信息安全保障指标体系及评价方法第1部分概念和模型
信息技术服务运维质量评价指标体系
0≤X≤1 X越接近1越好
数据类
型 A=计数 B=计数 X=数值
及时解决 率
咨询服务供方对咨 询服务请求的解决 速度。
统计并比较及 X=A/B 时解决的咨询 A=解决时间符合需方要求的服务请求 服务请求的数 数量 量与总的咨询 B=总的咨询服务请求数量 服务请求数量。
0≤X≤1 X越接近1越好
A=计数 B=计数 X=数值
对服务供方建立并 实施保密策略和制 度的情况进行检查
供方咨询服务 的成果是否满 足供需双方确 认的要求 咨询服务过程 记录是否完整
咨询的交付物通过 需方验收的比率
过程留存记录数, 与咨询服务实施计 划中定义的工作内 容项进行比较
公式及数据元计算
X=A/B A=获得需方认可的已实现的咨询服务内容项的数 量 B=咨询协议中约定的咨询服务内容项总数量 X=A/5,A取值从1,2,3,4,5,其中: 1:既未建立计划,也无风险应对机制,实施不到位; 2:未建立计划,但有一定程度的风险应对机制;3: 建立计划和风险应对机制,但实施不到位;4:建立计 划和风险应对机制,实施良好;5:建立计划和风险应 对机制,实施良好,且全员宣贯到位并定期进行演练 X=1-A/B A=特定时间段内供方流失的咨询人员数量 B=特定时间段内供方的咨询人员数量
咨询服务内容 与中约定的咨询服
实 现 的 完 整 程 务数量的比值。
度
评价供方是否 对咨询服务的连续
建立了连续性 性计划及其准备程
计划及其准备 度的建立与实施情
程度
况进行检查
供方为保证咨 询协议得到连 续实施而保持 咨询团队的稳 定性 测评咨询服务 供方是否具备 应对保密问题 的能力
评价特定时间段内 的人员流失率
信息安全国家标准目录
信息安全国家标准目录
(2016版)
全国信息安全标准化技术委员会秘书处
2017年2月
一、基础标准
1
2
3
4
5
6
7
8
9
本标准就信息安全治理的概念和原则提供指南,通过本标准,组织可
以对其范围内的信息安全相关活动进行评价、指导、监视和沟通。
本标准适用于所有类型和规模的组织。
10
11
12
13
信息技术开放系统
互连开放系统安全框
架第1部分:概述
14
信息技术开放系统
互连开放系统安全框
架第2部分:鉴别框架
信息技术开放系统
互连开放系统安全框
架第3部分:访问控制
框架
信息技术开放系统
互连开放系统安全框
架第4部分:抗抵赖框
架
15
信息技术开放系统
互连开放系统安全框
架第5部分:机密性
框架
信息技术开放系统
互连开放系统安全框
架第6部分: 完整性
框架
信息技术开放系统
互连开放系统安全框
架第7部分: 安全审
计和报警框架
16
17
二、技术与机制标准
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
三、管理与服务标准
34
35
36
37
38
39
40
41
四、测评标准
42
43
44
45
46
47
48。
信息安全风险综合评价指标体系构建和评价方法
信息安全风险综合评价指标体系构建和评价方法随着网络技术和信息化建设的快速发展,信息安全风险面临着越来越严峻的挑战。
针对当前信息安全面临的问题,构建信息安全风险综合评价指标体系非常重要。
本文着重探讨了信息安全风险综合评价指标体系的构建及评价方法。
一、引言信息安全是信息化时代面临的最大挑战之一。
信息安全风险评估是保障信息安全的基础,也是保障整个信息系统的基础。
目前,信息安全评价指标体系的构建及评估方法存在不足,需要进一步完善。
因此,针对信息安全风险评估的需要,构建一个全面的信息安全风险综合评价指标体系变得至关重要。
二、信息安全风险综合评价指标体系的构建1、信息安全维度信息安全维度是指信息安全风险评估的基本构成。
主要包括以下三个方面:(1)机密性维度:机密性是指信息只能被授权访问者使用,以保护信息免受未经授权的访问、使用或披露。
(2)完整性维度:完整性是指对信息和信息处理系统的修改、删除未经授权的防范。
(3)可用性维度:可用性是指保证信息和 IT 资源能够在需要时按照需求进行访问。
