关基单位网络安全能力评价指标体系研究

2016年12月，我国国家互联网信息办公室发布《国家网络空间安全战略》，指出网络空间安全（以下简称网络安全）事关人类共同利益，事关世界和平与发展，事关各国国家安全。2017年6月，第一部全规范网络安全管理的基础性法律《中华人民共和国网络安全法》（以下简称《网络安全法》）正式施行，成为我国网络空间法治化建设的重要里程碑。近年来，我国加快推进网络安全领域顶层设计，深入贯彻落实《网络安全法》，相继颁布了《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》（以下简称《关保条例》）、《密码法》等一系列法律法规，出台了《网络安全审查办法》、GB/T22239—2019《信息安全技术网络安全等级保护基本要求》（以下简称《等保要求》）、《云计算服务安全评估办法》《国家网络安全事件应急预案》《数据出境安全评估办法》、GB/T39204—2022《信息安全技术关键信息基础设施安全保护要求》（以下简称《关保要求》）等政策文件和国家标准，建立了关键信息础设施安全保护、网络安全审查、云计算服务安全评估、数据安全管理、个人信息保护、网络安全事件应急预案等重要制度。关键信息基础设施是国家经济社会稳定运行的重要基础，是国家网络安全保护的核心。上述政策法规、标准体系为关键信息基础设施运营单位（以下简称关基单位）提供了网络安全建设指导性原则和合规性要求。例如，《关保条例》立足国家层面，基于业务和攻防视角，在识别认定、安全防护、检测评估、监测预警、主动防御和事件处置的整体安全框架下，规定了监管部门、行业主管部门和关基单位的责任义务。《等保要求》从系统视角出发，为信息系统和基础网络建立了技术和管理体系化的安全检测、防护机制等实施指南。《关保要求》从分析识别、安全防护、检测评估、监测预警、主动防御、事件处置6个方面对关键信息基础设施的安全保护提出了明确的技术和管理要求。上述条例、指南和标准，侧重对网络安全技术应用落实进行检测和评估，对网络安全制度建设执行的评估则较少涉及。相关文献也多聚焦于重要行业或具体信息系统的网络安全技术评价，如互联网产业安全评价、电力信息安全评价、石油石化系统信息安全态势评估、关键信息基础设施保护水平评价、重要信息系统信息安全保障能力评价、单位级网络安全评价指标体系研究、关键信息基础设施ICT供应链安全风险评估指标体系研究等。对于关基单位、行业主管或监管部门而言，只有具体的信息系统或网络安全技术评估还不够。为进一步夯实网络安全责任，筑牢网络安全防线，需要科学性和可操作性兼备的综合评价体系，从系统和全局视角对关基单位网络安全技术应用与制度建设执行进行综合测评，即针对关基单位的网络安全能力进行精细化评定和综合测度。综上，在我国网络安全政策法规和相关国家标准框架下，本文首先对关基单位网络安全能力概念进行界定，然后对其综合评价指标体系和评价方法进行探究。预期创新点为：突破以往合规式网络安全检测评估，以关键信息基础设施网络安全法律法规和国家标准为基础，从网络安全技术应用和制度建设执行两方面，构建关基单位网络安全能力综合评价指标体系，从而为关基单位网络安全能力自查与优化提升，为行业主管或监管部门监督管理，提供科学量化的评价分析工具。1网络安全能力概念《网络安全法》提出了我国网络安全法治的基本框架，对关键信息基础设施安全保护的基本要求、职责分工、履行义务和采取措施等方面做了基本法层面的总体制度安排。《关保条例》在此基础上，对于关键信息基础设施安全保护相关的一系列制度要素做了具体规定，坚持“谁运营、谁负责”原则，强化和落实关键信息基础设施运营者主体责任，压实了关基单位在网络安全保护工作中的重要职责；要求关基单位依照《关保条例》和有关法律、行政法规以及国家标准的强制性要求，在网络安全等级保护的基础上，采取技术保护措施和其他必要措施，应对网络安全事件，防范络攻击和违法犯罪活动，保障关键信息基础设施安全稳定运行，维护数据的完整性、保密性和可用性。