国家标准《信息安全保障指标体系及评价方法

第3部分实施指南》(送审稿)编制说明工作简况任务来源根据国家标准化管理委员会2009年下达的国家标准制修订计划,国家标准《信息安全技术信息安全保障指标体系及评价方法》由国家信息中心负责主办,标准计划号为20090323-T-469.
为回答"中办27号[2003]文件"《国家信息化领导小组关于加强信息安全保障工作的意见》提出的各项任务的建设情况,包括所建设的信息安全保障体系处于什么水平,是否达到了预期的目标,基础信息网络和重要信息系统的综合保障态势等内容.
原国务院信息办、国家信息化专家委提出开展"信息安全保障评价指标体系"研究的构想.
2005年7月,原国务院信息办、国家信息化专家咨询委员会成立了"信息安全保障评价指标体系研究"课题组,开始着手对这一问题开展研究.
总体组设在国家信息中心,另设有广电、电信、移动、电力、金融、互联网、涉密信息系统、电子政务门户网站等八个子课题组.
2009年,项目在全国信息安全标准化委员会立项编制成国家标准.
2011年,标准研制工作得到了国家发改委信息安全专项《国家信息安全保障评价指标标准体系建设项目》的支持.

编制目的本标准主要解决国家信息安全保障工作的评价问题.
主要工作过程1、2005年6月-2008年2月,国家信息化专家咨询委员会对"信息安全保障评价指标体系"进行立项研究,开始信息安全保障评价指标体系的研究和标准的建设工作.
在前期研究过程中,项目组研究人员团结协作,为标准体系建设奠定了坚实的基础:为基础信息网络和重要信息系统评价提出了一个理论框架,各系统在此框架下展开具体指标的设计工作;给出了国家宏观指标的设计方案;各系统根据自身特点,在统一框架下初步完成各自的指标设计,完成了前期研究报告,并且开展了试点测试;开始了标准编制工作,如广电、电信等系统已有自己的行业标准,并将其在行业内广泛运用,取得了良好的效果;2、2008年3月-2009年2月,项目组立足于我国国情,充分调研了国际信息安全保障工作动态,完成的前期研究为项目的进一步开展奠定了基础,并被立项列为国家"十一五"信息安全标准化与编制项目.

完成了总体研究报告和八个子课题研究报告:"信息安全保障评价指标体系"总体研究报告"国家基础网络(广播电视)信息安全保障评价指标体系"及其研究报告"国家基础网络(移动通信)信息安全保障评价指标体系"及其研究报告"国家基础网络(固网)信息安全保障评价指标体系"及其研究报告"国家基础网络(互联网)信息安全保障评价指标体系"及其研究报告"国家重要信息系统(金融)信息安全保障评价指标体系"及其研究报告"国家重要信息系统(电力)信息安全保障评价指标体系"及其研究报告"涉密信息系统信息安全保障评价指标体系"及其研究报告"电子政务门户网站信息安全保障评价指标体系"及其研究报告国家宏观评价指标的集成对分系统子课题及专题组的信息安全保障评价指标体系的研究结果进行综合,确定信息安全保障评价指标体系逻辑框架和构成及各表现要素的相互关系.
形成了我国信息安全保障评价指标体系总体研究报告.
形成课题研究的基础理论体系课题研究以中办发[2003]27号等重要文件为基础,重点解决了以下理论问题:明确了战略、管理和技术的三要素指标体系.
课题以战略、管理和技术作为构建信息安全保障评价指标体系的三个基本要素,并把处理元素间的内在关联作为研究指标体系的基础.
结合我国信息化和信息安全政策,确立了信息安全保障评价指标体系.

完成了标准草案的预编工作.
3、2010年10月-2011年2月,项目组在编制预编稿的基础上,形成了《信息安全技术信息安全保障指标体系及评价方法:第3部分实施指南》草案初稿.
4、2011年4月-2012年2月,项目组借助国家发改委信息安全专项的契机,对标准草案提出的相关指标在电信系统、广电系统和江苏省进行了试点测试工作,进一步检验了指标体系的可操作性和适用性.

5、2011年7月-2013年5月,项目组在国家信息中心、中国信息安全测评中心、北京大学、中国职工之家等地就标准草案共进行了18次规模不等的专家意见征求,并根据专家提出的意见和建议进行了认真讨论,逐步完善了标准草案.

