電子政務(wù)信息安全指標(biāo)體系初探課件

電子政務(wù)信息安全指標(biāo)體系初探北京信息安全測評(服務(wù))中心孟亞平1電子政務(wù)信息安全指標(biāo)體系初探北京信息安全測評(服務(wù))中心一、 對設(shè)立電子政務(wù)信息安全指標(biāo)體系目 的與編制原則的理解二、 對電子政務(wù)信息安全指標(biāo)體系內(nèi)在特 點的幾點認(rèn)識三、 研究設(shè)想內(nèi)容2一、 對設(shè)立電子政務(wù)信息安全指標(biāo)體系目 的與編制原則的理解一、 對設(shè)立電子政務(wù)信息安全指標(biāo)體系目 的與編制原則的理解二、 對電子政務(wù)信息安全指標(biāo)體系內(nèi)在特 點的幾點認(rèn)識三、 研究設(shè)想3一、 對設(shè)立電子政務(wù)信息安全指標(biāo)體系目 的與編制原則的理解3研究背景黨和國家高度重視信息安全，《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》和全國信息安全保障工作會議對我國的信息安全保障工作做出了整體部署；黨的十六屆四中全會進一步提出了確保國家政治安全、經(jīng)濟安全、文化安全和信息安全的要求；信息安全保障已經(jīng)成為各級政府的一項重要工作。北京市基于全面掌控電子政務(wù)信息安全整體狀況，為“十一五”期間充分構(gòu)建北京市區(qū)域信息安全保障體系提供宏觀調(diào)控及決策依據(jù)的需要，適時開展了《北京市電子政務(wù)信息安全指標(biāo)體系》的研究工作。4研究背景黨和國家高度重視信息安全，《國家信息化領(lǐng)導(dǎo)小組研究目的為建立信息安全狀況評估制度提供基礎(chǔ)指導(dǎo)意見及參照標(biāo)準(zhǔn)，規(guī)范并保證信息安全狀況評價的一致性、可比性與真實性；全面掌握電子政務(wù)信息安全整體狀況和需求，將信息安全狀況評價作為戰(zhàn)略制定、政策完善、產(chǎn)業(yè)推動的調(diào)控決策依據(jù)，提高信息安全保障工作的實效；為建立電子政務(wù)信息安全年度報告及發(fā)展?fàn)顩r評價報告引用制度奠定基礎(chǔ)，有助于形成一種有效的信息安全監(jiān)管手段；研究獲取數(shù)據(jù)及統(tǒng)計分析的途徑與方法。5研究目的為建立信息安全狀況評估制度提供基礎(chǔ)指導(dǎo)意見及參編制原則全面性原則要求指標(biāo)體系能夠盡可能完整反映信息安全保障各項工作的績效；高效性原則指標(biāo)體系應(yīng)在確保全面的前提下力求簡潔與高效，要求通過盡量少的指標(biāo)項反映出盡可能全面的內(nèi)容，從而提高效率；引導(dǎo)性原則不能片面孤立地強調(diào)信息安全工作，指標(biāo)體系力求主導(dǎo)反映信息安全對電子政務(wù)業(yè)務(wù)的支撐和促進作用，避免單純訴求信息安全目標(biāo)；6編制原則全面性原則要求指標(biāo)體系能夠盡可能完整反編制原則（續(xù)）法律遵從原則指標(biāo)體系構(gòu)架及其各要素應(yīng)盡可能遵從國家、行業(yè)、地方頒布的信息安全法規(guī)、政策與標(biāo)準(zhǔn)。但對于法規(guī)、政策與標(biāo)準(zhǔn)中未涵蓋或未詳細闡明的內(nèi)容要求，對于政策主導(dǎo)性及個性化要求，應(yīng)根據(jù)需要加以補充闡明；穩(wěn)定性原則信息安全指標(biāo)體系及其評價制度是一項較新的工作內(nèi)容，需要隨著實踐不斷探索完善，但應(yīng)保持相對穩(wěn)定，以利于不同年度間評估結(jié)果的比較。7編制原則（續(xù)）法律遵從原則指標(biāo)體系構(gòu)架及其各要一、《北京市電子政務(wù)信息安全指標(biāo)體 系》的研究目的與編制原則二、 對電子政務(wù)信息安全指標(biāo)體系內(nèi)在特 點的幾點認(rèn)識三、 研究設(shè)想8一、《北京市電子政務(wù)信息安全指標(biāo)體 系》的研究目的與編制原則幾點認(rèn)識1、以定性評價為主“指標(biāo)”在現(xiàn)實生活中的應(yīng)用有多種，但一般歸為兩類：一類為定量指標(biāo)，一類為定性指標(biāo)。