在《网络安全法》和《关保条例》基础上，陆续颁布的《数据安全法》《个人信息保护法》《密码法》和《等保要求》《关保要求》等，进一步规定了关基单位网络安全保护工作中应依法履行的主体责任和合规义务，为落实网络安全保护责任提供了有力的法制保障。上述网络安全相关法律法规中所规定的关基单位应履行的主体责任和合规义务落实与执行后即内化为关基单位的网络安全能力；进一步，从网络安全技术应用与制度建设执行两个层面，可将其细分归纳为网络安全“技术体系、基础保障、主动防御与应急、规范运营、培训教育、技术创新”6个方面的能力。2指标体系以上述法律法规、国家标准和关基单位网络安全能力概念为基础，提出包含网络安全“技术体系能力”“基础保障能力”“主动防御与应急能力”“规范运营能力”“培训教育能力”“技术创新能力”6个一级指标，26个二级指标和58个三级指标的关基单位网络安全能力综合评价指标体系，如表1所示。表1关基单位网络安全能力综合评价指标体系续表2.1网络安全技术体系能力依据《网络安全法》第二十一条和第三十一条，网络安全技术体系能力是指关基单位在重要网络设施和信息系统建设中，遵循《等保要求》《信息系统密码应用测评要求》《关保要求》等要求，部署使用网络安全产品与技术方案等所形成的网络安全技术体系。该指标下设“网络安全等级保护综合评估、商用密码应用安全性综合评估”两个二级指标。2.1.1网络安全等级保护综合评估关基单位可拥有多个不同等级的信息系统，综合测度关基单位网络安全等级保护情况。《等保要求》根据信息系统受到破坏后对国家和个人信息安全的损害程度，将信息系统分为五级，信息系统保护等级越高，对网络安全影响越大。该三级指标得分需收集专业机构给出的各系统可信等保测评得分，然后以等级为权重加权平均。2.1.2商用密码应用安全性综合评估依据《密码法》第二十七条，为综合测度关基单位的商用密码应用安全性情况，下设“商用密码应用安全性综合得分”一个三级指标。该指标评分需收集专业机构给出的关基单位内各系统网络安全等级及其商用密码应用安全性测评得分，然后以等级为权重加权平均。2.2网络安全基础保障能力网络安全基础保障能力是指关基单位为减少网络安全事件、达到网络安全标准、确保网络安全状况，在其日常生产、经营、管理活动中建立的网络安全制度和相应的人财物等资源投入。该指标下设“三同步原则、网络安全保护制度、网络安全责任制度、人财物资源支持”4个二级指标。2.2.1三同步原则依据《网络安全法》第三十三条、《关保条例》第十二条，该指标下设“同步规划落实、同步建设落实、同步使用落实”3个三级指标。一是同步规划落实，是指关基单位在关键信息基础设施与信息系统规划阶段是否同步引入安全保护措施。二是同步建设落实，是指关基单位在关键信息基础设施与信息系统建设阶段是否同步建设网络安全保护措施。三是同步使用落实，是指关基单位在关键信息基础设施与信息系统建成验收后的日常运营维护中，是否保持系统处于持续安全防护水平。上述指标打分需提交证明材料，由评审专家进行审核，若通过则得100分，否则得0分。2.2.2网络安全保护制度依据《网络安全法》第二十一条，《网络安全法》第四十条、四十二条，以及《关保条例》第十五条，该指标下设“网络安全保护制度综合得分”一个三级指标，由评审专家从内容完备性、任务明确性和责任落实性3个方面对关基单位的网络安全保护制度进行综合评分。