《信息安全保障指標(biāo)體系及評(píng)價(jià)方法 第3部分 實(shí)施指南》編制說(shuō)明

1.工作簡(jiǎn)況

1.1.任務(wù)來(lái)源

根據(jù)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)2009年下達(dá)的國(guó)家標(biāo)準(zhǔn)制修訂計(jì)劃，國(guó)家標(biāo)準(zhǔn)

《信息安全技術(shù)信息安全保障指標(biāo)體系及評(píng)價(jià)方法》由國(guó)家信息中心負(fù)責(zé)主辦，

標(biāo)準(zhǔn)計(jì)劃號(hào)為20090323-T-469。

為回答“中辦27號(hào)[2003]文件”《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全

保障工作的意見(jiàn)》提出的各項(xiàng)任務(wù)的建設(shè)情況，包括所建設(shè)的信息安全保障體系

處于什么水平，是否達(dá)到了預(yù)期的目標(biāo)，基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的綜合保

障態(tài)勢(shì)等內(nèi)容。原國(guó)務(wù)院信息辦、國(guó)家信息化專家委提出開(kāi)展“信息安全保障評(píng)

價(jià)指標(biāo)體系”研究的構(gòu)想。2005年7月，原國(guó)務(wù)院信息辦、國(guó)家信息化專家咨

詢委員會(huì)成立了“信息安全保障評(píng)價(jià)指標(biāo)體系研究”課題組，開(kāi)始著手對(duì)這一問(wèn)

題開(kāi)展研究?？傮w組設(shè)在國(guó)家信息中心，另設(shè)有廣電、電信、移動(dòng)、電力、金融、

互聯(lián)網(wǎng)、涉密信息系統(tǒng)、電子政務(wù)門(mén)戶網(wǎng)站等八個(gè)子課題組。2009年，項(xiàng)目在

全國(guó)信息安全標(biāo)準(zhǔn)化委員會(huì)立項(xiàng)編制成國(guó)家標(biāo)準(zhǔn)。2011年，標(biāo)準(zhǔn)研制工作得到

了國(guó)家發(fā)改委信息安全專項(xiàng)《國(guó)家信息安全保障評(píng)價(jià)指標(biāo)標(biāo)準(zhǔn)體系建設(shè)項(xiàng)目》的

支持。

1.2.編制目的

本標(biāo)準(zhǔn)主要解決國(guó)家信息安全保障工作的評(píng)價(jià)問(wèn)題。

1.3.主要工作過(guò)程

1、2005年6月-2008年2月，國(guó)家信息化專家咨詢委員會(huì)對(duì)“信息安全保

障評(píng)價(jià)指標(biāo)體系”進(jìn)行立項(xiàng)研究，開(kāi)始信息安全保障評(píng)價(jià)指標(biāo)體系的研究和標(biāo)準(zhǔn)

的建設(shè)工作。在前期研究過(guò)程中，項(xiàng)目組研究人員團(tuán)結(jié)協(xié)作，為標(biāo)準(zhǔn)體系建設(shè)奠

定了堅(jiān)實(shí)的基礎(chǔ)：

1為基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)評(píng)價(jià)提出了一個(gè)理論框架，各系統(tǒng)在此

框架下展開(kāi)具體指標(biāo)的設(shè)計(jì)工作；

2給出了國(guó)家宏觀指標(biāo)的設(shè)計(jì)方案；

3各系統(tǒng)根據(jù)自身特點(diǎn)，在統(tǒng)一框架下初步完成各自的指標(biāo)設(shè)計(jì)，完成了

前期研究報(bào)告，并且開(kāi)展了試點(diǎn)測(cè)試；

4開(kāi)始了標(biāo)準(zhǔn)編制工作，如廣電、電信等系統(tǒng)已有自己的行業(yè)標(biāo)準(zhǔn)，并將

其在行業(yè)內(nèi)廣泛運(yùn)用，取得了良好的效果；

1

2、2008年3月-2009年2月，項(xiàng)目組立足于我國(guó)國(guó)情，充分調(diào)研了國(guó)際信息安

全保障工作動(dòng)態(tài)，完成的前期研究為項(xiàng)目的進(jìn)一步開(kāi)展奠定了基礎(chǔ)，并被立項(xiàng)列

為國(guó)家“十一五”信息安全標(biāo)準(zhǔn)化與編制項(xiàng)目。

1完成了總體研究報(bào)告和八個(gè)子課題研究報(bào)告：

“信息安全保障評(píng)價(jià)指標(biāo)體系”總體研究報(bào)告

“國(guó)家基礎(chǔ)網(wǎng)絡(luò)（廣播電視）信息安全保障評(píng)價(jià)指標(biāo)體系”及其研究報(bào)告

“國(guó)家基礎(chǔ)網(wǎng)絡(luò)（移動(dòng)通信）信息安全保障評(píng)價(jià)指標(biāo)體系”及其研究報(bào)告