前者常運用統(tǒng)計學(xué)原理獲得評價結(jié)果，指標(biāo)值往往是不“封頂”的，如GDP等；后者則多用于對比評估，如“國家精品課程評審指標(biāo)體系”、“國家重點實驗室評估綜合指標(biāo)體系”等，指標(biāo)值往往要“封頂”。信息安全特點決定了其指標(biāo)體系不是考察某幾個物理量的客觀發(fā)展結(jié)果，它需要部分量化指標(biāo)的支持卻又不能完全使用統(tǒng)計指標(biāo)直接評價和反映結(jié)果。因而決定了“指標(biāo)”的構(gòu)建與結(jié)果反映需要定性描述這一特質(zhì)，決定了圍繞指標(biāo)體系開展相關(guān)工作的性質(zhì)與特點。9幾點認(rèn)識1、以定性評價為主9幾點認(rèn)識（續(xù)）2、更加關(guān)注過程 信息安全指標(biāo)體系與其它指標(biāo)體系明顯不同。絕大多數(shù)指標(biāo)主要通過事物的階段性成果,借助統(tǒng)計量化指標(biāo)來評價反映現(xiàn)狀，例如國家信息化指標(biāo)體系考察的是國家信息化領(lǐng)域的各項發(fā)展結(jié)果（如基礎(chǔ)設(shè)施規(guī)模、信息產(chǎn)業(yè)規(guī)模等）。但信息安全狀況表象不完全是“可視”的，信息安全工作結(jié)果更多的是通過中間過程或隱性行為來體現(xiàn)，例如，在國家信息化工作中，組織領(lǐng)導(dǎo)、經(jīng)費支持等一般被視為保障條件，但在信息安全工作中，信息安全組織領(lǐng)導(dǎo)、信息安全經(jīng)費投資、信息安全政策法規(guī)、工程過程控制、制度有效落實等這些保障性、過程性工作本身便是信息安全工作的重要內(nèi)容，要在指標(biāo)中反映。這也成為信息安全指標(biāo)體系無法定量的原因之一。10幾點認(rèn)識（續(xù)）2、更加關(guān)注過程10幾點認(rèn)識（續(xù)）3、復(fù)雜的關(guān)聯(lián)性和較強的傳遞性 信息安全指標(biāo)構(gòu)建與運用不僅基于已有的工作基礎(chǔ)，而且具有復(fù)雜的關(guān)聯(lián)性和較強的傳遞性。例如，安全和密碼技術(shù)與IT技術(shù)，技術(shù)措施與管理措施，基礎(chǔ)核心技術(shù)與應(yīng)用技術(shù)及自主可控要求等。因此“指標(biāo)”即要恰當(dāng)梳理各指標(biāo)要素間關(guān)聯(lián)關(guān)系與傳遞因素，又要保持“指標(biāo)”整體性和各要素的緊密銜接，盡量避免不同角度與表述形式造成指標(biāo)體系的多樣性。11幾點認(rèn)識（續(xù)）3、復(fù)雜的關(guān)聯(lián)性和較強的傳遞性11幾點認(rèn)識（續(xù)）4、面向兩個對象評價 兩個對象指的是“一橫”“一縱”。所謂“橫”表示以信息安全主管部門制定構(gòu)建宏觀總體工作情況；所謂“縱”代表若干作為具體業(yè)務(wù)單位的信息化用戶落實運用信息安全工作情況。因此，通過對總體部署及個體落實兩個層面的分別評估來獲得對信息安全狀況的全局評價。12幾點認(rèn)識（續(xù)）4、面向兩個對象評價12幾點認(rèn)識（續(xù)）5、權(quán)衡安全與發(fā)展的關(guān)系

