關基單位網絡安全能力評價指標體系研究
摘 要:為定量評價黨政機關、金融、交通、通信、能源等關鍵信息基礎設施單位的網絡安全能力水平,在《網絡安全法》《關鍵信息基礎設施安全保護條例》等法律法規和國家標準框架下,從技術應用與制度建設執行兩個層面,構建了涵蓋網絡安全“技術體系、基礎保障、主動防御與應急、運營規范、培訓教育、技術創新”6 個方面的綜合評價指標體系。該指標體系有助于關鍵信息基礎設施單位網絡安全能力自查與優化提升,提供科學量化的評估與分析工具。
2016 年 12 月,我國國家互聯網信息辦公室發布《國家網絡空間安全戰略》,指出網絡空間安全(以下簡稱網絡安全)事關人類共同利益,事關世界和平與發展,事關各國國家安全 。2017 年 6 月,第一部全規范網絡安全管理的基礎性法律《中華人民共和國網絡安全法》(以下簡稱《網絡安全法》)正式施行,成為我國網絡空間法治化建設的重要里程碑。
近年來,我國加快推進網絡安全領域頂層設計,深入貫徹落實《網絡安全法》,相繼頒布了《數據安全法》《個人信息保護法》《關鍵信息基礎設施安全保護條例》(以下簡稱《關保條例》)、《密碼法》等一系列法律法規,出臺了《網絡安全審查辦法》、GB/T 22239—2019《信息安全技術 網絡安全等級保護基本要求》(以下簡稱《等保要求》)、《云計算服務安全評估辦法》《國家網絡安全事件應急預案》《數據出境安全評估辦法》、GB/T 39204—2022《信息安全技術 關鍵信息基礎設施安全保護要求》(以下簡稱《關保要求》)等政策文件和國家標準,建立了關鍵信息礎設施安全保護、網絡安全審查、云計算服務安全評估、數據安全管理、個人信息保護、網絡安全事件應急預案等重要制度 。
關鍵信息基礎設施是國家經濟社會穩定運行的重要基礎,是國家網絡安全保護的核心。上述政策法規、標準體系為關鍵信息基礎設施運營單位(以下簡稱關基單位)提供了網絡安全建設指導性原則和合規性要求。例如,《關保條例》立足國家層面,基于業務和攻防視角,在識別認定、安全防護、檢測評估、監測預警、主動防御和事件處置的整體安全框架下,規定了監管部門、行業主管部門和關基單位的責任義務。《等保要求》從系統視角出發,為信息系統和基礎網絡建立了技術和管理體系化的安全檢測、防護機制等實施指南 。《關保要求》從分析識別、安全防護、檢測評估、監測預警、主動防御、事件處置 6 個方面對關鍵信息基礎設施的安全保護提出了明確的技術和管理要求 。
上述條例、指南和標準,側重對網絡安全技術應用落實進行檢測和評估,對網絡安全制度建設執行的評估則較少涉及。相關文獻也多聚焦于重要行業或具體信息系統的網絡安全技術評價,如互聯網產業安全評價 、電力信息安全評價、石油石化系統信息安全態勢評估 、關鍵信息基礎設施保護水平評價 、重要信息系統信息安全保障能力評價 、單位級網絡安全評價指標體系研究 、關鍵信息基礎設施 ICT供應鏈安全風險評估指標體系研究等。
對于關基單位、行業主管或監管部門而言,只有具體的信息系統或網絡安全技術評估還不夠。為進一步夯實網絡安全責任,筑牢網絡安全防線,需要科學性和可操作性兼備的綜合評價體系,從系統和全局視角對關基單位網絡安全技術應用與制度建設執行進行綜合測評,即針對關基單位的網絡安全能力進行精細化評定和綜合測度。
綜上,在我國網絡安全政策法規和相關國家標準框架下,本文首先對關基單位網絡安全能力概念進行界定,然后對其綜合評價指標體系和評價方法進行探究。預期創新點為:突破以往合規式網絡安全檢測評估,以關鍵信息基礎設施網絡安全法律法規和國家標準為基礎,從網絡安全技術應用和制度建設執行兩方面,構建關基單位網絡安全能力綜合評價指標體系,從而為關基單位網絡安全能力自查與優化提升,為行業主管或監管部門監督管理,提供科學量化的評價分析工具。