“國(guó)家基礎(chǔ)網(wǎng)絡(luò)（固網(wǎng)）信息安全保障評(píng)價(jià)指標(biāo)體系”及其研究報(bào)告

“國(guó)家基礎(chǔ)網(wǎng)絡(luò)（互聯(lián)網(wǎng)）信息安全保障評(píng)價(jià)指標(biāo)體系”及其研究報(bào)告

“國(guó)家重要信息系統(tǒng)（金融）信息安全保障評(píng)價(jià)指標(biāo)體系”及其研究報(bào)告

“國(guó)家重要信息系統(tǒng)（電力）信息安全保障評(píng)價(jià)指標(biāo)體系”及其研究報(bào)告

“涉密信息系統(tǒng)信息安全保障評(píng)價(jià)指標(biāo)體系”及其研究報(bào)告

“電子政務(wù)門(mén)戶網(wǎng)站信息安全保障評(píng)價(jià)指標(biāo)體系”及其研究報(bào)告

2國(guó)家宏觀評(píng)價(jià)指標(biāo)的集成

對(duì)分系統(tǒng)子課題及專題組的信息安全保障評(píng)價(jià)指標(biāo)體系的研究結(jié)果進(jìn)行綜

合，確定信息安全保障評(píng)價(jià)指標(biāo)體系邏輯框架和構(gòu)成及各表現(xiàn)要素的相互關(guān)系。

形成了我國(guó)信息安全保障評(píng)價(jià)指標(biāo)體系總體研究報(bào)告。

3形成課題研究的基礎(chǔ)理論體系

課題研究以中辦發(fā)[2003]27號(hào)等重要文件為基礎(chǔ)，重點(diǎn)解決了以下理論問(wèn)

題：明確了戰(zhàn)略、管理和技術(shù)的三要素指標(biāo)體系。課題以戰(zhàn)略、管理和技術(shù)作為

構(gòu)建信息安全保障評(píng)價(jià)指標(biāo)體系的三個(gè)基本要素，并把處理元素間的內(nèi)在關(guān)聯(lián)作

為研究指標(biāo)體系的基礎(chǔ)。結(jié)合我國(guó)信息化和信息安全政策，確立了信息安全保障

評(píng)價(jià)指標(biāo)體系。

4完成了標(biāo)準(zhǔn)草案的預(yù)編工作。

3、2010年10月-2011年2月，項(xiàng)目組在編制預(yù)編稿的基礎(chǔ)上，形成了《信息

安全技術(shù)信息安全保障指標(biāo)體系及評(píng)價(jià)方法：第3部分實(shí)施指南》草案初稿。

4、2011年4月-2012年2月，項(xiàng)目組借助國(guó)家發(fā)改委信息安全專項(xiàng)的契機(jī)，對(duì)

標(biāo)準(zhǔn)草案提出的相關(guān)指標(biāo)在電信系統(tǒng)、廣電系統(tǒng)和江蘇省進(jìn)行了試點(diǎn)測(cè)試工作，

進(jìn)一步檢驗(yàn)了指標(biāo)體系的可操作性和適用性。

5、2011年7月-2013年5月，項(xiàng)目組在國(guó)家信息中心、中國(guó)信息安全測(cè)評(píng)中心、

2

北京大學(xué)、中國(guó)職工之家等地就標(biāo)準(zhǔn)草案共進(jìn)行了18次規(guī)模不等的專家意見(jiàn)征

求，并根據(jù)專家提出的意見(jiàn)和建議進(jìn)行了認(rèn)真討論，逐步完善了標(biāo)準(zhǔn)草案。

6、2012年3月-2013年4月，設(shè)計(jì)開(kāi)發(fā)了配套的評(píng)價(jià)軟件系統(tǒng)，為數(shù)據(jù)采集和

