《信息安全保障指标体系及评价方法 第3部分 实施指南》编制说明

1.工作简况

1.1.任务来源

根据国家标准化管理委员会2009年下达的国家标准制修订计划，国家标准

《信息安全技术信息安全保障指标体系及评价方法》由国家信息中心负责主办，

标准计划号为20090323-T-469。

为回答“中办27号[2003]文件”《国家信息化领导小组关于加强信息安全

保障工作的意见》提出的各项任务的建设情况，包括所建设的信息安全保障体系

处于什么水平，是否达到了预期的目标，基础信息网络和重要信息系统的综合保

障态势等内容。原国务院信息办、国家信息化专家委提出开展“信息安全保障评

价指标体系”研究的构想。2005年7月，原国务院信息办、国家信息化专家咨

询委员会成立了“信息安全保障评价指标体系研究”课题组，开始着手对这一问

题开展研究。总体组设在国家信息中心，另设有广电、电信、移动、电力、金融、

互联网、涉密信息系统、电子政务门户网站等八个子课题组。2009年，项目在

全国信息安全标准化委员会立项编制成国家标准。2011年，标准研制工作得到

了国家发改委信息安全专项《国家信息安全保障评价指标标准体系建设项目》的

支持。

1.2.编制目的

本标准主要解决国家信息安全保障工作的评价问题。

1.3.主要工作过程

1、2005年6月-2008年2月，国家信息化专家咨询委员会对“信息安全保

障评价指标体系”进行立项研究，开始信息安全保障评价指标体系的研究和标准

的建设工作。在前期研究过程中，项目组研究人员团结协作，为标准体系建设奠

定了坚实的基础：

1为基础信息网络和重要信息系统评价提出了一个理论框架，各系统在此

框架下展开具体指标的设计工作；

2给出了国家宏观指标的设计方案；

3各系统根据自身特点，在统一框架下初步完成各自的指标设计，完成了

前期研究报告，并且开展了试点测试；

4开始了标准编制工作，如广电、电信等系统已有自己的行业标准，并将

其在行业内广泛运用，取得了良好的效果；

1

2、2008年3月-2009年2月，项目组立足于我国国情，充分调研了国际信息安

全保障工作动态，完成的前期研究为项目的进一步开展奠定了基础，并被立项列

为国家“十一五”信息安全标准化与编制项目。

1完成了总体研究报告和八个子课题研究报告：

“信息安全保障评价指标体系”总体研究报告

“国家基础网络（广播电视）信息安全保障评价指标体系”及其研究报告

“国家基础网络（移动通信）信息安全保障评价指标体系”及其研究报告

“国家基础网络（固网）信息安全保障评价指标体系”及其研究报告

“国家基础网络（互联网）信息安全保障评价指标体系”及其研究报告

“国家重要信息系统（金融）信息安全保障评价指标体系”及其研究报告

“国家重要信息系统（电力）信息安全保障评价指标体系”及其研究报告

“涉密信息系统信息安全保障评价指标体系”及其研究报告

“电子政务门户网站信息安全保障评价指标体系”及其研究报告

2国家宏观评价指标的集成

对分系统子课题及专题组的信息安全保障评价指标体系的研究结果进行综

合，确定信息安全保障评价指标体系逻辑框架和构成及各表现要素的相互关系。

形成了我国信息安全保障评价指标体系总体研究报告。

3形成课题研究的基础理论体系

课题研究以中办发[2003]27号等重要文件为基础，重点解决了以下理论问

题：明确了战略、管理和技术的三要素指标体系。课题以战略、管理和技术作为

构建信息安全保障评价指标体系的三个基本要素，并把处理元素间的内在关联作

为研究指标体系的基础。结合我国信息化和信息安全政策，确立了信息安全保障

评价指标体系。

4完成了标准草案的预编工作。

3、2010年10月-2011年2月，项目组在编制预编稿的基础上，形成了《信息

安全技术信息安全保障指标体系及评价方法：第3部分实施指南》草案初稿。

4、2011年4月-2012年2月，项目组借助国家发改委信息安全专项的契机，对

标准草案提出的相关指标在电信系统、广电系统和江苏省进行了试点测试工作，

进一步检验了指标体系的可操作性和适用性。

5、2011年7月-2013年5月，项目组在国家信息中心、中国信息安全测评中心、

2

北京大学、中国职工之家等地就标准草案共进行了18次规模不等的专家意见征

求，并根据专家提出的意见和建议进行了认真讨论，逐步完善了标准草案。

6、2012年3月-2013年4月，设计开发了配套的评价软件系统，为数据采集和

专家评价工作提供了技术支撑。期间，召开了多次专家会，进一步完善了标准内

容。

7、2013年5月，全国信息安全标准委秘书处组织专家对标准草案进行了评审，

专家组认为，研究提出的指标体系对服务于国家信息安全宏观决策具有重要的参

考价值。会后，根据专家提出的意见进行修改（参见标准征求意见稿意见汇总处

理表），于5月24日形成并提交《信息安全技术信息安全保障指标体系及评价方

法：第3部分实施指南》征求意见稿。

8、2013年6月4日－6月30日，送7个部门（安标委副主任单位）征求意见，

并面向社会在安标委TC260网站上对标准征求意见稿征求意见。

9、2013年7月18日，收到1个部门的反馈，根据国家保密局提出的具体反馈

意见进行修改（参见标准征求意见稿意见汇总处理表），形成了《信息安全技术信

息安全保障指标体系及评价方法：第3部分实施指南》标准送审稿。

1.4.承担单位

起草单位：国家信息中心

协作单位：国家信息中心、国家新闻出版广电总局监管中心、中国电信集团、

