《信息安全保障指標體系及評價方法 第2部分 指標體系》編制說明

1.工作簡況

1.1.任務來源

根據(jù)國家標準化管理委員會2009年下達的國家標準制修訂計劃，國家標準

《信息安全技術(shù)信息安全保障指標體系及評價方法》由國家信息中心負責主辦，

標準計劃號為20090320-T-469。

為回答“中辦27號[2003]文件”《國家信息化領導小組關(guān)于加強信息安全

保障工作的意見》提出的各項任務的建設情況，包括所建設的信息安全保障體系

處于什么水平，是否達到了預期的目標，基礎信息網(wǎng)絡和重要信息系統(tǒng)的綜合保

障態(tài)勢等內(nèi)容。原國務院信息辦、國家信息化專家委提出開展“信息安全保障評

價指標體系”研究的構(gòu)想。2005年7月，原國務院信息辦、國家信息化專家咨

詢委員會成立了“信息安全保障評價指標體系研究”課題組，開始著手對這一問

題開展研究?？傮w組設在國家信息中心，另設有廣電、電信、移動、電力、金融、

互聯(lián)網(wǎng)、涉密信息系統(tǒng)、電子政務門戶網(wǎng)站等八個子課題組。2009年，項目在

全國信息安全標準化委員會立項編制成國家標準。2011年，標準研制工作得到

了國家發(fā)改委信息安全專項《國家信息安全保障評價指標標準體系建設項目》的

支持。

1.2.編制目的

本標準主要解決國家信息安全保障工作的評價問題。

1.3.主要工作過程

1、2005年6月-2008年2月，國家信息化專家咨詢委員會對“信息安全保

障評價指標體系”進行立項研究，開始信息安全保障評價指標體系的研究和標準

的建設工作。在前期研究過程中，項目組研究人員團結(jié)協(xié)作，為標準體系建設奠

定了堅實的基礎：

1為基礎信息網(wǎng)絡和重要信息系統(tǒng)評價提出了一個理論框架，各系統(tǒng)在此

框架下展開具體指標的設計工作；

2給出了國家宏觀指標的設計方案；

3各系統(tǒng)根據(jù)自身特點，在統(tǒng)一框架下初步完成各自的指標設計，完成了

前期研究報告，并且開展了試點測試；

4開始了標準編制工作，如廣電、電信等系統(tǒng)已有自己的行業(yè)標準，并將

其在行業(yè)內(nèi)廣泛運用，取得了良好的效果；

1

2、2008年3月-2009年2月，項目組立足于我國國情，充分調(diào)研了國際信息安

全保障工作動態(tài)，完成的前期研究為項目的進一步開展奠定了基礎，并被立項列

為國家“十一五”信息安全標準化與編制項目。

1完成了總體研究報告和八個子課題研究報告：

“信息安全保障評價指標體系”總體研究報告

“國家基礎網(wǎng)絡（廣播電視）信息安全保障評價指標體系”及其研究報告

“國家基礎網(wǎng)絡（移動通信）信息安全保障評價指標體系”及其研究報告

“國家基礎網(wǎng)絡（固網(wǎng)）信息安全保障評價指標體系”及其研究報告

“國家基礎網(wǎng)絡（互聯(lián)網(wǎng)）信息安全保障評價指標體系”及其研究報告

“國家重要信息系統(tǒng)（金融）信息安全保障評價指標體系”及其研究報告

“國家重要信息系統(tǒng)（電力）信息安全保障評價指標體系”及其研究報告

“涉密信息系統(tǒng)信息安全保障評價指標體系”及其研究報告

“電子政務門戶網(wǎng)站信息安全保障評價指標體系”及其研究報告

2國家宏觀評價指標的集成

對分系統(tǒng)子課題及專題組的信息安全保障評價指標體系的研究結(jié)果進行綜

合，確定信息安全保障評價指標體系邏輯框架和構(gòu)成及各表現(xiàn)要素的相互關(guān)系。

形成了我國信息安全保障評價指標體系總體研究報告。

3形成課題研究的基礎理論體系

課題研究以中辦發(fā)[2003]27號等重要文件為基礎，重點解決了以下理論問

題：明確了戰(zhàn)略、管理和技術(shù)的三要素指標體系。課題以戰(zhàn)略、管理和技術(shù)作為

構(gòu)建信息安全保障評價指標體系的三個基本要素，并把處理元素間的內(nèi)在關(guān)聯(lián)作

為研究指標體系的基礎。結(jié)合我國信息化和信息安全政策，確立了信息安全保障

評價指標體系。

4完成了標準草案的預編工作。

3、2010年7月-2010年12月，項目組在編制預編稿的基礎上，廣泛征求業(yè)內(nèi)