1
網絡安全能力概念
《網絡安全法》提出了我國網絡安全法治的基本框架,對關鍵信息基礎設施安全保護的基本要求、職責分工、履行義務和采取措施等方面做了基本法層面的總體制度安排。《關保條例》在此基礎上,對于關鍵信息基礎設施安全保護相關的一系列制度要素做了具體規定,堅持“誰運營、誰負責”原則,強化和落實關鍵信息基礎設施運營者主體責任,壓實了關基單位在網絡安全保護工作中的重要職責;要求關基單位依照《關保條例》和有關法律、行政法規以及國家標準的強制性要求,在網絡安全等級保護的基礎上,采取技術保護措施和其他必要措施,應對網絡安全事件,防范絡攻擊和違法犯罪活動,保障關鍵信息基礎設施安全穩定運行,維護數據的完整性、保密性和可用性。
在《網絡安全法》和《關保條例》基礎上,陸續頒布的《數據安全法》《個人信息保護法》《密碼法》和《等保要求》《關保要求》等,進一步規定了關基單位網絡安全保護工作中應依法履行的主體責任和合規義務,為落實網絡安全保護責任提供了有力的法制保障。上述網絡安全相關法律法規中所規定的關基單位應履行的主體責任和合規義務落實與執行后即內化為關基單位的網絡安全能力;進一步,從網絡安全技術應用與制度建設執行兩個層面,可將其細分歸納為網絡安全“技術體系、基礎保障、主動防御與應急、規范運營、培訓教育、技術創新”6 個方面的能力。
2
指標體系
以上述法律法規、國家標準和關基單位網絡安全能力概念為基礎,提出包含網絡安全“技術體系能力”“基礎保障能力”“主動防御與應急能力”“規范運營能力”“培訓教育能力”“技術創新能力”6 個一級指標,26 個二級指標和58 個三級指標的關基單位網絡安全能力綜合評價指標體系,如表 1 所示。
表 1 關基單位網絡安全能力綜合評價指標體系
續表
2.1 網絡安全技術體系能力
依據《網絡安全法》第二十一條和第三十一條,網絡安全技術體系能力是指關基單位在重要網絡設施和信息系統建設中,遵循《等保要求》《信息系統密碼應用測評要求》《關保要求》等要求,部署使用網絡安全產品與技術方案等所形成的網絡安全技術體系。該指標下設“網絡安全等級保護綜合評估、商用密碼應用安全性綜合評估”兩個二級指標。
2.1.1 網絡安全等級保護綜合評估
關基單位可擁有多個不同等級的信息系統,綜合測度關基單位網絡安全等級保護情況。《等保要求》根據信息系統受到破壞后對國家和個人信息安全的損害程度,將信息系統分為五級,信息系統保護等級越高,對網絡安全影響越大。該三級指標得分需收集專業機構給出的各系統可信等保測評得分,然后以等級為權重加權平均。
2.1.2 商用密碼應用安全性綜合評估
依據《密碼法》第二十七條,為綜合測度關基單位的商用密碼應用安全性情況,下設“商用密碼應用安全性綜合得分”一個三級指標。該指標評分需收集專業機構給出的關基單位內各系統網絡安全等級及其商用密碼應用安全性測評得分,然后以等級為權重加權平均。
2.2 網絡安全基礎保障能力
網絡安全基礎保障能力是指關基單位為減少網絡安全事件、達到網絡安全標準、確保網絡安全狀況,在其日常生產、經營、管理活動中建立的網絡安全制度和相應的人財物等資源投入。該指標下設“三同步原則、網絡安全保護制度、網絡安全責任制度、人財物資源支持”4 個二級指標。
2.2.1 三同步原則
依據《網絡安全法》第三十三條、《關保條例》第十二條,該指標下設“同步規劃落實、同步建設落實、同步使用落實”3 個三級指標。一是同步規劃落實,是指關基單位在關鍵信息基礎設施與信息系統規劃階段是否同步引入安全保護措施。二是同步建設落實,是指關基單位在關鍵信息基礎設施與信息系統建設階段是否同步建設網絡安全保護措施。三是同步使用落實,是指關基單位在關鍵信息基礎設施與信息系統建成驗收后的日常運營維護中,是否保持系統處于持續安全防護水平。上述指標打分需提交證明材料,由評審專家進行審核,若通過則得100 分,否則得 0 分。