2.2.3网络安全责任制度依据《网络安全法》第二十一条，《关保条例》第四条、第十三条、第十四条、第十五条，该指标下设“网络安全管理机构设置、网络安全关键岗位认定、网络安全岗位职责分工、网络安全责任人设置、责任人制度、安全背景审查”6个三级指标。一是网络安全管理机构设置，是指关基单位是否设立了专门负责关键信息基础设施保护工作的管理机构。二是网络安全关键岗位认定，是指关基单位是否对网络安全管理核心岗位进行认定。三是网络安全岗位职责分工，是指关基单位中是否有专人承担安全规划、安全策略管理、监测预警、应急响应与处置、基础安全巡查等职责。四是网络安全责任人设置，是指关基单位是否设置了网络安全责任人。五是责任人制度，是指关基单位是否把“主要负责人对关键信息基础设施安全保护负总责”写入本单位网络安全保护制度中，并落实“主要负责人对关键信息基础设施的安全保护、领导组织对重大网络安全事件的处置工作、组织研究解决重大网络安全问题”3大职责。六是安全背景审查，是指关基单位对网络安全管理机构负责人和关键岗位人员是否进行严格的安全背景审查，确保其政治可靠、作风优良和综合能力过硬。上述指标除网络安全岗位职责分工，按照“专人负责、有工作人员兼任、无人负责”3种情况，依次评估岗位分工情况并计算其均值，其他指标均根据“是或否”评分，若为“是”则得100分，“否”则得0分。2.2.4人财物资源支持依据《关保条例》第十三条、第十六条，该指标下设“网络安全资金投入、网络安全人力投入”两个三级指标，均可采用功效系数法评分。一是网络安全资金投入，是指过去3年关基单位用于网络安全设备、服务或技术创新资金投入与其信息系统资金投入之比。二是网络安全人力投入，是指过去3年关基单位负责网络安全工作的人员与从事信息化相关工作人员之比。2.3网络安全主动防御与应急能力网络安全主动防御与应急能力，其中，主动防御能力是指以应对攻击行为的监测发现为基础，主动采取收敛暴露面、捕获、溯源、干扰和阻断等措施，开展攻防演习和威胁情报工作，提升对网络威胁与攻击行为的识别、分析和主动防御的能力；应急能力是指关基单位在发生网络安全突发事件后，为使各项应急指挥调度工作迅速、高效、有序进行，确保关键信息基础设施运行故障快速恢复，保持安全畅通而开展应急预案规划及职责落实的能力。依据《网络安全法》第二十五条、二十六条，《关保条例》第二十五条，以及《关保要求》，该指标下设“攻防演习、威胁情报、应急预案制定、应急演练、网络安全工作考核、网络安全事件处置、网络安全事件报告、网络安全检测与风险评估”8个二级指标。2.3.1攻防演习攻防演习是指近一年内关基单位为应对网络攻击行为，主动采取相关措施开展的攻防演习次数，按照功效系数法进行评分。2.3.2威胁情报威胁情报是指关基单位使用和共享可用于解决威胁或应对网络安全危害的知识，该指标下设“威胁情报使用情况、威胁情报共享情况”两个三级指标。一是威胁情报使用情况，是指关基单位网络安全体系中威胁情况保持更新的频率，可按照更新频率等级进行评分。二是威胁情报共享情况，是指关基单位产生并共享与相关部门的威胁情报条目数，可采用排队计分法评分。2.3.3应急预案制定应急预案制定是指对关基单位网络安全应急预案的综合评价，下设“应急预案综合得分”一个三级指标。该项指标由评审专家依据《国家网络安全事件应急预案》对其完备性和合理性进行综合评分。2.3.4应急演练依据《网络安全法》第三十四条，该指标下设“应急演练参与率”一个三级指标，为近一年参与应急演练的员工与所有正式员工之比，反映关基单位的网络安全意识和应急演练落实程度，可采用排队计分法评分。2.3.5网络安全工作考核依据《关保条例》第十五条，该指标下设“网络安全工作考核次数、网络安全工作考核合格率”两个三级指标，从量和质两方面测度关基单位的网络安全工作考核情况。一是网络安全工作考核次数，是指近一年关基单位组织开展网络安全工作考核的次数，评分采用功效系数法。