还剩4页未读,继续阅读
文本内容:
1.工作简况
1.
1.任务来源根据国家标准化管理委员会2009年下达的国家标准制修订计划,国家标准《信息安全技术信息安全保障指标体系及评价方法》由国家信息中心负责主办,标准计划号为20090320-T-469o为回答“中办27号[2003]文件”《国家信息化领导小组关于加强信息安全保障工作的意见》提出的各项任务的建设情况,包括所建设的信息安全保障体系处于什么水平,是否达到了预期的目标,基础信息网络和重要信息系统的综合保障态势等内容原国务院信息办、国家信息化专家委提出开展“信息安全保障评价指标体系”研究的构想2005年7月,原国务院信息办、国家信息化专家咨询委员会成立了“信息安全保障评价指标体系研究”课题组,开始着手对这一问题开展研究总体组设在国家信息中心,另设有广电、电信、移动、电力、金融、互联网、涉密信息系统、电子政务门户网站等八个子课题组2009年,项目在全国信息安全标准化委员会立项编制成国家标准2011年,标准研制工作得到了国家发改委信息安全专项《国家信息安全保障评价指标标准体系建设项目》的支持
1.
2.编制目的本标准主要解决国家信息安全保障工作的评价问题
1.
3.主要工作过程
1、2005年6月-2008年2月,国家信息化专家咨询委员会对“信息安全保障评价指标体系”进行立项研究,开始信息安全保障评价指标体系的研究和标准的建设工作在前期研究过程中,项目组研究人员团结协作,为标准体系建设奠定了坚实的基础
①为基础信息网络和重要信息系统评价提出了一个理论框架,各系统在此框架下展开具体指标的设计工作;2给出了国家宏观指标的设计方案;3各系统根据自身特点,在统一框架下初步完成各自的指标设计,完成了前期研究报告,并且开展了试点测试;4开始了标准编制工作,如广电、电信等系统已有自己的行业标准,并将其在行业内广泛运用,取得了良好的效果;
2、2008年3月-2009年2月,项目组立足于我国国情,充分调研了国际信息安全保障工作动态,完成的前期研究为项目的进一步开展奠定了基础,并被立项列为国家“十一五”信息安全标准化与编制项目
①完成了总体研究报告和八个子课题研究报告“信息安全保障评价指标体系”总体研究报告“国家基础网络(广播电视)信息安全保障评价指标体系”及其研究报告“国家基础网络(移动通信)信息安全保障评价指标体系”及其研究报告“国家基础网络(固网)信息安全保障评价指标体系”及其研究报告“国家基础网络(互联网)信息安全保障评价指标体系”及其研究报告“国家重要信息系统(金融)信息安全保障评价指标体系”及其研究报告“国家重要信息系统(电力)信息安全保障评价指标体系”及其研究报告“涉密信息系统信息安全保障评价指标体系”及其研究报告“电子政务门户网站信息安全保障评价指标体系”及其研究报告
②国家宏观评价指标的集成对分系统子课题及专题组的信息安全保障评价指标体系的研究结果进行综合,确定信息安全保障评价指标体系逻辑框架和构成及各表现要素的相互关系形成了我国信息安全保障评价指标体系总体研究报告
③形成课题研究的基础理论体系课题研究以中办发
[2003]27号等重要文件为基础,重点解决了以下理论问题:明确了战略、管理和技术的三要素指标体系课题以战略、管理和技术作为构建信息安全保障评价指标体系的三个基本要素,并把处理元素间的内在关联作为研究指标体系的基础结合我国信息化和信息安全政策,确立了信息安全保障评价指标体系@完成了标准草案的预编工作
3、2010年7月-2010年12月,项目组在编制预编稿的基础上,广泛征求业内专家意见,召开了多次讨论会,形成了《信息安全技术信息安全保障指标体系及评价方法第2部分指标体系》草案初稿
4、2011年4月-2012年2月,项目组借助国家发改委信息安全专项的契机,对标准草案提出的相关指标在电信系统、广电系统和江苏省进行了试点测试工作,进一步检验了指标体系的可操作性和适用性
5、2011年7月-2013年5月,项目组在国家信息中心、中国信息安全测评中心、北京大学、中国职工之家等地就标准草案共进行了18次规模不等的专家意见征求,并根据专家提出的意见和建议进行了认真讨论,逐步完善了标准草案
6、2012年3月-2013年4月,设计开发了配套的评价软件系统,为数据采集和专家评价工作提供了技术支撑期间,召开了多次专家会,进一步完善了标准内容
7、2013年5月,全国信息安全标准委秘书处组织专家对标准草案进行了评审,专家组认为,研究提出的指标体系对服务于国家信息安全宏观决策具有重要的参考价值会后,根据专家提出的意见进行修改(参见标准征求意见稿意见汇总处理表),于5月24日形成并提交《信息安全技术信息安全保障指标体系及评价方法第2部分指标体系》征求意见稿
8、2013年6月4日—6月30日,送7个部门(安标委副主任单位)征求意见,并面向社会在安标委TC260网站上对标准征求意见稿征求意见
9、2013年7月18日,收到1个部门的反馈,根据国家保密局提出的具体反馈意见进行修改(参见标准征求意见稿意见汇总处理表),形成了《信息安全技术信息安全保障指标体系及评价方法第2部分指标体系》标准送审稿
1.