2.2.2 網絡安全保護制度
依據《網絡安全法》第二十一條,《網絡安全法》第四十條、四十二條,以及《關保條例》第十五條,該指標下設“網絡安全保護制度綜合得分”一個三級指標,由評審專家從內容完備性、任務明確性和責任落實性 3 個方面對關基單位的網絡安全保護制度進行綜合評分。
2.2.3 網絡安全責任制度
依據《網絡安全法》第二十一條,《關保條例》第四條、第十三條、第十四條、第十五條,該指標下設“網絡安全管理機構設置、網絡安全關鍵崗位認定、網絡安全崗位職責分工、網絡安全責任人設置、責任人制度、安全背景審查”6 個三級指標。一是網絡安全管理機構設置,是指關基單位是否設立了專門負責關鍵信息基礎設施保護工作的管理機構。二是網絡安全關鍵崗位認定,是指關基單位是否對網絡安全管理核心崗位進行認定。三是網絡安全崗位職責分工,是指關基單位中是否有專人承擔安全規劃、安全策略管理、監測預警、應急響應與處置、基礎安全巡查等職責。四是網絡安全責任人設置,是指關基單位是否設置了網絡安全責任人。五是責任人制度,是指關基單位是否把“主要負責人對關鍵信息基礎設施安全保護負總責”寫入本單位網絡安全保護制度中,并落實“主要負責人對關鍵信息基礎設施的安全保護、領導組織對重大網絡安全事件的處置工作、組織研究解決重大網絡安全問題”3 大職責。六是安全背景審查,是指關基單位對網絡安全管理機構負責人和關鍵崗位人員是否進行嚴格的安全背景審查,確保其政治可靠、作風優良和綜合能力過硬。上述指標除網絡安全崗位職責分工,按照“專人負責、有工作人員兼任、無人負責”3 種情況,依次評估崗位分工情況并計算其均值,其他指標均根據“是或否”評分,若為“是”則得 100 分,“否”則得 0 分。
2.2.4 人財物資源支持
依據《關保條例》第十三條、第十六條,該指標下設“網絡安全資金投入、網絡安全人力投入”兩個三級指標,均可采用功效系數法評分。一是網絡安全資金投入,是指過去 3 年關基單位用于網絡安全設備、服務或技術創新資金投入與其信息系統資金投入之比。二是網絡安全人力投入,是指過去 3 年關基單位負責網絡安全工作的人員與從事信息化相關工作人員之比。
2.3 網絡安全主動防御與應急能力
網絡安全主動防御與應急能力,其中,主動防御能力是指以應對攻擊行為的監測發現為基礎,主動采取收斂暴露面、捕獲、溯源、干擾和阻斷等措施,開展攻防演習和威脅情報工作,提升對網絡威脅與攻擊行為的識別、分析和主動防御的能力;應急能力是指關基單位在發生網絡安全突發事件后,為使各項應急指揮調度工作迅速、高效、有序進行,確保關鍵信息基礎設施運行故障快速恢復,保持安全暢通而開展應急預案規劃及職責落實的能力。依據《網絡安全法》第二十五條、二十六條,《關保條例》第二十五條,以及《關保要求》,該指標下設“攻防演習、威脅情報、應急預案制定、應急演練、網絡安全工作考核、網絡安全事件處置、網絡安全事件報告、網絡安全檢測與風險評估”8 個二級指標。
2.3.1 攻防演習
攻防演習是指近一年內關基單位為應對網絡攻擊行為,主動采取相關措施開展的攻防演習次數,按照功效系數法進行評分。
2.3.2 威脅情報
威脅情報是指關基單位使用和共享可用于解決威脅或應對網絡安全危害的知識,該指標下設“威脅情報使用情況、威脅情報共享情況”兩個三級指標。一是威脅情報使用情況,是指關基單位網絡安全體系中威脅情況保持更新的頻率,可按照更新頻率等級進行評分。二是威脅情報共享情況,是指關基單位產生并共享與相關部門的威脅情報條目數,可采用排隊計分法評分。
2.3.3 應急預案制定