2、信息安全评估指标的体系(1)评估目标:评估和量化评估对象的各个方面。
(2)评估维度:主要包括安全策略、数据安全、系统安全、应用安全和运营安全等。
(3)评估对象:主要包括系统、网络设备、应用、数据、人员等,进行分级管理。
(4)评估内容:包括评估输入、评估流程、评估输出、评估标准等。
3、信息安全综合评价指标信息安全综合评价指标体系可以综合考虑信息的机密性、完整性、可用性、安全策略等多个方面,在整个信息安全评估过程中起到重要作用。
信息安全综合评价指标包括以下几个方面:(1)安全策略指标:包括安全管理体系、安全、安全意识等。
(2)数据安全指标:包括数据完整性、数据保密性、数据可用性。
(3)系统安全指标:包括系统可靠性、系统完整性、系统可用性、系统性能等。
(4)应用安全指标:包括应用程序安全、应用数据安全、应用功能安全等。
(5)运营安全指标:包括操作管理安全、设备管理安全、网络安全等。
《智慧城市评价模型及基础评价指标体系第1部分总体框架
主管部门
归口单位
起草单位
备注
国家标准化管理委员会
全国信息技术标 准化技术委员会
中国电子技术标准化研究院、北京航空航天大学、 中国信息通信研究院、中城智慧(北京)城市规划 设计研究院有限公司、山东省标准化研究院
国家标准化管理委员会
全国信息技术标 准化技术委员会
中国电子技术标准化研究院、北京航空航天大学、 中国信息通信研究院、中城智慧(北京)城市规划 设计研究院有限公司、山东省标准化研究院
附件
《智慧城市 评价模型及基础评价指标体系 第1部分:总体框架》
序列 计划编号
中文名称
标 准 性
制修 采用国 订 际标准
项目周 期
(月)
1
20152352-T-469
智慧城市 评价模型及基础评价指标体 系 第1部分:总体框架
推荐
制定
无
24
智慧城市 评价模型及基础评价指标体
2 20152353-T-469 系 第2部分:分项评价指标制定总体 推荐 制定 无
推荐 制定
无
12
14
20152343-T-466
智慧城市时空信息基础设施:评价指 标体系
推荐 制定
无
12
15
20152359-T-348
城市公共交通乘客满意度评价方法 第 1部分:总则
推荐
制定
无
24
16
20152358-T-348
城市公共交通乘客满意度评价方法 第 2部分 公共汽电车
推荐
制定
无
24
17
武汉邮电科学研究院、中国联合网络通信集团有限 公司、中国电信集团公司、中国普天信息产业股份 有限公司、中国江苏物联网研究发展中心、江苏省
现行国家信息安全技术标准
Information security technology—Encryption and signature message syntax for electronic document
33
GB/T 31509—2015
信息安全技术信息安全风险评估实施指南
Information security technology—Guide of implementation for information security risk assessment
35
GB/T 31508-2015
信息安全技术公钥基础设施数字证书策略分类分级规范
Information security techniques—Public key infrastructure—Digital certificate policies classification and grading specification
30
GB/T 32213—2015
信息安全技术公钥基础设施远程口令鉴别与密钥建立规范
Information security technology—Public key infrastructure—Specifications for remote password authentication and keyestablishment
信息技术安全技术行业间和组织间通信的信息安全管理