專家評(píng)價(jià)工作提供了技術(shù)支撐。期間，召開(kāi)了多次專家會(huì)，進(jìn)一步完善了標(biāo)準(zhǔn)內(nèi)

容。

7、2013年5月，全國(guó)信息安全標(biāo)準(zhǔn)委秘書(shū)處組織專家對(duì)標(biāo)準(zhǔn)草案進(jìn)行了評(píng)審，

專家組認(rèn)為，研究提出的指標(biāo)體系對(duì)服務(wù)于國(guó)家信息安全宏觀決策具有重要的參

考價(jià)值。會(huì)后，根據(jù)專家提出的意見(jiàn)進(jìn)行修改（參見(jiàn)標(biāo)準(zhǔn)征求意見(jiàn)稿意見(jiàn)匯總處

理表），于5月24日形成并提交《信息安全技術(shù)信息安全保障指標(biāo)體系及評(píng)價(jià)方

法：第3部分實(shí)施指南》征求意見(jiàn)稿。

8、2013年6月4日－6月30日，送7個(gè)部門(mén)（安標(biāo)委副主任單位）征求意見(jiàn)，

并面向社會(huì)在安標(biāo)委TC260網(wǎng)站上對(duì)標(biāo)準(zhǔn)征求意見(jiàn)稿征求意見(jiàn)。

9、2013年7月18日，收到1個(gè)部門(mén)的反饋，根據(jù)國(guó)家保密局提出的具體反饋

意見(jiàn)進(jìn)行修改（參見(jiàn)標(biāo)準(zhǔn)征求意見(jiàn)稿意見(jiàn)匯總處理表），形成了《信息安全技術(shù)信

息安全保障指標(biāo)體系及評(píng)價(jià)方法：第3部分實(shí)施指南》標(biāo)準(zhǔn)送審稿。

1.4.承擔(dān)單位

起草單位：國(guó)家信息中心

協(xié)作單位：國(guó)家信息中心、國(guó)家新聞出版廣電總局監(jiān)管中心、中國(guó)電信集團(tuán)、

中國(guó)移動(dòng)通信集團(tuán)、中國(guó)信息安全測(cè)評(píng)中心、大連理工大學(xué)、中國(guó)民航大學(xué)、江

蘇省信息中心、中國(guó)電力科學(xué)研究院等。

主要起草人：何德全王長(zhǎng)勝呂欣王憲磊郭艷卿楊月圓呂漢

陽(yáng)…等。

2.編制原則和主要內(nèi)容

2.1.編制原則

為保證所建立的“信息安全保障指標(biāo)體系及評(píng)價(jià)方法”有一個(gè)客觀、統(tǒng)一的

基礎(chǔ)，在評(píng)價(jià)指標(biāo)體系的設(shè)計(jì)及指標(biāo)的選取過(guò)程中，本課題主要遵循以下設(shè)計(jì)原

則：

1、綜合性原則

國(guó)家信息安全保障綜合評(píng)價(jià)指標(biāo)標(biāo)準(zhǔn)體系建設(shè)是通過(guò)從整體和全局上把握

我國(guó)信息安全保障體系的建設(shè)效果、運(yùn)行狀況和整體態(tài)勢(shì)，形成多維的、動(dòng)態(tài)的、

3

綜合的國(guó)家信息安全保障評(píng)價(jià)標(biāo)準(zhǔn)體系。因此，標(biāo)準(zhǔn)設(shè)計(jì)的首要原則是綜合性。

2、科學(xué)適用性原則

國(guó)家信息安全保障評(píng)價(jià)指標(biāo)體系必須是在符合我國(guó)國(guó)情、充分認(rèn)識(shí)國(guó)家信息

安全保障體系的科學(xué)基礎(chǔ)之上建立的。按照國(guó)家信息安全保障體系總目標(biāo)的設(shè)計(jì)

原則，把信息安全各構(gòu)成要素作為一個(gè)有機(jī)整體來(lái)考慮。指標(biāo)體系必須符合理論

上的完備性、科學(xué)性和正確性，即指標(biāo)概念必須具有明確完整的科學(xué)內(nèi)涵。

適用性原則，就是指標(biāo)體系應(yīng)該能夠在時(shí)空上覆蓋我國(guó)信息安全保障評(píng)價(jià)的

各個(gè)層面，滿足系統(tǒng)在完整性和全面性方面的客觀要求。尤其是必須考慮由于經(jīng)