“以安全保發(fā)展，在發(fā)展中求安全”是指標(biāo)體系要注意體現(xiàn)和導(dǎo)向的關(guān)鍵點，指標(biāo)力求從二個方面體現(xiàn)。首先，沒有強調(diào)從采用安全技術(shù)措施角度直接評價，而是側(cè)重對過程的關(guān)注來評價體系，如：建設(shè)立項、實施、驗收等階段的安全工作。而過程中的安全工作多數(shù)情況下是普遍適用于差異性個體的。例如，不論系統(tǒng)等級如何，均需要在單位內(nèi)成立信息安全領(lǐng)導(dǎo)小組，只是不同單位領(lǐng)導(dǎo)小組的具體工作內(nèi)容因地制宜而已；其次，強調(diào)安全、信息系統(tǒng)、業(yè)務(wù)三者的關(guān)聯(lián)性。從“三定”（定職能、定機構(gòu)、定編制）原則所賦予各單位的職責(zé)的角度出發(fā)，將業(yè)務(wù)對信息系統(tǒng)的依賴性及資產(chǎn)價值對安全的要求關(guān)聯(lián)起來加以考察。13幾點認(rèn)識（續(xù)）5、權(quán)衡安全與發(fā)展的關(guān)系幾點認(rèn)識（續(xù)）6、指標(biāo)化評測的局限性與個性化由于信息安全工作形式與特點決定了指標(biāo)化評測本身具有一定局限；由于工作主體與內(nèi)容不同，區(qū)域信息安全工作狀況只部分反映國家信息安全狀況；由于不同區(qū)域經(jīng)濟結(jié)構(gòu)與資源分布不同，其信息化發(fā)展與信息安全工作亦有著鮮明個性和差異性。區(qū)域信息安全保障體系必須突出重點，切忌求大求全，重復(fù)投資，不能完全照搬國家的信息安全保障體系。例如，國家行為的信息安全基礎(chǔ)設(shè)施；國家組織攻關(guān)的基礎(chǔ)技術(shù)；國家重點扶持的核心自主知識產(chǎn)權(quán)研究等。14幾點認(rèn)識（續(xù)）6、指標(biāo)化評測的局限性與個性化14幾點認(rèn)識（續(xù)）7、與信息安全測評、風(fēng)險評估和等級保護的關(guān)系信息安全指標(biāo)體系也是一種評估活動，但意義更寬泛。它不同于信息安全測評、風(fēng)險評估和等級保護。后三者側(cè)重于個體局部的安全建設(shè)，但其工作會成為指標(biāo)體系某些指標(biāo)的具體反映。出發(fā)點是從通過評價調(diào)控策略定位，避免對個體問責(zé)造成信息失真影響政策制定決策準(zhǔn)確性，失去調(diào)控意義15幾點認(rèn)識（續(xù)）7、與信息安全測評、風(fēng)險評估和等級保護的幾點認(rèn)識（續(xù)）8、指標(biāo)體系的運用力求寬泛構(gòu)建信息安全指標(biāo)體系，評價信息安全狀況應(yīng)從全局著眼，出發(fā)點是通過獲取各指標(biāo)要素情況，分析評價整體態(tài)勢，達到宏觀調(diào)控安全方針策略，提高安全保障效力的目標(biāo)。避免一味用來對個體問責(zé)，造成信息采集源頭失真，導(dǎo)致對整個安全態(tài)勢的錯誤判斷，最終影響各項安全政策的制定與正確決策，失去調(diào)控意義16幾點認(rèn)識（續(xù)）8、指標(biāo)體系的運用力求寬泛16NIST800-55《IT系統(tǒng)安全指標(biāo)指南（SecurityMetricsGuideforInformationTechnologySystems）》（2003年7月）1RiskManagement（風(fēng)險管理）2SecurityControls（安全控制）3SystemDevelopmentLifeCycle（系統(tǒng)開發(fā)生命周期）4AuthorizeProcessing(CertificationandAccreditation)（認(rèn)證和認(rèn)可）5SystemSecurityPlan（系統(tǒng)安全計劃）6PersonnelSecurity（人員安全）7PhysicalandEnvironmentalProtection（物理和環(huán)境保護）8Production,Input/OutputControls（流程，輸入/輸出控制）9ContingencyPlanning（應(yīng)急規(guī)劃）10HardwareandSystemsSoftwareMaintenance（硬件和系統(tǒng)軟件維護）11DataIntegrity（數(shù)據(jù)完整性）12Documentation（文檔）13SecurityAwareness,Training,andEducation（安全意識，培訓(xùn)和教育）14IncidentResponseCapability（事件響應(yīng)能力）15IdentificationandAuthentication（標(biāo)識和鑒別）16LogicalAccessControls（邏輯訪問控制）17AuditTrails（審計跟蹤）17NIST800-55《IT系統(tǒng)安全指標(biāo)指南（Securit一、《北京市電子政務(wù)信息安全指標(biāo)體 