Information technology—Security techniques—Information security management for inter—sector and inter-organizational communications
信息化指标体系及评价方法
信息化指标体系及评价方法
信息化指标体系及评价方法是指在信息化建设过程中,为了能够有效
地衡量信息化建设的效果和水平,而对信息化建设进行评价和监控的
一套指标体系和评价方法。
该体系包括了对信息化建设过程中的各种
指标进行量化、分析和评价,为信息化建设提供了全面的支持和保障。
信息化指标体系主要由三个方面组成:应用层面指标、技术层面指标
和管理层面指标。
应用层面指标主要关注信息化建设的应用效果,包
括应用实施效果、应用效益和用户满意度等。
技术层面指标主要考虑
信息化建设的技术支持,包括技术硬件设施、网络带宽和系统性能等。
管理层面指标则针对信息化建设的整体管理水平,包括管理效率、资
源利用效率和风险控制等。
对于这些指标的评价方法,可以采用主观评价和客观评价两种方式。
主观评价是通过问卷调查、访谈等方式来收集用户的满意度和反馈意见,对于一些难以量化的指标进行评价。
客观评价则是采用数据统计、数据分析等方式,对于指标的量化指标进行评价,如网络带宽、系统
性能等。
此外,为了更加全面、深入地了解信息化建设的状况,还可以采用综
合评价方法。
综合评价方法将主客观评价方法结合起来,综合考虑信
息化建设的各个方面,从而得出科学、客观、全面的评价结论。
这种
评价方法可以更加准确地反映出信息化建设的实际水平和效果,并对
信息化建设进行全方位的监控和管理。
总之,信息化指标体系及评价方法是信息化建设过程中必不可少的一
项工作。
只有通过建立科学、有效的评价机制,才能够更好地衡量信
息化建设成果、发现问题、提高效率,为信息化建设提供更好的支持。
信息安全保障评价指标体系的研究
Re e r h o nd c t rf r I o m ato s u a c aua i n s a c fI ia o o nf r i n A s r n eEv l to
d c t r l h l o i r v h fiin n e ss e t o n o ma i n a s r n e a d ma e t e if r to y t m ia o s wi e p t mp o e t e e f e t a d p ri t n fi f r t s u a c , n k h n o ma i n s se l c o
( 北京 邮 电大 学 网络与 交换技 术 国家 重点实验 室信 息安 全 中心 北 京 1 0 7 ) 0 8 6。
摘 要 信息安全保障与信息系统本 身一样是 一个复杂的 系统 。为 了能够很好反映信 息安全保障 系统 的功效 , 需要
用可量化的参数 作为衡 量指标。从 中国信 息安全保 障的国家战略 、 管理策略 、 工程规 范和技 术措施 方面出发 , 出了 提
WU iu YANG - in Zh— n j Yixa 2
( c o l f lcr nc S h o e to is& I f r t n E gn e ig C vl it nUnv r i f hn , a j 0 3 0 C ia 1 oE n o mai n i e r , ii Av i iest o ia Ti i 3 0 0 , hn ) o n ao y C nn
lc n q em e s r me t. e e a u t t o s a d p o e u e t o b ef e b c swe e g v n i h s p p r Th — e h iu a u e n s Th v l a e me h d n r c d r swi d u l e d a k r ie n t i a e . e i h n
《信息安全技术-WEB应用防火墙安全技术要求与测试评价方法》编制说明
《信息安全技术 WEB应用防火墙安全技术要求与测试评价方法》编制说明1.编制背景1.1 项目背景随着网络与信息技术的发展,尤其是互联网的广泛普及和应用,越来越多的政府、企业组织建立了依赖于网络的业务信息系统,比如电子政务、电子商务、网上银行、网络办公等;互联网企业提供给用户各类WEB应用服务,如提供信息发布、信息搜索、电子购物、网上游戏等业务,提供了极大的便利。