應急預案制定是指對關基單位網絡安全應急預案的綜合評價,下設“應急預案綜合得分”一個三級指標。該項指標由評審專家依據《國家網絡安全事件應急預案》對其完備性和合理性進行綜合評分。
2.3.4 應急演練
依據《網絡安全法》第三十四條,該指標下設“應急演練參與率”一個三級指標,為近一年參與應急演練的員工與所有正式員工之比,反映關基單位的網絡安全意識和應急演練落實程度,可采用排隊計分法評分。
2.3.5 網絡安全工作考核
依據《關保條例》第十五條,該指標下設“網絡安全工作考核次數、網絡安全工作考核合格率”兩個三級指標,從量和質兩方面測度關基單位的網絡安全工作考核情況。一是網絡安全工作考核次數,是指近一年關基單位組織開展網絡安全工作考核的次數,評分采用功效系數法。二是網絡安全工作考核合格率,是指近一年關基單位網絡安全工作考核合格的員工與所有員工之比。若關基單位未進行網絡安全工作考核,則得分為 0,若有則采用功效系數法評分。
2.3.6 網絡安全事件處置
網絡安全事件處置既是關基單位網絡安全應急管理的過程,也反映其應急管理成效,因此下設“網絡安全事件發生次數、網絡安全事件發生增減率”兩個三級指標。一是網絡安全事件發生次數,是指近一年關基單位網絡安全事件發生的次數,可采用排隊計分法評分。二是網絡安全事件發生增減率,是指近一年網絡安全事件發生次數增減量與網絡安全事件發生次數之比,可采用功效系數法評分。
2.3.7 網絡安全事件報告
依據《網絡安全法》第二十五條,《關保條例》第十一條、第十七條、第十八條,該指標下設“網絡安全事件報告率”一個三級指標,是指關基單位向監管部門報告的網絡安全事件發生次數與按規定應向監管部門報告的網絡安全事件發生次數之比,可采用排隊計分法評分。
2.3.8 網絡安全檢測與風險評估
依據《網絡安全法》第三十八條、《關保條例》第十七條,關基單位網絡安全檢測與風險評估工作既要考慮評估次數,又要兼顧評估過程和效果。因此,該指標下設“網絡安全檢測與風險評估次數、網絡安全風險及其危害、網絡安全檢測與風險評估效果”3 個三級指標。一是網絡安全檢測與風險評估次數,是指近一年關基單位進行網絡安全檢測、風險評估的次數,大于或等于 1 則得 100 分,否則得 0 分。二是網絡安全風險及其危害,是指在安全檢測與風險評估過程中,關基單位發現的高、中、低風險問題的數量及其危害性的綜合加權評估得分。三是網絡安全檢測和風險評估效果,反映近一年關基單位對網絡安全檢測與風險評估中發現問題的整改落實效果,是指已完成整改的網絡安全問題與發現的問題總數量之比,可采用排隊計分法評分。
2.4 網絡安全規范運營能力
網絡安全規范運營能力是指關基單位依據網絡安全法律法規,在整個生產經營過程中遵守運營原則及相關網絡安全行為規范的能力。該指標下設“分析識別、網絡安全和信息化決策參與、公眾監督、網絡產品和服務采購、數據存儲本土化與安全評估、運營狀態調整、合法合規表現”7 個二級指標。
2.4.1 分析識別
依據《關保要求》國家標準,分析識別是關鍵信息基礎設施安全保護的基礎,是指圍繞關鍵信息基礎設施承載的關鍵業務,關基單位需要開展業務依賴性識別、關鍵資產識別、風險識別和重大更新重新識別等活動。據此,該指標下設“業務識別、資產識別、風險識別、重大變更重新識別”4 個三級指標,取值均為“是或否”,若為“是”則得 100 分,“否”則得0 分。
2.4.2 網絡安全和信息化決策參與
依據《關保條例》第十六條,該指標下設“安全管理機構人員參與網絡安全和信息化決策比率”一個三級指標,是指專門安全管理機構人員參與網絡安全和信息化的決策次數與網絡安全和信息化總決策次數之比,評分可采用排隊計分法。
2.4.3 公共監督
