電子政務信息安全指標體系說明

電子政務信息安全指標體系初探北京信息安全測評(服務)中心孟亞平1一、 對設立電子政務信息安全指標體系目 的與編制原則的理解二、 對電子政務信息安全指標體系內(nèi)在特 點的幾點認識三、 研究設想內(nèi)容2一、 對設立電子政務信息安全指標體系目 的與編制原則的理解二、 對電子政務信息安全指標體系內(nèi)在特 點的幾點認識三、 研究設想3研究背景黨和國家高度重視信息安全，《國家信息化領(lǐng)導小組關(guān)于加強信息安全保障工作的意見》和全國信息安全保障工作會議對我國的信息安全保障工作做出了整體部署；黨的十六屆四中全會進一步提出了確保國家政治安全、經(jīng)濟安全、文化安全和信息安全的要求；信息安全保障已經(jīng)成為各級政府的一項重要工作。北京市基于全面掌控電子政務信息安全整體狀況，為“十一五”期間充分構(gòu)建北京市區(qū)域信息安全保障體系提供宏觀調(diào)控及決策依據(jù)的需要，適時開展了《北京市電子政務信息安全指標體系》的研究工作。4研究目的為建立信息安全狀況評估制度提供基礎(chǔ)指導意見及參照標準，規(guī)范并保證信息安全狀況評價的一致性、可比性與真實性；全面掌握電子政務信息安全整體狀況和需求，將信息安全狀況評價作為戰(zhàn)略制定、政策完善、產(chǎn)業(yè)推動的調(diào)控決策依據(jù)，提高信息安全保障工作的實效；為建立電子政務信息安全年度報告及發(fā)展狀況評價報告引用制度奠定基礎(chǔ)，有助于形成一種有效的信息安全監(jiān)管手段；研究獲取數(shù)據(jù)及統(tǒng)計分析的途徑與方法。5編制原則全面性原則要求指標體系能夠盡可能完整反映信息安全保障各項工作的績效；高效性原則指標體系應在確保全面的前提下力求簡潔與高效，要求通過盡量少的指標項反映出盡可能全面的內(nèi)容，從而提高效率；引導性原則不能片面孤立地強調(diào)信息安全工作，指標體系力求主導反映信息安全對電子政務業(yè)務的支撐和促進作用，避免單純訴求信息安全目標；6編制原則（續(xù)）法律遵從原則指標體系構(gòu)架及其各要素應盡可能遵從國家、行業(yè)、地方頒布的信息安全法規(guī)、政策與標準。但對于法規(guī)、政策與標準中未涵蓋或未詳細闡明的內(nèi)容要求，對于政策主導性及個性化要求，應根據(jù)需要加以補充闡明；穩(wěn)定性原則信息安全指標體系及其評價制度是一項較新的工作內(nèi)容，需要隨著實踐不斷探索完善，但應保持相對穩(wěn)定，以利于不同年度間評估結(jié)果的比較。7一、《北京市電子政務信息安全指標體 系》的研究目的與編制原則二、 對電子政務信息安全指標體系內(nèi)在特 點的幾點認識三、 研究設想8幾點認識1、以定性評價為主“指標”在現(xiàn)實生活中的應用有多種，但一般歸為兩類：一類為定量指標，一類為定性指標。前者常運用統(tǒng)計學原理獲得評價結(jié)果，指標值往往是不“封頂”的，如gdp等；后者則多用于對比評估，如“國家精品課程評審指標體系”、“國家重點實驗室評估綜合指標體系”等，指標值往往要“封頂”。信息安全特點決定了其指標體系不是考察某幾個物理量的客觀發(fā)展結(jié)果，它需要部分量化指標的支持卻又不能完全使用統(tǒng)計指標直接評價和反映結(jié)果。因而決定了“指標”的構(gòu)建與結(jié)果反映需要定性描述這一特質(zhì)，決定了圍繞指標體系開展相關(guān)工作的性質(zhì)與特點。9幾點認識（續(xù)）2、更加關(guān)注過程 信息安全指標體系與其它指標體系明顯不同。絕大多數(shù)指標主要通過事物的階段性成果,借助統(tǒng)計量化指標來評價反映現(xiàn)狀，例如國家信息化指標體系考察的是國家信息化領(lǐng)域的各項發(fā)展結(jié)果（如基礎(chǔ)設施規(guī)模、信息產(chǎn)業(yè)規(guī)模等）。但信息安全狀況表象不完全是“可視”的，信息安全工作結(jié)果更多的是通過中間過程或隱性行為來體現(xiàn)，例如，在國家信息化工作中，組織領(lǐng)導、經(jīng)費支持等一般被視為保障條件，但在信息安全工作中，信息安全組織領(lǐng)導、信息安全經(jīng)費投資、信息安全政策法規(guī)、工程過程控制、制度有效落實等這些保障性、過程性工作本身便是信息安全工作的重要內(nèi)容，要在指標中反映。這也成為信息安全指標體系無法定量的原因之一。10幾點認識（續(xù)）3、復雜的關(guān)聯(lián)性和較強的傳遞性 信息安全指標構(gòu)建與運用不僅基于已有的工作基礎(chǔ)，而且具有復雜的關(guān)聯(lián)性和較強的傳遞性。例如，安全和密碼技術(shù)與it技術(shù)，技術(shù)措施與管理措施，基礎(chǔ)核心技術(shù)與應用技術(shù)及自主可控要求等。因此“指標”即要恰當梳理各指標要素間關(guān)聯(lián)關(guān)系與傳遞因素，又要保持“指標”整體性和各要素的緊密銜接，盡量避免不同角度與表述形式造成指標體系的多樣性。11幾點認識（續(xù)）4、面向兩個對象評價 兩個對象指的是“一橫”“一縱”。所謂“橫”表示以信息安全主管部門制定構(gòu)建宏觀總體工作情況；所謂“縱”代表若干作為具體業(yè)務單位的信息化用戶落實運用信息安全工作情況。因此，通過對總體部署及個體落實兩個層面的分別評估來獲得對信息安全狀況的全局評價。12幾點認識（續(xù)）5、權(quán)衡安全與發(fā)展的關(guān)系