与此同时,信息安全的重要性也在不断提升。
近年来,政府、企业各类组织所面临的WEB应用安全问题越来越复杂,安全威胁正在飞速增长,尤其混合威胁的风险,如黑客攻击、蠕虫病毒、DDoS攻击、SQL注入、跨站脚本、WEB应用安全漏洞利用等,给组织的信息网络和核心业务造成严重的破坏。
能否及时发现并成功阻止网络黑客的入侵和攻击、保证WEB应用系统的安全和正常运行成为政府、企业所面临的一个重要问题。
传统的网络安全设备如安全网关、入侵检测、防病毒、抗DoS攻击设备、各种VPN设备等等,由于针对不同的网络安全问题,很难形成完善的防护网,且这些产品的很多功能又存在着冗余,往往造成处理性能和响应速度的下降。
以上这些都为WEB应用防火墙类产品带来了广泛的应用需求,同时也对WEB应用防火墙类产品的提供者提出了更高的要求。
近年来WEB应用防火墙类产品的数量增长迅速,市场不断扩大。
为了规范WEB应用防火墙的研发和应用,《信息安全技术WEB应用防火墙安全技术要求与测试评价方法》,对国内的WEB应用防火墙提出统一的安全技术要求以及相应的测试评价方法,使得国内的检测机构根据该标准,能够对WEB应用防火墙进行标准化的测试和评价,从而保证测试评价结果的完整性和一致性;同时也可对WEB应用防火墙的开发者提供指导作用。
为此,上海天泰网络技术有限公司、公安部第三研究所、北京神州绿盟科技有限公司、北京中软华泰信息技术有限责任公司向全国信息安全标准化技术委员会(以下简称:安标委)提交了《信息安全技术WEB应用防火墙安全技术要求与测试评价方法》的制订申请。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
国家标准《信息安全保障指标体系及评价方法第1部分概念和模型》(送审稿)编制说明1.工作简况1.1. 任务来源根据国家标准化管理委员会2009年下达的国家标准制修订计划,国家标准《信息安全技术信息安全保障指标体系及评价方法》由国家信息中心负责主办,标准计划号为20090326-T-469。
为回答“中办27号[2003] 文件”《国家信息化领导小组关于加强信息安全保障工作的意见》提出的各项任务的建设情况,包括所建设的信息安全保障体系处于什么水平,是否达到了预期的目标,基础信息网络和重要信息系统的综合保障态势等内容。
原国务院信息办、国家信息化专家委提出开展“信息安全保障评价指标体系”研究的构想。
2005年7月,原国务院信息办、国家信息化专家咨询委员会成立了“信息安全保障评价指标体系研究”课题组,开始着手对这一问题开展研究。
总体组设在国家信息中心,另设有广电、电信、移动、电力、金融、互联网、涉密信息系统、电子政务门户网站等八个子课题组。
2009年,项目在全国信息安全标准化委员会立项编制成国家标准。
2011年,标准研制工作得到了国家发改委信息安全专项《国家信息安全保障评价指标标准体系建设项目》的支持。
1.2. 编制目的本标准主要解决国家信息安全保障工作的评价问题。
1.3. 主要工作过程1、2005年6月-2008年2月,国家信息化专家咨询委员会对“信息安全保障评价指标体系”进行立项研究,开始信息安全保障评价指标体系的研究和标准的建设工作。
在前期研究过程中,项目组研究人员团结协作,为标准体系建设奠定了坚实的基础:①为基础信息网络和重要信息系统评价提出了一个理论框架,各系统在此框架下展开具体指标的设计工作;②给出了国家宏观指标的设计方案;③各系统根据自身特点,在统一框架下初步完成各自的指标设计,完成了前期研究报告,并且开展了试点测试;④开始了标准编制工作,如广电、电信等系统已有自己的行业标准,并将其在行业内广泛运用,取得了良好的效果;2、2008年3月-2009年2月,项目组立足于我国国情,充分调研了国际信息安全保障工作动态,完成的前期研究为项目的进一步开展奠定了基础,并被立项列为国家“十一五”信息安全标准化与编制项目。