系》的研究目的與編制原則二、 對電子政務(wù)信息安全指標(biāo)體系內(nèi)在特 點的幾點認(rèn)識三、 研究設(shè)想18一、《北京市電子政務(wù)信息安全指標(biāo)體 系》的研究目的與編制原則研究設(shè)想（1）通過上報、調(diào)查、檢查、搜集等方式研究建 立完善順暢的數(shù)據(jù)采集渠道；

(2)利用信息化手段，研究實現(xiàn)對采集數(shù)據(jù)的 匯 總、存檔、檢索、統(tǒng)計分析等處理；

(3) 研究建立年度信息安全狀況報告制度，定期 發(fā)布信息安全狀況評價報告；

(4) 在建立年度信息安全狀況報告制度基礎(chǔ)上， 研究探索建立信息安全狀況評價引用機制， 使之成為信息安全戰(zhàn)略制定、宏觀調(diào)控、績 效評估、產(chǎn)業(yè)推動等工作的決策依據(jù)。19研究設(shè)想（1）通過上報、調(diào)查、檢查、搜集等方式研究建信息安全年度報告及引用制度的成功范例美國目前正在實施的年度信息安全報告制度已經(jīng)比較成熟。該制度得到了《信息安全管理法案》（FISMA）的支持和保障，并特別向聯(lián)邦各部委下發(fā)了報告表格。表格全面涵蓋了美國在制定年度信息安全報告時需要向各單位了解的內(nèi)容，很具有針對性。每一年度，OMB（管理和預(yù)算辦公室）將各部委的上報信息匯總后編制總報告，提交國會審查，作為國會對政府實施監(jiān)督的重要內(nèi)容。20信息安全年度報告及引用制度的成功范例美國目前正在實施的年度信美國《信息安全管理法案》（FISMA）提出的要求各機構(gòu)的報告——每一個聯(lián)邦機構(gòu)應(yīng)每年一次向OMB主任，眾議院政府改革委員會、科學(xué)委員會，參議院政府事務(wù)委員會、商務(wù)委員會、科學(xué)委員會、運輸委員會，國會內(nèi)有關(guān)的授權(quán)和撥款委員會、總審計長匯報信息安全政策、流程以及實踐措施的充分性和有效性，并匯報是否遵循了相關(guān)條款要求；聯(lián)邦機構(gòu)的報告——在規(guī)定時間前，聯(lián)邦各機構(gòu)的領(lǐng)導(dǎo)應(yīng)每年一次向OMB主任提交信息安全評估結(jié)論；OMB向國會的報告——OMB主任在向國會提交報告時，應(yīng)做出結(jié)論性評估。21美國《信息安全管理法案》（FISMA）提出的要求各機構(gòu)的報告美國2004年FISMA報告封面22美國2004年FISMA報告封面22美國FISMA信息上報模版示例23美國FISMA信息上報模版示例23美國FISMA信息上報模版示例24美國FISMA信息上報模版示例24謝謝!北京信息安全測評(服務(wù))中心地址：北京市海淀區(qū)阜成路16號B座5層郵編：100037電話：010-6876887725謝謝!北京信息安全測評(服務(wù))中心25電子政務(wù)信息安全指標(biāo)體系初探北京信息安全測評(服務(wù))中心孟亞平26電子政務(wù)信息安全指標(biāo)體系初探北京信息安全測評(服務(wù))中心一、 對設(shè)立電子政務(wù)信息安全指標(biāo)體系目 的與編制原則的理解二、 對電子政務(wù)信息安全指標(biāo)體系內(nèi)在特 點的幾點認(rèn)識三、 研究設(shè)想內(nèi)容27一、 對設(shè)立電子政務(wù)信息安全指標(biāo)體系目 的與編制原則的理解一、 