体系提供宏观调控及决策依据的需要，适时开展了《北京市电子政务信息安全指标体系》的研究工作。4研究目的为建立信息安全状况评估制度提供基础指导意见及参照标准，规范并保证信息安全状况评价的一致性、可比性与真实性；全面掌握电子政务信息安全整体状况和需求，将信息安全状况评价作为战略制定、政策完善、产业推动的调控决策依据，提高信息安全保障工作的实效；为建立电子政务信息安全年度报告及发展状况评价报告引用制度奠定基础，有助于形成一种有效的信息安全监管手段；研究获取数据及统计分析的途径与方法。5编制原则全面性原则要求指标体系能够尽可能完整反映信息安全保障各项工作的绩效；高效性原则指标体系应在确保全面的前提下力求简洁与高效，要求通过尽量少的指标项反映出尽可能全面的内容，从而提高效率；引导性原则不能片面孤立地强调信息安全工作，指标体系力求主导反映信息安全对电子政务业务的支撑和促进作用，避免单纯诉求信息安全目标；6编制原则（续）法律遵从原则指标体系构架及其各要素应尽可能遵从国家、行业、地方颁布的信息安全法规、政策与标准。但对于法规、政策与标准中未涵盖或未详细阐明的内容要求，对于政策主导性及个性化要求，应根据需要加以补充阐明；稳定性原则信息安全指标体系及其评价制度是一项较新的工作内容，需要随着实践不断探索完善，但应保持相对稳定，以利于不同年度间评估结果的比较。7一、《北京市电子政务信息安全指标体 系》的研究目的与编制原则二、 对电子政务信息安全指标体系内在特 点的几点认识三、 研究设想8几点认识1、以定性评价为主“指标”在现实生活中的应用有多种，但一般归为两类：一类为定量指标，一类为定性指标。前者常运用统计学原理获得评价结果，指标值往往是不“封顶”的，如gdp等；后者则多用于对比评估，如“国家精品课程评审指标体系”、“国家重点实验室评估综合指标体系”等，指标值往往要“封顶”。信息安全特点决定了其指标体系不是考察某几个物理量的客观发展结果，它需要部分量化指标的支持却又不能完全使用统计指标直接评价和反映结果。因而决定了“指标”的构建与结果反映需要定性描述这一特质，决定了围绕指标体系开展相关工作的性质与特点。9几点认识（续）2、更加关注过程 信息安全指标体系与其它指标体系明显不同。绝大多数指标主要通过事物的阶段性成果,借助统计量化指标来评价反映现状，例如国家信息化指标体系考察的是国家信息化领域的各项发展结果（如基础设施规模、信息产业规模等）。但信息安全状况表象不完全是“可视”的，信息安全工作结果更多的是通过中间过程或隐性行为来体现，例如，在国家信息化工作中，组织领导、经费支持等一般被视为保障条件，但在信息安全工作中，信息安全组织领导、信息安全经费投资、信息安全政策法规、工程过程控制、制度有效落实等这些保障性、过程性工作本身便是信息安全工作的重要内容，要在指标中反映。这也成为信息安全指标体系无法定量的原因之一。10几点认识（续）3、复杂的关联性和较强的传递性 信息安全指标构建与运用不仅基于已有的工作基础，而且具有复杂的关联性和较强的传递性。例如，安全和密码技术与it技术，技术措施与管理措施，基础核心技术与应用技术及自主可控要求等。因此“指标”即要恰当梳理各指标要素间关联关系与传递因素，又要保持“指标”整体性和各要素的紧密衔接，尽量避免不同角度与表述形式造成指标体系的多样性。11几点认识（续）4、面向两个对象评价 两个对象指的是“一横”“一纵”。所谓“横”表示以信息安全主管部门制定构建宏观总体工作情况；所谓“纵”代表若干作为具体业务单位的信息化用户落实运用信息安全工作情况。因此，通过对总体部署及个体落实两个层面的分别评估来获得对信息安全状况的全局评价。12几点认识（续）5、权衡安全与发展的关系