①完成了总体研究报告和八个子课题研究报告:“信息安全保障评价指标体系”总体研究报告“国家基础网络(广播电视)信息安全保障评价指标体系”及其研究报告“国家基础网络(移动通信)信息安全保障评价指标体系”及其研究报告“国家基础网络(固网)信息安全保障评价指标体系”及其研究报告“国家基础网络(互联网)信息安全保障评价指标体系”及其研究报告“国家重要信息系统(金融)信息安全保障评价指标体系”及其研究报告“国家重要信息系统(电力)信息安全保障评价指标体系”及其研究报告“涉密信息系统信息安全保障评价指标体系”及其研究报告“电子政务门户网站信息安全保障评价指标体系”及其研究报告②国家宏观评价指标的集成对分系统子课题及专题组的信息安全保障评价指标体系的研究结果进行综合,确定信息安全保障评价指标体系逻辑框架和构成及各表现要素的相互关系。
形成了我国信息安全保障评价指标体系总体研究报告。
③形成课题研究的基础理论体系课题研究以中办发[2003]27号等重要文件为基础,重点解决了以下理论问题:明确了战略、管理和技术的三要素指标体系。
课题以战略、管理和技术作为构建信息安全保障评价指标体系的三个基本要素,并把处理元素间的内在关联作为研究指标体系的基础。
结合我国信息化和信息安全政策,确立了信息安全保障评价指标体系。
④完成了标准草案的预编工作。
3、2009年3月-2011年3月,项目组在编制预编稿的基础上,广泛征求业内专家意见,召开了多次讨论会,形成了《信息安全技术信息安全保障指标体系及评价方法:第1部分概念和模型》草案初稿。
4、2011年4月-2012年2月,项目组借助国家发改委信息安全专项的契机,对标准草案提出的相关指标在电信系统、广电系统和江苏省进行了试点测试工作,进一步检验了指标体系的可操作性和适用性。
5、2011年7月-2013年5月,项目组在国家信息中心、中国信息安全测评中心、北京大学、中国职工之家等地就标准草案共进行了18次规模不等的专家意见征求,并根据专家提出的意见和建议进行了认真讨论,逐步完善了标准草案。
6、2012年3月-2013年4月,设计开发了配套的评价软件系统,为数据采集和专家评价工作提供了技术支撑。
期间,召开了多次专家研讨会,进一步完善了标准草案。
7、2013年5月,全国信息安全标准委秘书处组织专家对标准草案进行了评审,专家组认为,研究提出的指标体系对服务于国家信息安全宏观决策具有重要的参考价值。
会后,根据专家提出的意见进行修改(参见标准征求意见稿意见汇总处理表),于5月24日形成并提交《信息安全技术信息安全保障指标体系及评价方法:第1部分概念和模型》征求意见稿。
8、2013年6月4日-6月30日,送7个部门(安标委副主任单位)征求意见,并面向社会在安标委TC260网站上对标准征求意见稿征求意见。
9、2013年7月18日,收到1个部门的反馈,根据国家保密局提出的具体反馈意见进行修改(参见标准征求意见稿意见汇总处理表),形成了《信息安全技术信息安全保障指标体系及评价方法:第1部分概念和模型》标准送审稿。
1.4. 承担单位起草单位:国家信息中心协作单位:国家信息中心、国家新闻出版广电总局监管中心、中国电信集团、中国移动通信集团、中国信息安全测评中心、大连理工大学、中国民航大学、江苏省信息中心、中国电力科学研究院等。
主要起草人:何德全王长胜吕欣王宪磊郭艳卿杨月圆吕汉阳…等。
2.编制原则和主要内容2.1. 编制原则为保证所建立的“信息安全保障指标体系及评价方法”有一个客观、统一的基础,在评价指标体系的设计及指标的选取过程中,本课题主要遵循以下设计原则:1、综合性原则国家信息安全保障综合评价指标标准体系建设是通过从整体和全局上把握我国信息安全保障体系的建设效果、运行状况和整体态势,形成多维的、动态的、综合的国家信息安全保障评价标准体系。
因此,标准设计的首要原则是综合性。
2、科学适用性原则国家信息安全保障评价指标体系必须是在符合我国国情、充分认识国家信息安全保障体系的科学基础之上建立的。
按照国家信息安全保障体系总目标的设计原则,把信息安全各构成要素作为一个有机整体来考虑。
指标体系必须符合理论上的完备性、科学性和正确性,即指标概念必须具有明确完整的科学内涵。