對設(shè)立電子政務(wù)信息安全指標(biāo)體系目 的與編制原則的理解二、 對電子政務(wù)信息安全指標(biāo)體系內(nèi)在特 點的幾點認(rèn)識三、 研究設(shè)想28一、 對設(shè)立電子政務(wù)信息安全指標(biāo)體系目 的與編制原則的理解3研究背景黨和國家高度重視信息安全，《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》和全國信息安全保障工作會議對我國的信息安全保障工作做出了整體部署；黨的十六屆四中全會進一步提出了確保國家政治安全、經(jīng)濟安全、文化安全和信息安全的要求；信息安全保障已經(jīng)成為各級政府的一項重要工作。北京市基于全面掌控電子政務(wù)信息安全整體狀況，為“十一五”期間充分構(gòu)建北京市區(qū)域信息安全保障體系提供宏觀調(diào)控及決策依據(jù)的需要，適時開展了《北京市電子政務(wù)信息安全指標(biāo)體系》的研究工作。29研究背景黨和國家高度重視信息安全，《國家信息化領(lǐng)導(dǎo)小組研究目的為建立信息安全狀況評估制度提供基礎(chǔ)指導(dǎo)意見及參照標(biāo)準(zhǔn)，規(guī)范并保證信息安全狀況評價的一致性、可比性與真實性；全面掌握電子政務(wù)信息安全整體狀況和需求，將信息安全狀況評價作為戰(zhàn)略制定、政策完善、產(chǎn)業(yè)推動的調(diào)控決策依據(jù)，提高信息安全保障工作的實效；為建立電子政務(wù)信息安全年度報告及發(fā)展?fàn)顩r評價報告引用制度奠定基礎(chǔ)，有助于形成一種有效的信息安全監(jiān)管手段；研究獲取數(shù)據(jù)及統(tǒng)計分析的途徑與方法。30研究目的為建立信息安全狀況評估制度提供基礎(chǔ)指導(dǎo)意見及參編制原則全面性原則要求指標(biāo)體系能夠盡可能完整反映信息安全保障各項工作的績效；高效性原則指標(biāo)體系應(yīng)在確保全面的前提下力求簡潔與高效，要求通過盡量少的指標(biāo)項反映出盡可能全面的內(nèi)容，從而提高效率；引導(dǎo)性原則不能片面孤立地強調(diào)信息安全工作，指標(biāo)體系力求主導(dǎo)反映信息安全對電子政務(wù)業(yè)務(wù)的支撐和促進作用，避免單純訴求信息安全目標(biāo)；31編制原則全面性原則要求指標(biāo)體系能夠盡可能完整反編制原則（續(xù)）法律遵從原則指標(biāo)體系構(gòu)架及其各要素應(yīng)盡可能遵從國家、行業(yè)、地方頒布的信息安全法規(guī)、政策與標(biāo)準(zhǔn)。但對于法規(guī)、政策與標(biāo)準(zhǔn)中未涵蓋或未詳細闡明的內(nèi)容要求，對于政策主導(dǎo)性及個性化要求，應(yīng)根據(jù)需要加以補充闡明；穩(wěn)定性原則信息安全指標(biāo)體系及其評價制度是一項較新的工作內(nèi)容，需要隨著實踐不斷探索完善，但應(yīng)保持相對穩(wěn)定，以利于不同年度間評估結(jié)果的比較。32編制原則（續(xù)）法律遵從原則指標(biāo)體系構(gòu)架及其各要一、《北京市電子政務(wù)信息安全指標(biāo)體 系》的研究目的與編制原則二、 對電子政務(wù)信息安全指標(biāo)體系內(nèi)在特 點的幾點認(rèn)識三、 研究設(shè)想33一、《北京市電子政務(wù)信息安全指標(biāo)體 系》的研究目的與編制原則幾點認(rèn)識1、以定性評價為主“指標(biāo)”在現(xiàn)實生活中的應(yīng)用有多種，但一般歸為兩類：一類為定量指標(biāo)，一類為定性指標(biāo)。前者常運用統(tǒng)計學(xué)原理獲得評價結(jié)果，指標(biāo)值往往是不“封頂”的，如GDP等；后者則多用于對比評估，如“國家精品課程評審指標(biāo)體系”、“國家重點實驗室評估綜合指標(biāo)體系”等，指標(biāo)值往往要“封頂”。