“以安全保發(fā)展，在發(fā)展中求安全”是指標體系要注意體現(xiàn)和導向的關(guān)鍵點，指標力求從二個方面體現(xiàn)。首先，沒有強調(diào)從采用安全技術(shù)措施角度直接評價，而是側(cè)重對過程的關(guān)注來評價體系，如：建設立項、實施、驗收等階段的安全工作。而過程中的安全工作多數(shù)情況下是普遍適用于差異性個體的。例如，不論系統(tǒng)等級如何，均需要在單位內(nèi)成立信息安全領(lǐng)導小組，只是不同單位領(lǐng)導小組的具體工作內(nèi)容因地制宜而已；其次，強調(diào)安全、信息系統(tǒng)、業(yè)務三者的關(guān)聯(lián)性。從“三定”（定職能、定機構(gòu)、定編制）原則所賦予各單位的職責的角度出發(fā)，將業(yè)務對信息系統(tǒng)的依賴性及資產(chǎn)價值對安全的要求關(guān)聯(lián)起來加以考察。13幾點認識（續(xù)）6、指標化評測的局限性與個性化由于信息安全工作形式與特點決定了指標化評測本身具有一定局限；由于工作主體與內(nèi)容不同，區(qū)域信息安全工作狀況只部分反映國家信息安全狀況；由于不同區(qū)域經(jīng)濟結(jié)構(gòu)與資源分布不同，其信息化發(fā)展與信息安全工作亦有著鮮明個性和差異性。區(qū)域信息安全保障體系必須突出重點，切忌求大求全，重復投資，不能完全照搬國家的信息安全保障體系。例如，國家行為的信息安全基礎(chǔ)設施；國家組織攻關(guān)的基礎(chǔ)技術(shù)；國家重點扶持的核心自主知識產(chǎn)權(quán)研究等。14幾點認識（續(xù)）7、與信息安全測評、風險評估和等級保護的關(guān)系信息安全指標體系也是一種評估活動，但意義更寬泛。它不同于信息安全測評、風險評估和等級保護。后三者側(cè)重于個體局部的安全建設，但其工作會成為指標體系某些指標的具體反映。出發(fā)點是從通過評價調(diào)控策略定位，避免對個體問責造成信息失真影響政策制定決策準確性，失去調(diào)控意義15幾點認識（續(xù)）8、指標體系的運用力求寬泛構(gòu)建信息安全指標體系，評價信息安全狀況應從全局著眼，出發(fā)點是通過獲取各指標要素情況，分析評價整體態(tài)勢，達到宏觀調(diào)控安全方針策略，提高安全保障效力的目標。避免一味用來對個體問責，造成信息采集源頭失真，導致對整個安全態(tài)勢的錯誤判斷，最終影響各項安全政策的制定與正確決策，失去調(diào)控意義16nist800-55《it系統(tǒng)安全指標指南（securitymetricsguideforinformationtechnologysystems）》（2003年7月）1riskmanagement（風險管理）2securitycontrols（安全控制）3systemdevelopmentlifecycle（系統(tǒng)開發(fā)生命周期）4authorizeprocessing(certificationandaccreditation)（認證和認可）5systemsecurityplan（系統(tǒng)安全計劃）6personnelsecurity（人員安全）7physicalandenvironmentalprotection（物理和環(huán)境保護）8production,input/outputcontrols（流程，輸入/輸出控制）9contingencyplanning（應急規(guī)劃）10hardwareandsystemssoftwaremaintenance（硬件和系統(tǒng)軟件維護）11dataintegrity（數(shù)據(jù)完整性）12documentation（文檔）13securityawareness,training,andeducation（安全意識，培訓和教育）14incidentresponsecapability（事件響應能力）15identificationandauthentication（標識和鑒別）16logicalaccesscontrols（邏輯訪問控制）17audittrails（審計跟蹤）17一、《北京市電子政務信息安全指標體 系》的研究目的與編制原則二、 對電子政務信息安全指標體系內(nèi)在特 點的幾點認識三、 研究設想18研究設想（1）通過上報、調(diào)查、檢查、搜集等方式研究建 立完善順暢的數(shù)據(jù)采集渠道；