二是网络安全工作考核合格率，是指近一年关基单位网络安全工作考核合格的员工与所有员工之比。若关基单位未进行网络安全工作考核，则得分为0，若有则采用功效系数法评分。2.3.6网络安全事件处置网络安全事件处置既是关基单位网络安全应急管理的过程，也反映其应急管理成效，因此下设“网络安全事件发生次数、网络安全事件发生增减率”两个三级指标。一是网络安全事件发生次数，是指近一年关基单位网络安全事件发生的次数，可采用排队计分法评分。二是网络安全事件发生增减率，是指近一年网络安全事件发生次数增减量与网络安全事件发生次数之比，可采用功效系数法评分。2.3.7网络安全事件报告依据《网络安全法》第二十五条，《关保条例》第十一条、第十七条、第十八条，该指标下设“网络安全事件报告率”一个三级指标，是指关基单位向监管部门报告的网络安全事件发生次数与按规定应向监管部门报告的网络安全事件发生次数之比，可采用排队计分法评分。2.3.8网络安全检测与风险评估依据《网络安全法》第三十八条、《关保条例》第十七条，关基单位网络安全检测与风险评估工作既要考虑评估次数，又要兼顾评估过程和效果。因此，该指标下设“网络安全检测与风险评估次数、网络安全风险及其危害、网络安全检测与风险评估效果”3个三级指标。一是网络安全检测与风险评估次数，是指近一年关基单位进行网络安全检测、风险评估的次数，大于或等于1则得100分，否则得0分。二是网络安全风险及其危害，是指在安全检测与风险评估过程中，关基单位发现的高、中、低风险问题的数量及其危害性的综合加权评估得分。三是网络安全检测和风险评估效果，反映近一年关基单位对网络安全检测与风险评估中发现问题的整改落实效果，是指已完成整改的网络安全问题与发现的问题总数量之比，可采用排队计分法评分。2.4网络安全规范运营能力网络安全规范运营能力是指关基单位依据网络安全法律法规，在整个生产经营过程中遵守运营原则及相关网络安全行为规范的能力。该指标下设“分析识别、网络安全和信息化决策参与、公众监督、网络产品和服务采购、数据存储本土化与安全评估、运营状态调整、合法合规表现”7个二级指标。2.4.1分析识别依据《关保要求》国家标准，分析识别是关键信息基础设施安全保护的基础，是指围绕关键信息基础设施承载的关键业务，关基单位需要开展业务依赖性识别、关键资产识别、风险识别和重大更新重新识别等活动。据此，该指标下设“业务识别、资产识别、风险识别、重大变更重新识别”4个三级指标，取值均为“是或否”，若为“是”则得100分，“否”则得0分。2.4.2网络安全和信息化决策参与依据《关保条例》第十六条，该指标下设“安全管理机构人员参与网络安全和信息化决策比率”一个三级指标，是指专门安全管理机构人员参与网络安全和信息化的决策次数与网络安全和信息化总决策次数之比，评分可采用排队计分法。2.4.3公共监督依据《网络安全法》第四十九条，该指标下设“网络信息安全投诉举报制度、网络信息安全投诉举报渠道、公共监督效果”3个三级指标。一是网络信息安全投诉举报制度，是指关基单位是否建立了网络信息安全投诉、举报制度，若为“是”则得100分，“否”则得0分。二是网络信息安全投诉举报渠道，将公众监督从制度落实到具体行动，是指关基单位是否有网络信息安全投诉举报渠道，若为“是”则得100分，“否”则得0分。三是公共监督效果，是指近一年关基单位对网络信息安全投诉举报的处理率。若未收到投诉举报则评分为100分，否则按照处理率进行排队计分。2.4.4网络产品和服务采购关基单位在日常经营中通常会涉及网络产品和服务购买行为，《网络安全法》和《关保条例》对此做出了明确规定。