信息安全特點決定了其指標(biāo)體系不是考察某幾個物理量的客觀發(fā)展結(jié)果，它需要部分量化指標(biāo)的支持卻又不能完全使用統(tǒng)計指標(biāo)直接評價和反映結(jié)果。因而決定了“指標(biāo)”的構(gòu)建與結(jié)果反映需要定性描述這一特質(zhì)，決定了圍繞指標(biāo)體系開展相關(guān)工作的性質(zhì)與特點。34幾點認(rèn)識1、以定性評價為主9幾點認(rèn)識（續(xù)）2、更加關(guān)注過程 信息安全指標(biāo)體系與其它指標(biāo)體系明顯不同。絕大多數(shù)指標(biāo)主要通過事物的階段性成果,借助統(tǒng)計量化指標(biāo)來評價反映現(xiàn)狀，例如國家信息化指標(biāo)體系考察的是國家信息化領(lǐng)域的各項發(fā)展結(jié)果（如基礎(chǔ)設(shè)施規(guī)模、信息產(chǎn)業(yè)規(guī)模等）。但信息安全狀況表象不完全是“可視”的，信息安全工作結(jié)果更多的是通過中間過程或隱性行為來體現(xiàn)，例如，在國家信息化工作中，組織領(lǐng)導(dǎo)、經(jīng)費支持等一般被視為保障條件，但在信息安全工作中，信息安全組織領(lǐng)導(dǎo)、信息安全經(jīng)費投資、信息安全政策法規(guī)、工程過程控制、制度有效落實等這些保障性、過程性工作本身便是信息安全工作的重要內(nèi)容，要在指標(biāo)中反映。這也成為信息安全指標(biāo)體系無法定量的原因之一。35幾點認(rèn)識（續(xù)）2、更加關(guān)注過程10幾點認(rèn)識（續(xù)）3、復(fù)雜的關(guān)聯(lián)性和較強的傳遞性 信息安全指標(biāo)構(gòu)建與運用不僅基于已有的工作基礎(chǔ)，而且具有復(fù)雜的關(guān)聯(lián)性和較強的傳遞性。例如，安全和密碼技術(shù)與IT技術(shù)，技術(shù)措施與管理措施，基礎(chǔ)核心技術(shù)與應(yīng)用技術(shù)及自主可控要求等。因此“指標(biāo)”即要恰當(dāng)梳理各指標(biāo)要素間關(guān)聯(lián)關(guān)系與傳遞因素，又要保持“指標(biāo)”整體性和各要素的緊密銜接，盡量避免不同角度與表述形式造成指標(biāo)體系的多樣性。36幾點認(rèn)識（續(xù)）3、復(fù)雜的關(guān)聯(lián)性和較強的傳遞性11幾點認(rèn)識（續(xù)）4、面向兩個對象評價 兩個對象指的是“一橫”“一縱”。所謂“橫”表示以信息安全主管部門制定構(gòu)建宏觀總體工作情況；所謂“縱”代表若干作為具體業(yè)務(wù)單位的信息化用戶落實運用信息安全工作情況。因此，通過對總體部署及個體落實兩個層面的分別評估來獲得對信息安全狀況的全局評價。37幾點認(rèn)識（續(xù)）4、面向兩個對象評價12幾點認(rèn)識（續(xù)）5、權(quán)衡安全與發(fā)展的關(guān)系

“以安全保發(fā)展，在發(fā)展中求安全”是指標(biāo)體系要注意體現(xiàn)和導(dǎo)向的關(guān)鍵點，指標(biāo)力求從二個方面體現(xiàn)。首先，沒有強調(diào)從采用安全技術(shù)措施角度直接評價，而是側(cè)重對過程的關(guān)注來評價體系，如：建設(shè)立項、實施、驗收等階段的安全工作。而過程中的安全工作多數(shù)情況下是普遍適用于差異性個體的。例如，不論系統(tǒng)等級如何，均需要在單位內(nèi)成立信息安全領(lǐng)導(dǎo)小組，只是不同單位領(lǐng)導(dǎo)小組的具體工作內(nèi)容因地制宜而已；其次，強調(diào)安全、信息系統(tǒng)、業(yè)務(wù)三者的關(guān)聯(lián)性。從“三定”（定職能、定機構(gòu)、定編制）原則所賦予各單位的職責(zé)的角度出發(fā)，將業(yè)務(wù)對信息系統(tǒng)的依賴性及資產(chǎn)價值對安全的要求關(guān)聯(lián)起來加以考察。