濟(jì)、地區(qū)等原因造成的各機(jī)構(gòu)間發(fā)展?fàn)顩r的差異，盡量做到不對(duì)基礎(chǔ)數(shù)據(jù)的收集

工作造成困擾。這一原則的關(guān)鍵在于，最精簡(jiǎn)的指標(biāo)體系全面反映國(guó)家信息安全

保障的整體水平。

3、導(dǎo)向性原則

評(píng)價(jià)的目的不是單純?cè)u(píng)出名次及優(yōu)劣的程度，更重要的是引導(dǎo)和鼓勵(lì)被評(píng)價(jià)

對(duì)象向正確的方向和目標(biāo)發(fā)展，要引導(dǎo)我國(guó)信息安全的健康發(fā)展。

4、可操作性強(qiáng)原則

可操作性強(qiáng)直接關(guān)系到指標(biāo)體系的落實(shí)與實(shí)施，包括數(shù)據(jù)的易獲取性（具有

一定的現(xiàn)實(shí)統(tǒng)計(jì)基礎(chǔ)，所選的指標(biāo)變量必須在現(xiàn)實(shí)生活中是可以測(cè)量得到的或可

通過(guò)科學(xué)方法聚合生成的）、可靠性（通過(guò)規(guī)范數(shù)據(jù)的來(lái)源、標(biāo)準(zhǔn)等保證數(shù)據(jù)的

可靠與可信）、易處理性（數(shù)據(jù)便于統(tǒng)計(jì)分析處理）以及結(jié)果的可用性（便于實(shí)

際操作，能夠服務(wù)于我國(guó)涉密信息系統(tǒng)安全評(píng)價(jià)的）等方面。

5、定性定量結(jié)合原則

在眾多指標(biāo)中，有些因素是反映最終效果的定性指標(biāo)，有些是能夠通過(guò)項(xiàng)目

運(yùn)行過(guò)程得到實(shí)際數(shù)據(jù)的定量指標(biāo)。對(duì)于評(píng)價(jià)最終效果而言，指標(biāo)體系中這兩方

面的因素都不可或缺。但為了使指標(biāo)體系具有高度的操作性，必須在選取定性指

標(biāo)時(shí)，舍棄部分與實(shí)施效果關(guān)系不大的非關(guān)鍵因素，并且盡量將關(guān)鍵的定性指標(biāo)

融合到對(duì)權(quán)重分配的影響中去。該指標(biāo)設(shè)計(jì)的定性定量結(jié)合原則就是將定性分析

反映在權(quán)重上，定量分析反映在指標(biāo)數(shù)據(jù)上。

6、可比性原則

可比性是衡量國(guó)家信息安全保障評(píng)價(jià)體系的實(shí)際效果的客觀標(biāo)準(zhǔn)，是方案權(quán)

威性的重要標(biāo)志。國(guó)家信息安全保障評(píng)價(jià)指標(biāo)應(yīng)該既可以橫向?qū)Ρ炔煌瑱C(jī)構(gòu)信息

4

安全保障水平的差異、又能夠縱向反映國(guó)家及各地區(qū)信息安全保障的歷史進(jìn)程和

發(fā)展趨勢(shì)。這一原則主要體現(xiàn)在對(duì)各級(jí)指標(biāo)的定義、量化和加權(quán)等方面。

2.2.主要內(nèi)容

本標(biāo)準(zhǔn)給出了信息安全保障評(píng)價(jià)的工作流程、方法工具和具體實(shí)施要求。本

標(biāo)準(zhǔn)主要用于：輔助政府管理層的信息安全態(tài)勢(shì)判斷和宏觀決策；支撐各基礎(chǔ)信

息網(wǎng)絡(luò)和重要信息系統(tǒng)運(yùn)營(yíng)單位及管理部門(mén)的信息安全管理工作；規(guī)范評(píng)價(jià)機(jī)構(gòu)

和評(píng)價(jià)人員使用該標(biāo)準(zhǔn)開(kāi)展的相關(guān)評(píng)價(jià)活動(dòng)。

本標(biāo)準(zhǔn)主要框架如下：

前言

引言

1范圍

2規(guī)范性引用文件

3術(shù)語(yǔ)和定義

4概述

4.1信息安全保障評(píng)價(jià)的目的和作用

4.2評(píng)價(jià)活動(dòng)執(zhí)行主體

4.3可能遇到問(wèn)題和風(fēng)險(xiǎn)