适用性原则,就是指标体系应该能够在时空上覆盖我国信息安全保障评价的各个层面,满足系统在完整性和全面性方面的客观要求。
尤其是必须考虑由于经济、地区等原因造成的各机构间发展状况的差异,尽量做到不对基础数据的收集工作造成困扰。
这一原则的关键在于,最精简的指标体系全面反映国家信息安全保障的整体水平。
3、导向性原则评价的目的不是单纯评出名次及优劣的程度,更重要的是引导和鼓励被评价对象向正确的方向和目标发展,要引导我国信息安全的健康发展。
4、可操作性强原则可操作性强直接关系到指标体系的落实与实施,包括数据的易获取性(具有一定的现实统计基础,所选的指标变量必须在现实生活中是可以测量得到的或可通过科学方法聚合生成的)、可靠性(通过规范数据的来源、标准等保证数据的可靠与可信)、易处理性(数据便于统计分析处理)以及结果的可用性(便于实际操作,能够服务于我国涉密信息系统安全评价的)等方面。
5、定性定量结合原则在众多指标中,有些因素是反映最终效果的定性指标,有些是能够通过项目运行过程得到实际数据的定量指标。
对于评价最终效果而言,指标体系中这两方面的因素都不可或缺。
但为了使指标体系具有高度的操作性,必须在选取定性指标时,舍弃部分与实施效果关系不大的非关键因素,并且尽量将关键的定性指标融合到对权重分配的影响中去。
该指标设计的定性定量结合原则就是将定性分析反映在权重上,定量分析反映在指标数据上。
6、可比性原则可比性是衡量国家信息安全保障评价体系的实际效果的客观标准,是方案权威性的重要标志。
国家信息安全保障评价指标应该既可以横向对比不同机构信息安全保障水平的差异、又能够纵向反映国家及各地区信息安全保障的历史进程和发展趋势。
这一原则主要体现在对各级指标的定义、量化和加权等方面。
2.2. 主要内容本标准概述了本标准各部分通用的基础性概念,给出了信息安全保障指标体系设计的一般模型和指标框架。
本标准主要用于:辅助政府管理层的信息安全态势判断和宏观决策;支撑各基础信息网络和重要信息系统运营单位及管理部门的信息安全管理工作;规范评价机构和评价人员使用该标准开展的相关评价活动。
本标准主要框架如下:前言引言1 范围2 规范性引用文件3 术语和定义4信息安全保障评价的概念5信息安全保障评价的相关要素6指标框架设计6.1 指标框架6.2 指标框架描述参考文献本标准主要贡献如下:1、明确了标准的目标读者及其可能感兴趣的内容指出标准主要由三个不同但又相互关联的部分组成:第1部分“概念和模型”是标准的概述,定义了信息安全保障评价的一般概念,提出了评价的一般模型,并给出了信息安全保障评价指标的设计框架;第2部分“指标体系”建立了信息安全保障评价指标的层级结构,描述了各评价指标的具体内容;第3部分“实施指南”建立了信息安全保障评价活动的实施流程和操作办法。
2、给出了信息安全保障评价的概念。
信息安全保障评价是基于一定的评价目标,针对特定的评价对象,使用评价指标和评价算法对评价对象进行测算,并结合专家知识对获得的测算结果进行研判后,得出科学评价结果的一系列过程。
3、指出信息安全保障评价围绕三个维度进行信息安全保障评价围绕信息安全保障体系的三个维度进行,即保障措施、保障能力和保障效果其中保障措施是实现信息安全保障正确性的途径,保障能力是从防御过程的视角对保障措施运行有效性的体现,保障效果是从保障对象安全目标实现程度的视角对保障措施运行有效性的体现。
4、列出了信息安全保障评价的相关要素信息安全保障评价的相关要素包括评价目标、评价对象、评价指标、评价算法专家知识和评价结果等。
指出信息安全保障评价目标是评价信息安全保障措施的正确性,以及评价保障能力和保障效果的有效性,以帮助持续改进;信息安全保障评价对象是信息安全保障体系;评价指标是针对评价对象的特点及其信息安全保障要求设计的衡量信息安全保障水平、能力和态势的准则;评价算法是一系列数据处理方法,包括指标数据标准化方法、指标权重分配方法、各级指标综合方法等;专家知识作为保证评价过程科学性的要素,主要参与对评价结果的研判。
5、给出了指标的一般模型信息安全保障评价指标是通过对信息安全保障评价对象的一组关键属性进行度量,得到量化的指标值,形成评价结果,实现信息安全保障评价的目的。