專家意見，召開了多次討論會，形成了《信息安全技術(shù)信息安全保障指標體系

及評價方法：第2部分指標體系》草案初稿。

4、2011年4月-2012年2月，項目組借助國家發(fā)改委信息安全專項的契機，對

標準草案提出的相關(guān)指標在電信系統(tǒng)、廣電系統(tǒng)和江蘇省進行了試點測試工作，

進一步檢驗了指標體系的可操作性和適用性。

2

5、2011年7月-2013年5月，項目組在國家信息中心、中國信息安全測評中心、

北京大學、中國職工之家等地就標準草案共進行了18次規(guī)模不等的專家意見征

求，并根據(jù)專家提出的意見和建議進行了認真討論，逐步完善了標準草案。

6、2012年3月-2013年4月，設計開發(fā)了配套的評價軟件系統(tǒng)，為數(shù)據(jù)采集和

專家評價工作提供了技術(shù)支撐。期間，召開了多次專家會，進一步完善了標準內(nèi)

容。

7、2013年5月，全國信息安全標準委秘書處組織專家對標準草案進行了評審，

專家組認為，研究提出的指標體系對服務于國家信息安全宏觀決策具有重要的參

考價值。會后，根據(jù)專家提出的意見進行修改（參見標準征求意見稿意見匯總處

理表），于5月24日形成并提交《信息安全技術(shù)信息安全保障指標體系及評價方

法：第2部分指標體系》征求意見稿。

8、2013年6月4日－6月30日，送7個部門（安標委副主任單位）征求意見，

并面向社會在安標委TC260網(wǎng)站上對標準征求意見稿征求意見。

9、2013年7月18日，收到1個部門的反饋，根據(jù)國家保密局提出的具體反饋

意見進行修改（參見標準征求意見稿意見匯總處理表），形成了《信息安全技術(shù)信

息安全保障指標體系及評價方法：第2部分指標體系》標準送審稿。

1.4.承擔單位

起草單位：國家信息中心

協(xié)作單位：國家信息中心、國家新聞出版廣電總局監(jiān)管中心、中國電信集團、

中國移動通信集團、中國信息安全測評中心、大連理工大學、中國民航大學、江

蘇省信息中心、中國電力科學研究院等。

主要起草人：何德全王長勝呂欣王憲磊郭艷卿楊月圓呂漢

陽…等。

2.編制原則和主要內(nèi)容

2.1.編制原則

為保證所建立的“信息安全保障指標體系及評價方法”有一個客觀、統(tǒng)一的

基礎，在評價指標體系的設計及指標的選取過程中，本課題主要遵循以下設計原

則：

1、綜合性原則

國家信息安全保障綜合評價指標標準體系建設是通過從整體和全局上把握

3

我國信息安全保障體系的建設效果、運行狀況和整體態(tài)勢，形成多維的、動態(tài)的、

綜合的國家信息安全保障評價標準體系。因此，標準設計的首要原則是綜合性。

2、科學適用性原則

國家信息安全保障評價指標體系必須是在符合我國國情、充分認識國家信息

安全保障體系的科學基礎之上建立的。按照國家信息安全保障體系總目標的設計

原則，把信息安全各構(gòu)成要素作為一個有機整體來考慮。指標體系必須符合理論

上的完備性、科學性和正確性，即指標概念必須具有明確完整的科學內(nèi)涵。

適用性原則，就是指標體系應該能夠在時空上覆蓋我國信息安全保障評價的

各個層面，滿足系統(tǒng)在完整性和全面性方面的客觀要求。尤其是必須考慮由于經(jīng)