(2)利用信息化手段，研究實現(xiàn)對采集數(shù)據(jù)的 匯 總、存檔、檢索、統(tǒng)計分析等處理；

(3) 研究建立年度信息安全狀況報告制度，定期 發(fā)布信息安全狀況評價報告；

(4) 在建立年度信息安全狀況報告制度基礎(chǔ)上， 研究探索建立信息安全狀況評價引用機制， 使之成為信息安全戰(zhàn)略制定、宏觀調(diào)控、績 效評估、產(chǎn)業(yè)推動等工作的決策依據(jù)。19信息安全年度報告及引用制度的成功范例美國目前正在實施的年度信息安全報告制度已經(jīng)比較成熟。該制度得到了《信息安全管理法案》（fisma）的支持和保障，并特別向聯(lián)邦各部委下發(fā)了報告表格。表格全面涵蓋了美國在制定年度信息安全報告時需要向各單位了解的內(nèi)容，很具有針對性。每一年度，omb（管理和預算辦公室）將各部委的上報信息匯總后編制總報告，提交國會審查，作為國會對政府實施監(jiān)督的重要內(nèi)容。20美國《信息安全管理法案》（fisma）提出的要求各機構(gòu)的報告——每一個聯(lián)邦機構(gòu)應每年一次向omb主任，眾議院政府改革委員會、科學委員會，參議院政府事務委員會、商務委員會、科學委員會、運輸委員會，國會內(nèi)有關(guān)的授權(quán)和撥款委員會、總審計長匯報信息安全政策、流程以及實踐措施的充分性和有效性，并匯報是否遵循了相關(guān)條款要求；聯(lián)邦機構(gòu)的報告—