4.承担单位起草单位国家信息中心协作单位国家信息中心、国家新闻出版广电总局监管中心、中国电信集团、中国移动通信集团、中国信息安全测评中心、大连理工大学、中国民航大学、江苏省信息中心、中国电力科学研究院等主要起草人何德全王长胜吕欣王宪磊郭艳卿杨月圆吕汉阳…等
2.编制原则和主要内容
2.
1.编制原则为保证所建立的“信息安全保障指标体系及评价方法”有一个客观、统一的基础,在评价指标体系的设计及指标的选取过程中,本课题主要遵循以下设计原则
1、综合性原则国家信息安全保障综合评价指标标准体系建设是通过从整体和全局上把握我国信息安全保障体系的建设效果、运行状况和整体态势,形成多维的、动态的、综合的国家信息安全保障评价标准体系因此,标准设计的首要原则是综合性
2、科学适用性原则国家信息安全保障评价指标体系必须是在符合我国国情、充分认识国家信息安全保障体系的科学基础之上建立的按照国家信息安全保障体系总目标的设计原则,把信息安全各构成要素作为一个有机整体来考虑指标体系必须符合理论上的完备性、科学性和正确性,即指标概念必须具有明确完整的科学内涵适用性原则,就是指标体系应该能够在时空上覆盖我国信息安全保障评价的各个层面,满足系统在完整性和全面性方面的客观要求尤其是必须考虑由于经济、地区等原因造成的各机构间发展状况的差异,尽量做到不对基础数据的收集工作造成困扰这一原则的关键在于,最精简的指标体系全面反映国家信息安全保障的整体水平
3、导向性原则评价的目的不是单纯评出名次及优劣的程度,更重要的是引导和鼓励被评价对象向正确的方向和目标发展,要引导我国信息安全的健康发展
4、可操作性强原则可操作性强直接关系到指标体系的落实与实施,包括数据的易获取性(具有一定的现实统计基础,所选的指标变量必须在现实生活中是可以测量得到的或可通过科学方法聚合生成的)、可靠性(通过规范数据的来源、标准等保证数据的可靠与可信)、易处理性(数据便于统计分析处理)以及结果的可用性(便于实际操作,能够服务于我国涉密信息系统安全评价的)等方面
5、定性定量结合原则在众多指标中,有些因素是反映最终效果的定性指标,有些是能够通过项目运行过程得到实际数据的定量指标对于评价最终效果而言,指标体系中这两方面的因素都不可或缺但为了使指标体系具有高度的操作性,必须在选取定性指标时,舍弃部分与实施效果关系不大的非关键因素,并且尽量将关键的定性指标融合到对权重分配的影响中去该指标设计的定性定量结合原则就是将定性分析反映在权重上,定量分析反映在指标数据上
6、可比性原则可比性是衡量国家信息安全保障评价体系的实际效果的客观标准,是方案权威性的重要标志国家信息安全保障评价指标应该既可以横向对比不同机构信息安全保障水平的差异、又能够纵向反映国家及各地区信息安全保障的历史进程和发展趋势这一原则主要体现在对各级指标的定义、量化和加权等方面
2.
2.主要内容本标准在GB/T XXXXX.1给出的指标框架下,在第1部分的指标框架下,给出了一套适用于具体信息安全保障评价工作的指标体系本标准主要用于辅助政府管理层的信息安全态势判断和宏观决策;支撑各基础信息网络和重要信息系统运营单位及管理部门的信息安全管理工作;规范评价机构和评价人员使用该标准开展的相关评价活动本标准主要框架如下,1Z,—1^-刖百引言1范围
2.
3.引用文件3术语和定义4指标体系设计
4.1指标层级
4.2指标体系5指标释义
5.1建设情况指标
5.2运行能力指标
5.3安全态势指标参考文献本标准主要贡献如下
1、设计了指标的三级结构
2、设计了信息安全保障评价指标体系
3、研究并选取了23项较为宏观的、科学性较好的、可操作性较强的指标
4、对各项指标中涉及到的术语进行了解释或说明
5、对各项指标的定义和评价的内容进行了说明,对每项指标(包括定性指标和定量指标)分别给出了量化方法的概要说明
3.其他事项说明a.信息安全保障评价工作涉及面十分广泛,涉及的各类指标很多,项目组在研究过程中,尽量把握指标的宏观性特征,指标的提法尽量与等级保护、信任体系、应急响应、测评认证等国家信息安全制度和标准中的提法相协调一致,努力不去涉足微观指标b.在指标设计方面,兼顾了指标的科学性和可操作性原则在研究过程中,发现部分指标理论上很合理,但在实践检验中证明获取十分困难面对这类问题,项目组更多地兼顾数据采集的可操作性问题,以保证指标的可获取性国家标准《信息安全保障指标体系及评价方法第部分2指标体系》(送审稿)编制说明国家标准《信息安全保障指标体系及评价方法第部分2指标体系》(送审稿)编制说明国家标准《信息安全保障指标体系及评价方法第部分2指标体系》(送审稿)编制说明国家标准《信息安全保障指标体系及评价方法第部分2指标体系》(送审稿)编制说明。
个人认证
优秀文档
获得点赞 0