“以安全保发展，在发展中求安全”是指标体系要注意体现和导向的关键点，指标力求从二个方面体现。首先，没有强调从采用安全技术措施角度直接评价，而是侧重对过程的关注来评价体系，如：建设立项、实施、验收等阶段的安全工作。而过程中的安全工作多数情况下是普遍适用于差异性个体的。例如，不论系统等级如何，均需要在单位内成立信息安全领导小组，只是不同单位领导小组的具体工作内容因地制宜而已；其次，强调安全、信息系统、业务三者的关联性。从“三定”（定职能、定机构、定编制）原则所赋予各单位的职责的角度出发，将业务对信息系统的依赖性及资产价值对安全的要求关联起来加以考察。13几点认识（续）6、指标化评测的局限性与个性化由于信息安全工作形式与特点决定了指标化评测本身具有一定局限；由于工作主体与内容不同，区域信息安全工作状况只部分反映国家信息安全状况；由于不同区域经济结构与资源分布不同，其信息化发展与信息安全工作亦有着鲜明个性和差异性。区域信息安全保障体系必须突出重点，切忌求大求全，重复投资，不能完全照搬国家的信息安全保障体系。例如，国家行为的信息安全基础设施；国家组织攻关的基础技术；国家重点扶持的核心自主知识产权研究等。14几点认识（续）7、与信息安全测评、风险评估和等级保护的关系信息安全指标体系也是一种评估活动，但意义更宽泛。它不同于信息安全测评、风险评估和等级保护。后三者侧重于个体局部的安全建设，但其工作会成为指标体系某些指标的具体反映。出发点是从通过评价调控策略定位，避免对个体问责造成信息失真影响政策制定决策准确性，失去调控意义15几点认识（续）8、指标体系的运用力求宽泛构建信息安全指标体系，评价信息安全状况应从全局着眼，出发点是通过获取各指标要素情况，分析评价整体态势，达到宏观调控安全方针策略，提高安全保障效力的目标。避免一味用来对个体问责，造成信息采集源头失真，导致对整个安全态势的错误判断，最终影响各项安全政策的制定与正确决策，失去调控意义16nist800-55《it系统安全指标指南（securitymetricsguideforinformationtechnologysystems）》（2003年7月）1riskmanagement（风险管理）2securitycontrols（安全控制）3systemdevelopmentlifecycle（系统开发生命周期）4authorizeprocessing(certificationandaccreditation)（认证和认可）5systemsecurityplan（系统安全计划）6personnelsecurity（人员安全）7physicalandenvironmentalprotection（物理和环境保护）8production,input/outputcontrols（流程，输入/输出控制）9contingencyplanning（应急规划）10hardwareandsystemssoftwaremaintenance（硬件和系统软件维护）11dataintegrity（数据完整性）12documentation（文档）13securityawareness,training,andeducation（安全意识，培训和教育）14incidentresponsecapability（事件响应能力）15identificationandauthentication（标识和鉴别）16logicalaccesscontrols（逻辑访问控制）17audittrails（审计跟踪）17一、《北京市电子政务信息安全指标体 系》的研究目的与编制原则二、 对电子政务信息安全指标体系内在特 点的几点认识三、 研究设想18研究设想（1）通过上报、调查、检查、搜集等方式研究建 立完善顺畅的数据采集渠道；

(2)利用信息化手段，研究实现对采集数据的 汇 总、存档、检索、统计分析等处理；

(3) 研究建立年度信息安全状况报告制度，定期 发布信息安全状况评价报告；

(4) 在建立年度信息安全状况报告制度基础上， 研究探索建立信息安全状况评价引用机制， 使之成为信息安全战略制定、宏观调控、绩 效评估、产业推动等工作的决策依据。19信息安全年度报告及引用制度的成功范例美国目前正在实施的年度信息安全报告制度已经比较成熟。该制度得到了《信息安全管理法案》（fisma）的支持和保障，并特别向联邦各部委下发了报告表格。表格全面涵盖了美国在制定年度信息安全报告时需要向各单位了解的内容，很具有针对性。每一年度，omb（管理和预算办公室）将各部委的上报信息汇总后编制总报告，提交国会审查，作为国会对政府实施监督的重要内容。20美国《信息安全管理法案》（fisma）提出的要求各机构的报告——每一个联邦机构应每年一次向omb主任，众议院政府改革委员会、科学委员会，参议院政府事务委员会、商务委员会、科学委员会、运输委员会，国会内有关的授权和拨款委员会、总审计长汇报信息安全政策、流程以及实践措施的充分性和有效性，并汇报是否遵循了相关条款要求；联邦机构的报告—