38幾點認(rèn)識（續(xù)）5、權(quán)衡安全與發(fā)展的關(guān)系幾點認(rèn)識（續(xù)）6、指標(biāo)化評測的局限性與個性化由于信息安全工作形式與特點決定了指標(biāo)化評測本身具有一定局限；由于工作主體與內(nèi)容不同，區(qū)域信息安全工作狀況只部分反映國家信息安全狀況；由于不同區(qū)域經(jīng)濟結(jié)構(gòu)與資源分布不同，其信息化發(fā)展與信息安全工作亦有著鮮明個性和差異性。區(qū)域信息安全保障體系必須突出重點，切忌求大求全，重復(fù)投資，不能完全照搬國家的信息安全保障體系。例如，國家行為的信息安全基礎(chǔ)設(shè)施；國家組織攻關(guān)的基礎(chǔ)技術(shù)；國家重點扶持的核心自主知識產(chǎn)權(quán)研究等。39幾點認(rèn)識（續(xù)）6、指標(biāo)化評測的局限性與個性化14幾點認(rèn)識（續(xù)）7、與信息安全測評、風(fēng)險評估和等級保護的關(guān)系信息安全指標(biāo)體系也是一種評估活動，但意義更寬泛。它不同于信息安全測評、風(fēng)險評估和等級保護。后三者側(cè)重于個體局部的安全建設(shè)，但其工作會成為指標(biāo)體系某些指標(biāo)的具體反映。出發(fā)點是從通過評價調(diào)控策略定位，避免對個體問責(zé)造成信息失真影響政策制定決策準(zhǔn)確性，失去調(diào)控意義40幾點認(rèn)識（續(xù)）7、與信息安全測評、風(fēng)險評估和等級保護的幾點認(rèn)識（續(xù)）8、指標(biāo)體系的運用力求寬泛構(gòu)建信息安全指標(biāo)體系，評價信息安全狀況應(yīng)從全局著眼，出發(fā)點是通過獲取各指標(biāo)要素情況，分析評價整體態(tài)勢，達到宏觀調(diào)控安全方針策略，提高安全保障效力的目標(biāo)。避免一味用來對個體問責(zé)，造成信息采集源頭失真，導(dǎo)致對整個安全態(tài)勢的錯誤判斷，最終影響各項安全政策的制定與正確決策，失去調(diào)控意義41幾點認(rèn)識（續(xù)）8、指標(biāo)體系的運用力求寬泛16NIST800-55《IT系統(tǒng)安全指標(biāo)指南（SecurityMetricsGuideforInformationTechnologySystems）》（2003年7月）1RiskManagement（風(fēng)險管理）2SecurityControls（安全控制）3SystemDevelopmentLifeCycle（系統(tǒng)開發(fā)生命周期）4AuthorizeProcessing(CertificationandAccreditation)（認(rèn)證和認(rèn)可）5SystemSecurityPlan（系統(tǒng)安全計劃）6PersonnelSecurity（人員安全）7PhysicalandEnvironmentalProtection（物理和環(huán)境保護）8Production,Input/OutputControls（流程，輸入/輸出控制）9ContingencyPlanning（應(yīng)急規(guī)劃）10HardwareandSystemsSoftwareMaintenance（硬件和系統(tǒng)軟件維護）11DataIntegrity（數(shù)據(jù)完整性）12Documentation（文檔）13SecurityAwareness,Training,andEducation（安全意識，培訓(xùn)和教育）14IncidentResponseCapability（事件響應(yīng)能力）15IdentificationandAuthentication（標(biāo)識和鑒別）16LogicalAccessControls（邏輯訪問控制）17AuditTrails（審計跟蹤）42NIST800-55《IT系統(tǒng)安全指標(biāo)指南（Securit一、《北京市電子政務(wù)信息安全指標(biāo)體 系》的研究目的與編制原則二、 對電子政務(wù)信