4.4評(píng)價(jià)活動(dòng)實(shí)施過(guò)程

5評(píng)價(jià)準(zhǔn)備

5.1評(píng)價(jià)準(zhǔn)備活動(dòng)的工作流程

5.2評(píng)價(jià)準(zhǔn)備活動(dòng)的主要任務(wù)

5.3評(píng)價(jià)準(zhǔn)備活動(dòng)的文檔

5.4評(píng)價(jià)準(zhǔn)備活動(dòng)的角色和責(zé)任

6方案編制

6.1方案編制活動(dòng)的工作流程

6.2方案編制活動(dòng)的主要任務(wù)

6.3方案編制活動(dòng)的文檔

6.4方案編制活動(dòng)的角色和責(zé)任

7調(diào)研與測(cè)試

7.1調(diào)研與測(cè)試活動(dòng)的工作流程

5

7.2調(diào)研與測(cè)試活動(dòng)的主要任務(wù)

7.3調(diào)研與測(cè)試活動(dòng)的文檔

7.4調(diào)研與測(cè)試活動(dòng)的角色和責(zé)任

8結(jié)果分析

8.1結(jié)果分析活動(dòng)的工作流程

8.2結(jié)果分析活動(dòng)的主要任務(wù)

8.3結(jié)果分析活動(dòng)文檔

8.4結(jié)果分析活動(dòng)的角色與責(zé)任

9報(bào)告編制

9.1報(bào)告編制活動(dòng)的工作流程

9.2報(bào)告編制活動(dòng)的主要任務(wù)

9.3報(bào)告編制活動(dòng)的文檔

9.4報(bào)告編制活動(dòng)的角色與責(zé)任

附錄A（規(guī)范性附錄）信息安全保障評(píng)價(jià)工作要求

附錄B（資料性附錄）數(shù)據(jù)采集方法

附錄C（資料性附錄）數(shù)據(jù)標(biāo)準(zhǔn)化方法

附錄D（資料性附錄）指標(biāo)權(quán)重分配方法

附錄E（規(guī)范性附錄）指數(shù)合成方法

參考文獻(xiàn)

本標(biāo)準(zhǔn)主要貢獻(xiàn)如下：

1、明確了評(píng)價(jià)活動(dòng)的實(shí)施主體和評(píng)價(jià)實(shí)施過(guò)程中涉及到的各類評(píng)價(jià)隊(duì)伍。

2、指出了評(píng)價(jià)活動(dòng)實(shí)施過(guò)程中可能遇到的問(wèn)題和風(fēng)險(xiǎn)，包括影響系統(tǒng)運(yùn)行

的風(fēng)險(xiǎn)、信息泄露的風(fēng)險(xiǎn)以及對(duì)評(píng)價(jià)結(jié)果的爭(zhēng)議，指出應(yīng)在評(píng)價(jià)活動(dòng)開(kāi)展前對(duì)評(píng)

價(jià)對(duì)象的責(zé)任方進(jìn)行必要的告知。

3、確定了信息安全保障評(píng)價(jià)活動(dòng)實(shí)施的主要流程，包括評(píng)價(jià)準(zhǔn)備、方案編

制、調(diào)研與測(cè)試、結(jié)果分析、報(bào)告編制等，并詳細(xì)給出了各流程階段的主要任務(wù)。

4、明確了各階段中評(píng)價(jià)活動(dòng)實(shí)施主體的角色和責(zé)任。

5、列出了各階段所需的文檔及工具清單。

6、在附錄中給出了信息安全保障評(píng)價(jià)工作要求、數(shù)據(jù)采集方法、數(shù)據(jù)標(biāo)準(zhǔn)

化方法、指標(biāo)權(quán)重分配方法和指數(shù)合成方法。

6

3.其他事項(xiàng)說(shuō)明

a.在指標(biāo)實(shí)施方面，項(xiàng)目組開(kāi)發(fā)了信息安全保障評(píng)價(jià)軟件系統(tǒng)，根據(jù)對(duì)安

全性的要求可支持通過(guò)互聯(lián)網(wǎng)或?qū)＞W(wǎng)上數(shù)據(jù)信