6、2012年3月-2013年4月,设计开发了配套的评价软件系统,为数据采集和专家评价工作提供了技术支撑.
期间,召开了多次专家会,进一步完善了标准内容.
7、2013年5月,全国信息安全标准委秘书处组织专家对标准草案进行了评审,专家组认为,研究提出的指标体系对服务于国家信息安全宏观决策具有重要的参考价值.
会后,根据专家提出的意见进行修改(参见标准征求意见稿意见汇总处理表),于5月24日形成并提交《信息安全技术信息安全保障指标体系及评价方法:第3部分实施指南》征求意见稿.
8、2013年6月4日-6月30日,送7个部门(安标委副主任单位)征求意见,并面向社会在安标委TC260网站上对标准征求意见稿征求意见.
9、2013年7月18日,收到1个部门的反馈,根据国家保密局提出的具体反馈意见进行修改(参见标准征求意见稿意见汇总处理表),形成了《信息安全技术信息安全保障指标体系及评价方法:第3部分实施指南》标准送审稿.
承担单位起草单位:国家信息中心协作单位:国家信息中心、国家新闻出版广电总局监管中心、中国电信集团、中国移动通信集团、中国信息安全测评中心、大连理工大学、中国民航大学、江苏省信息中心、中国电力科学研究院等.
主要起草人:何德全王长胜吕欣王宪磊郭艳卿杨月圆吕汉阳…等.
编制原则和主要内容编制原则为保证所建立的"信息安全保障指标体系及评价方法"有一个客观、统一的基础,在评价指标体系的设计及指标的选取过程中,本课题主要遵循以下设计原则:1、综合性原则国家信息安全保障综合评价指标标准体系建设是通过从整体和全局上把握我国信息安全保障体系的建设效果、运行状况和整体态势,形成多维的、动态的、综合的国家信息安全保障评价标准体系.
因此,标准设计的首要原则是综合性.

2、科学适用性原则国家信息安全保障评价指标体系必须是在符合我国国情、充分认识国家信息安全保障体系的科学基础之上建立的.
按照国家信息安全保障体系总目标的设计原则,把信息安全各构成要素作为一个有机整体来考虑.
指标体系必须符合理论上的完备性、科学性和正确性,即指标概念必须具有明确完整的科学内涵.

适用性原则,就是指标体系应该能够在时空上覆盖我国信息安全保障评价的各个层面,满足系统在完整性和全面性方面的客观要求.
尤其是必须考虑由于经济、地区等原因造成的各机构间发展状况的差异,尽量做到不对基础数据的收集工作造成困扰.
这一原则的关键在于,最精简的指标体系全面反映国家信息安全保障的整体水平.

3、导向性原则评价的目的不是单纯评出名次及优劣的程度,更重要的是引导和鼓励被评价对象向正确的方向和目标发展,要引导我国信息安全的健康发展.
4、可操作性强原则可操作性强直接关系到指标体系的落实与实施,包括数据的易获取性(具有一定的现实统计基础,所选的指标变量必须在现实生活中是可以测量得到的或可通过科学方法聚合生成的)、可靠性(通过规范数据的来源、标准等保证数据的可靠与可信)、易处理性(数据便于统计分析处理)以及结果的可用性(便于实际操作,能够服务于我国涉密信息系统安全评价的)等方面.

5、定性定量结合原则在众多指标中,有些因素是反映最终效果的定性指标,有些是能够通过项目运行过程得到实际数据的定量指标.
对于评价最终效果而言,指标体系中这两方面的因素都不可或缺.
但为了使指标体系具有高度的操作性,必须在选取定性指标时,舍弃部分与实施效果关系不大的非关键因素,并且尽量将关键的定性指标融合到对权重分配的影响中去.
该指标设计的定性定量结合原则就是将定性分析反映在权重上,定量分析反映在指标数据上.

6、可比性原则可比性是衡量国家信息安全保障评价体系的实际效果的客观标准,是方案权威性的重要标志.
国家信息安全保障评价指标应该既可以横向对比不同机构信息安全保障水平的差异、又能够纵向反映国家及各地区信息安全保障的历史进程和发展趋势.
这一原则主要体现在对各级指标的定义、量化和加权等方面.

主要内容本标准给出了信息安全保障评价的工作流程、方法工具和具体实施要求.
本标准主要用于:辅助政府管理层的信息安全态势判断和宏观决策;支撑各基础信息网络和重要信息系统运营单位及管理部门的信息安全管理工作;规范评价机构和评价人员使用该标准开展的相关评价活动.