信息安全保障指标体系及评价方法第1部分概念和模型
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
国家标准《信息安全保障指标体系及评价方法第1部分
概念和模型》(送审稿)编制说明
1.工作简况
1.1. 任务来源
根据国家标准化管理委员会2009年下达的国家标准制修订计划,国家标准《信息安全技术信息安全保障指标体系及评价方法》由国家信息中心负责主办,标准计划号为20090326-T-469。
为回答“中办27号[2003] 文件”《国家信息化领导小组关于加强信息安全保障工作的意见》提出的各项任务的建设情况,包括所建设的信息安全保障体系处于什么水平,是否达到了预期的目标,基础信息网络和重要信息系统的综合保障态势等内容。原国务院信息办、国家信息化专家委提出开展“信息安全保障评价指标体系”研究的构想。2005年7月,原国务院信息办、国家信息化专家咨询委员会成立了“信息安全保障评价指标体系研究”课题组,开始着手对这一问题开展研究。总体组设在国家信息中心,另设有广电、电信、移动、电力、金融、互联网、涉密信息系统、电子政务门户网站等八个子课题组。2009年,项目在全国信息安全标准化委员会立项编制成国家标准。2011年,标准研制工作得到了国家发改委信息安全专项《国家信息安全保障评价指标标准体系建设项目》的支持。
1.2. 编制目的
本标准主要解决国家信息安全保障工作的评价问题。
1.3. 主要工作过程
1、2005年6月-2008年2月,国家信息化专家咨询委员会对“信息安全保障评价指标体系”进行立项研究,开始信息安全保障评价指标体系的研究和标准的建设工作。在前期研究过程中,项目组研究人员团结协作,为标准体系建设奠定了坚实的基础:
①为基础信息网络和重要信息系统评价提出了一个理论框架,各系统在此框架下展开具体指标的设计工作;
②给出了国家宏观指标的设计方案;
③各系统根据自身特点,在统一框架下初步完成各自的指标设计,完成了
前期研究报告,并且开展了试点测试;
④开始了标准编制工作,如广电、电信等系统已有自己的行业标准,并将其在行业内广泛运用,取得了良好的效果;
2、2008年3月-2009年2月,项目组立足于我国国情,充分调研了国际信息安全保障工作动态,完成的前期研究为项目的进一步开展奠定了基础,并被立项列为国家“十一五”信息安全标准化与编制项目。
①完成了总体研究报告和八个子课题研究报告:
“信息安全保障评价指标体系”总体研究报告
“国家基础网络(广播电视)信息安全保障评价指标体系”及其研究报告“国家基础网络(移动通信)信息安全保障评价指标体系”及其研究报告“国家基础网络(固网)信息安全保障评价指标体系”及其研究报告
“国家基础网络(互联网)信息安全保障评价指标体系”及其研究报告
“国家重要信息系统(金融)信息安全保障评价指标体系”及其研究报告“国家重要信息系统(电力)信息安全保障评价指标体系”及其研究报告“涉密信息系统信息安全保障评价指标体系”及其研究报告
“电子政务门户网站信息安全保障评价指标体系”及其研究报告
②国家宏观评价指标的集成
对分系统子课题及专题组的信息安全保障评价指标体系的研究结果进行综合,确定信息安全保障评价指标体系逻辑框架和构成及各表现要素的相互关系。
形成了我国信息安全保障评价指标体系总体研究报告。
③形成课题研究的基础理论体系
课题研究以中办发[2003]27号等重要文件为基础,重点解决了以下理论问题:明确了战略、管理和技术的三要素指标体系。课题以战略、管理和技术作为构建信息安全保障评价指标体系的三个基本要素,并把处理元素间的内在关联作为研究指标体系的基础。结合我国信息化和信息安全政策,确立了信息安全保障评价指标体系。
④完成了标准草案的预编工作。
3、2009年3月-2011年3月,项目组在编制预编稿的基础上,广泛征求业内专家意见,召开了多次讨论会,形成了《信息安全技术信息安全保障指标体系及评价方法:第1部分概念和模型》草案初稿。
4、2011年4月-2012年2月,项目组借助国家发改委信息安全专项的契机,对标准草案提出的相关指标在电信系统、广电系统和江苏省进行了试点测试工作,进一步检验了指标体系的可操作性和适用性。
5、2011年7月-2013年5月,项目组在国家信息中心、中国信息安全测评中心、北京大学、中国职工之家等地就标准草案共进行了18次规模不等的专家意见征求,并根据专家提出的意见和建议进行了认真讨论,逐步完善了标准草案。
6、2012年3月-2013年4月,设计开发了配套的评价软件系统,为数据采集和专家评价工作提供了技术支撑。期间,召开了多次专家研讨会,进一步完善了标准草案。
7、2013年5月,全国信息安全标准委秘书处组织专家对标准草案进行了评审,专家组认为,研究提出的指标体系对服务于国家信息安全宏观决策具有重要的参考价值。会后,根据专家提出的意见进行修改(参见标准征求意见稿意见汇总处理表),于5月24日形成并提交《信息安全技术信息安全保障指标体系及评价方法:第1部分概念和模型》征求意见稿。
8、2013年6月4日-6月30日,送7个部门(安标委副主任单位)征求意见,并面向社会在安标委TC260网站上对标准征求意见稿征求意见。
9、2013年7月18日,收到1个部门的反馈,根据国家保密局提出的具体反馈意见进行修改(参见标准征求意见稿意见汇总处理表),形成了《信息安全技术信息安全保障指标体系及评价方法:第1部分概念和模型》标准送审稿。
1.4. 承担单位
起草单位:国家信息中心
协作单位:国家信息中心、国家新闻出版广电总局监管中心、中国电信集团、中国移动通信集团、中国信息安全测评中心、大连理工大学、中国民航大学、江苏省信息中心、中国电力科学研究院等。
主要起草人:何德全王长胜吕欣王宪磊郭艳卿杨月圆吕汉阳…等。
2.编制原则和主要内容
2.1. 编制原则
为保证所建立的“信息安全保障指标体系及评价方法”有一个客观、统一的基础,在评价指标体系的设计及指标的选取过程中,本课题主要遵循以下设计原