如《网络安全法》第二十三条、第三十五条、第三十六条，《关保条例》第十九条、第二十条，据此，该指标下设“网络产品和服务采购安全可信率、网络产品和服务采购国家安全审查率、网络产品和服务采购安全保密协议签署率”3个三级指标。一是网络产品和服务采购安全可信率，是指近一年关基单位采购的有安全资质的网络产品和服务数量与网络产品和服务采购总数量之比。二是网络产品和服务采购的国家安全审查率，是指近一年关基单位采购的网络产品和服务通过国家安全审查的比率。三是网络产品和服务采购的安全保密协议签署率，是指近一年关基单位采购网络产品和服务与提供商签订安全保密协议的比率，上述指标均可采用排队计分法评分。若关基单位在调查年份未进行上述采购，则“网络安全与服务采购”指标不计入，其权重均分于同级指标。2.4.5数据存储本土化与安全评估依据《网络安全法》第三十七条，为了规范数据出境活动，保护个人信息权益，维护国家安全和社会公共利益，促进数据跨境安全、自由流动，根据《网络安全法》《数据安全法》《个人信息保护法》等法律法规，国家出台了《数据出境安全评估办法》，它是专门针对数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的安全评估办法。综上，该指标下设“境内数据本土化存储、向境外提供的国内数据安全评估”两个三级指标。一是境内数据本土化存储，是指近一年关基单位在境内收集的个人信息和重要数据是否在境内存储，若为“是”则得100分，“否”则得0分。二是向境外提供的国内数据安全评估，是指近一年关基单位向境外提供个人信息和重要数据时是否进行了安全评估。若未向境外提供过国内数据，则本指标不参与评分，权重分配于同级指标；若曾向境外提供过国内数据，则进一步审核是否通过安全评估，若通过则得100分，否则得0分。2.4.6运营状态调整依据《关保条例》第二十条，该指标下设“运营状态调整报告、运营状态调整处置”两个三级指标。一是运营状态调整报告，是指近一年关基单位发生合并、分立、解散等情况时，是否及时报告保护工作部门。二是运营状态调整处置，关基单位发生运营状态调整后的关键信息基础设施处置，是指近一年关基单位发生合并、分立、解散等情况时，是否按要求对关键信息基础设施进行处置。若近一年关基单位没有发生过合并、分立、解散等情况，则“运营状态调整”二级指标不参与测评，权重平均分配于同级指标；若运营状态发生过调整，则考察关基单位是否开展相应报告和处置工作，若开展则得100分，否则得0分。2.4.7合法合规表现合法合规表现是指对关基单位运营是否规范的概括，若运营规范，则因网络安全相关问题而受到行业主管部门或监管部门责令改正、罚款的可能性就会较小，因此合法合规表现更好。据此，该指标下设“网络安全问题责令改正次数、网络安全问题被罚次数、网络安全问题被罚金额”3个三级指标，均可采用排队计分法评分。一是网络安全问题责令改正次数，是指近一年关基单位因网络安全问题被行业主管部门或监管部门责令改正的总次数。二是网络安全问题被罚次数，是指近一年关基单位因网络安全问题被罚款的总次数。三是网络安全问题被罚款金额，是指近一年关基单位因网络安全问题被罚的总金额。2.5网络安全培训教育能力网络安全培训教育能力是指关基单位安排自身网络安全技术人员，或通过聘请行业网络安全专家、与专业网络安全培训机构合作等方式，对单位员工定期开展网络安全培训的能力。依据《网络安全法》第三十四条、《关保条例》第十五条，从网络安全培训开展情况和培训效果两方面展开，下设“网络安全培训频率及覆盖范围、网络安全能力认证”两个二级指标。2.5.1网络安全培训频率及覆盖范围信息部门工作人员作为负责处理、运营、管理关基单位网络安全的主体，比起其他部门人员，应当具有更高的网络安全能力和素养，对于关基单位内的非信息部门工作人员，则关注其网络安全意识培训。