中国移动通信集团、中国信息安全测评中心、大连理工大学、中国民航大学、江

苏省信息中心、中国电力科学研究院等。

主要起草人：何德全王长胜吕欣王宪磊郭艳卿杨月圆吕汉

阳…等。

2.编制原则和主要内容

2.1.编制原则

为保证所建立的“信息安全保障指标体系及评价方法”有一个客观、统一的

基础，在评价指标体系的设计及指标的选取过程中，本课题主要遵循以下设计原

则：

1、综合性原则

国家信息安全保障综合评价指标标准体系建设是通过从整体和全局上把握

我国信息安全保障体系的建设效果、运行状况和整体态势，形成多维的、动态的、

3

综合的国家信息安全保障评价标准体系。因此，标准设计的首要原则是综合性。

2、科学适用性原则

国家信息安全保障评价指标体系必须是在符合我国国情、充分认识国家信息

安全保障体系的科学基础之上建立的。按照国家信息安全保障体系总目标的设计

原则，把信息安全各构成要素作为一个有机整体来考虑。指标体系必须符合理论

上的完备性、科学性和正确性，即指标概念必须具有明确完整的科学内涵。

适用性原则，就是指标体系应该能够在时空上覆盖我国信息安全保障评价的

各个层面，满足系统在完整性和全面性方面的客观要求。尤其是必须考虑由于经

济、地区等原因造成的各机构间发展状况的差异，尽量做到不对基础数据的收集

工作造成困扰。这一原则的关键在于，最精简的指标体系全面反映国家信息安全

保障的整体水平。

3、导向性原则

评价的目的不是单纯评出名次及优劣的程度，更重要的是引导和鼓励被评价

对象向正确的方向和目标发展，要引导我国信息安全的健康发展。

4、可操作性强原则

可操作性强直接关系到指标体系的落实与实施，包括数据的易获取性（具有

一定的现实统计基础，所选的指标变量必须在现实生活中是可以测量得到的或可

通过科学方法聚合生成的）、可靠性（通过规范数据的来源、标准等保证数据的

可靠与可信）、易处理性（数据便于统计分析处理）以及结果的可用性（便于实

际操作，能够服务于我国涉密信息系统安全评价的）等方面。

5、定性定量结合原则

在众多指标中，有些因素是反映最终效果的定性指标，有些是能够通过项目

运行过程得到实际数据的定量指标。对于评价最终效果而言，指标体系中这两方

面的因素都不可或缺。但为了使指标体系具有高度的操作性，必须在选取定性指

标时，舍弃部分与实施效果关系不大的非关键因素，并且尽量将关键的定性指标

融合到对权重分配的影响中去。该指标设计的定性定量结合原则就是将定性分析

反映在权重上，定量分析反映在指标数据上。

6、可比性原则

可比性是衡量国家信息安全保障评价体系的实际效果的客观标准，是方案权

威性的重要标志。国家信息安全保障评价指标应该既可以横向对比不同机构信息

4

安全保障水平的差异、又能够纵向反映国家及各地区信息安全保障的历史进程和

发展趋势。这一原则主要体现在对各级指标的定义、量化和加权等方面。

2.2.主要内容

本标准给出了信息安全保障评价的工作流程、方法工具和具体实施要求。本

标准主要用于：辅助政府管理层的信息安全态势判断和宏观决策；支撑各基础信

息网络和重要信息系统运营单位及管理部门的信息安全管理工作；规范评价机构

和评价人员使用该标准开展的相关评价活动。

本标准主要框架如下：

前言

引言

1范围

2规范性引用文件

3术语和定义

4概述

4.1信息安全保障评价的目的和作用

4.2评价活动执行主体

4.3可能遇到问题和风险

4.4评价活动实施过程

5评价准备

5.1评价准备活动的工作流程

5.2评价准备活动的主要任务

5.3评价准备活动的文档

5.4评价准备活动的角色和责任

6方案编制

6.1方案编制活动的工作流程

6.2方案编制活动的主要任务

6.3方案编制活动的文档

6.4方案编制活动的角色和责任

7调研与测试

7.1调研与测试活动的工作流程

5

7.2调研与测试活动的主要任务

7.3调研与测试活动的文档

7.4调研与测试活动的角色和责任

8结果分析

8.1结果分析活动的工作流程

8.2结果分析活动的主要任务

8.3结果分析活动文档

8.4结果分析活动的角色与责任

9报告编制

9.1报告编制活动的工作流程

9.2报告编制活动的主要任务

9.3报告编制活动的文档

9.4报告编制活动的角色与责任

附录A（规范性附录）信息安全保障评价工作要求

附录B（资料性附录）数据采集方法

附录C（资料性附录）数据标准化方法

附录D（资料性附录）指标权重分配方法

附录E（规范性附录）指数合成方法

参考文献

本标准主要贡献如下：

1、明确了评价活动的实施主体和评价实施过程中涉及到的各类评价队伍。

2、指出了评价活动实施过程中可能遇到的问题和风险，包括影响系统运行

的风险、信息泄露的风险以及对评价结果的争议，指出应在评价活动开展前对评

价对象的责任方进行必要的告知。

3、确定了信息安全保障评价活动实施的主要流程，包括评价准备、方案编

制、调研与测试、结果分析、报告编制等，并详细给出了各流程阶段的主要任务。

4、明确了各阶段中评价活动实施主体的角色和责任。

5、列出了各阶段所需的文档及工具清单。

6、在附录中给出了信息安全保障评价工作要求、数据采集方法、数据标准

化方法、指标权重分配方法和指数合成方法。

6

3.其他事项说明

a.在指标实施方面，项目组开发了信息安全保障评价软件系统，根据对安

全性的要求可支持通过互联网或专网上数据信