濟、地區(qū)等原因造成的各機構(gòu)間發(fā)展狀況的差異，盡量做到不對基礎數(shù)據(jù)的收集

工作造成困擾。這一原則的關(guān)鍵在于，最精簡的指標體系全面反映國家信息安全

保障的整體水平。

3、導向性原則

評價的目的不是單純評出名次及優(yōu)劣的程度，更重要的是引導和鼓勵被評價

對象向正確的方向和目標發(fā)展，要引導我國信息安全的健康發(fā)展。

4、可操作性強原則

可操作性強直接關(guān)系到指標體系的落實與實施，包括數(shù)據(jù)的易獲取性（具有

一定的現(xiàn)實統(tǒng)計基礎，所選的指標變量必須在現(xiàn)實生活中是可以測量得到的或可

通過科學方法聚合生成的）、可靠性（通過規(guī)范數(shù)據(jù)的來源、標準等保證數(shù)據(jù)的

可靠與可信）、易處理性（數(shù)據(jù)便于統(tǒng)計分析處理）以及結(jié)果的可用性（便于實

際操作，能夠服務于我國涉密信息系統(tǒng)安全評價的）等方面。

5、定性定量結(jié)合原則

在眾多指標中，有些因素是反映最終效果的定性指標，有些是能夠通過項目

運行過程得到實際數(shù)據(jù)的定量指標。對于評價最終效果而言，指標體系中這兩方

面的因素都不可或缺。但為了使指標體系具有高度的操作性，必須在選取定性指

標時，舍棄部分與實施效果關(guān)系不大的非關(guān)鍵因素，并且盡量將關(guān)鍵的定性指標

融合到對權(quán)重分配的影響中去。該指標設計的定性定量結(jié)合原則就是將定性分析

反映在權(quán)重上，定量分析反映在指標數(shù)據(jù)上。

6、可比性原則

可比性是衡量國家信息安全保障評價體系的實際效果的客觀標準，是方案權(quán)

4

威性的重要標志。國家信息安全保障評價指標應該既可以橫向?qū)Ρ炔煌瑱C構(gòu)信息

安全保障水平的差異、又能夠縱向反映國家及各地區(qū)信息安全保障的歷史進程和

發(fā)展趨勢。這一原則主要體現(xiàn)在對各級指標的定義、量化和加權(quán)等方面。

2.2.主要內(nèi)容

本標準在GB/TXXXXX.1給出的指標框架下，在第1部分的指標框架下，給

出了一套適用于具體信息安全保障評價工作的指標體系。本標準主要用于：輔助

政府管理層的信息安全態(tài)勢判斷和宏觀決策；支撐各基礎信息網(wǎng)絡和重要信息系

統(tǒng)運營單位及管理部門的信息安全管理工作；規(guī)范評價機構(gòu)和評價人員使用該標

準開展的相關(guān)評價活動。

本標準主要框架如下：

前言

引言

1范圍

2規(guī)范性引用文件

3術(shù)語和定義

4指標體系設計

4.1指標層級

4.2指標體系

5指標釋義

5.1建設情況指標

5.2運行能力指標

5.3安全態(tài)勢指標

參考文獻

本標準主要貢獻如下：

1、設計了指標的三級結(jié)構(gòu)。

2、設計了信息安全保障評價指標體系。

3、研究并選取了23項較為宏觀的、科學性較好的、可操作性較強的指標。

4、對各項指標中涉及到的術(shù)語進行了解釋或說明。

5、對各項指標的定義和評價的內(nèi)容進行了說明，對每項指標（包括定性指

標和定量指標）分別給出了量化方法的概要說明。

5

3.其他事項說明

a.信息安全保障評價工作涉及面十分廣泛，涉及的各類指標很多，項目組

在研究過程中，盡量把握指標的宏觀性特征，指標的提法盡量與等級保護、信任

體系、應急響應、測評認證等國家信息安全制度和標準中的提法相協(xié)調(diào)一致，努

力不去涉足微觀指標。

b.在指標設計方面，兼顧了指標的科學性和可操作性原則。在研究過程中，

發(fā)現(xiàn)部分指標理論上很合理，但在實踐檢驗中證明獲取十分困