综上，该指标下设“信息部门员工网络安全教育培训次数、信息部门员工网络安全培训全员参与率、非信息部门员工网络安全教育培训次数、非信息部门员工网络安全培训全员参与率”4个三级指标。一是信息部门员工网络安全教育培训次数，是指近一年关基单位为信息部门员工组织的网络安全教育培训次数。二是信息部门员工网络安全培训全员参与率，是指信息系统工作人员在网络安全培训中全员参与次数与其网络安全总培训次数之比。三是非信息部门员工网络安全教育培训次数，是指近一年关基单位为非信息部门员工组织的网络安全教育培训次数。四是非信息部门员工网络安全培训全员参与率，是指近一年非信息部门员工在网络安全培训中全员参与次数与其网络安全总培训次数之比。上述指标均可采用功效系数法进行评分。2.5.2网络安全能力认证网络安全能力认证是对关基单位组织网络安全培训实施效果的衡量，是关基单位开展网络安全人才培养、促进网络安全人才交流的重要体现。该指标下设“网络安全能力认证率、网络安全能力认证增加率”两个三级指标。一是网络安全能力认证率，是指关基单位从事网络工作的工作人员通过网络安全能力认证的比率，可采用功效系数法评分。二是网络安全能力认证增加率，从动态角度考察关基单位网络安全培训效果，是指最近一年内新增网络安全能力认证人数与上年年底网络安全能力认证人数之比，可采用排队计分法评分。2.6网络安全技术创新能力网络安全技术创新能力，是对关基单位网络安全能力评价的补充要求，可设置为加分项，反映在国家政府鼓励引导下，关基单位在网络安全技术创新、协同合作、行业标准制定参与等方面的能力，下设“网络安全标准参与、网络安全技术创新与应用、网络安全协作”3个三级指标。2.6.1网络安全标准参与依据《网络安全法》第十五条，从广度和深度两个维度，本指标下设“参与制定的国家/行业网络安全标准数量、参与国家/行业网络安全标准制定人员数”两个三级指标，均可采用排队计分法评分。一是参与制定的国家/行业网络安全标准数量，是指近一年关基单位工作人员参与国家/行业网络安全标准制定的数量。二是参与国家/行业网络安全标准制定人员数，是指近一年关基单位参与国家/行业网络安全标准制定的人员数量。2.6.2网络安全技术创新与应用依据《网络安全法》第十八条，该指标下设“网络安全技术创新和应用资金投入、网络安全技术专利申请数量、网络安全技术专利数量、专利成果转化金额”4个三级指标，均可采用排队计分法评分。一是网络安全技术创新和应用资金投入，是指近一年关基单位网络安全技术创新和应用资金投入与网络安全资金投入之比。二是网络安全技术专利申请数量，是指近一年关基单位网络安全技术相关专利的申请数量，该指标从流量维度对关基单位网络安全相关专利成果进行衡量。三是网络安全技术专利数量，是指截至测评年度关基单位所拥有的网络安全技术专利数量，该指标从存量维度对关基单位网络安全相关专利成果进行衡量。四是专利成果转化金额数量，是指关基单位近一年专利成果转化金额总量。2.6.3网络安全协作依据《网络安全法》第二十九条，本指标下设“与高等院校、科研机构联合开展网络安全技术合作研究次数”一个三级指标，可采用排队计分法评分。3计算方法3.1指标评分方法本指标体系中，既有客观评分指标，也有专家审核评估的主观指标，既有正指标、逆指标，也有适度指标。由于涉及多个领域，指标的内涵和计量单位有较大区别，因此可采用排队计分法和功效系数法两种综合评价方法将指标取值转化为可比较得分。排队计分法是先将所有评价单位的单项评价指标值依优劣排队，再根据评价单位指标值的名次计算各单项得分。功效系数法先确定评价指标的满意值和不容许值，以满意值为上限，以不容许值为下限，计算各指标实现满意值的程度。一般而言，指标取值在各测评地区或行业间差异较大，不同地区或行业间不具直接可比性，