依據《網絡安全法》第四十九條,該指標下設“網絡信息安全投訴舉報制度、網絡信息安全投訴舉報渠道、公共監督效果”3 個三級指標。一是網絡信息安全投訴舉報制度,是指關基單位是否建立了網絡信息安全投訴、舉報制度,若為“是”則得 100 分,“否”則得 0 分。二是網絡信息安全投訴舉報渠道,將公眾監督從制度落實到具體行動,是指關基單位是否有網絡信息安全投訴舉報渠道,若為“是”則得100 分,“否”則得 0 分。三是公共監督效果,是指近一年關基單位對網絡信息安全投訴舉報的處理率。若未收到投訴舉報則評分為 100 分,否則按照處理率進行排隊計分。
2.4.4 網絡產品和服務采購
關基單位在日常經營中通常會涉及網絡產品和服務購買行為,《網絡安全法》和《關保條例》對此做出了明確規定。如《網絡安全法》第二十三條、第三十五條、第三十六條,《關保條例》第十九條、第二十條,據此,該指標下設“網絡產品和服務采購安全可信率、網絡產品和服務采購國家安全審查率、網絡產品和服務采購安全保密協議簽署率”3 個三級指標。一是網絡產品和服務采購安全可信率,是指近一年關基單位采購的有安全資質的網絡產品和服務數量與網絡產品和服務采購總數量之比。二是網絡產品和服務采購的國家安全審查率,是指近一年關基單位采購的網絡產品和服務通過國家安全審查的比率。三是網絡產品和服務采購的安全保密協議簽署率,是指近一年關基單位采購網絡產品和服務與提供商簽訂安全保密協議的比率,上述指標均可采用排隊計分法評分。若關基單位在調查年份未進行上述采購,則“網絡安全與服務采購”指標不計入,其權重均分于同級指標。
2.4.5 數據存儲本土化與安全評估
依據《網絡安全法》第三十七條,為了規范數據出境活動,保護個人信息權益,維護國家安全和社會公共利益,促進數據跨境安全、自由流動,根據《網絡安全法》《數據安全法》《個人信息保護法》等法律法規,國家出臺了《數據出境安全評估辦法》,它是專門針對數據處理者向境外提供在中華人民共和國境內運營中收集和產生的重要數據和個人信息的安全評估辦法。綜上,該指標下設“境內數據本土化存儲、向境外提供的國內數據安全評估”兩個三級指標。一是境內數據本土化存儲,是指近一年關基單位在境內收集的個人信息和重要數據是否在境內存儲,若為“是”則得 100 分,“否”則得 0 分。二是向境外提供的國內數據安全評估,是指近一年關基單位向境外提供個人信息和重要數據時是否進行了安全評估。若未向境外提供過國內數據,則本指標不參與評分,權重分配于同級指標;若曾向境外提供過國內數據,則進一步審核是否通過安全評估,若通過則得100 分,否則得 0 分。
2.4.6 運營狀態調整
依據《關保條例》第二十條,該指標下設“運營狀態調整報告、運營狀態調整處置”兩個三級指標。一是運營狀態調整報告,是指近一年關基單位發生合并、分立、解散等情況時,是否及時報告保護工作部門。二是運營狀態調整處置,關基單位發生運營狀態調整后的關鍵信息基礎設施處置,是指近一年關基單位發生合并、分立、解散等情況時,是否按要求對關鍵信息基礎設施進行處置。若近一年關基單位沒有發生過合并、分立、解散等情況,則“運營狀態調整”二級指標不參與測評,權重平均分配于同級指標;若運營狀態發生過調整,則考察關基單位是否開展相應報告和處置工作,若開展則得 100 分,否則得 0 分。
2.4.7 合法合規表現
合法合規表現是指對關基單位運營是否規范的概括,若運營規范,則因網絡安全相關問題而受到行業主管部門或監管部門責令改正、罰款的可能性就會較小,因此合法合規表現更好。據此,該指標下設“網絡安全問題責令改正次數、網絡安全問題被罰次數、網絡安全問題被罰金額”3 個三級指標,均可采用排隊計分法評分。一是網絡安全問題責令改正次數,是指近一年關基單位因網絡安全問題被行業主管部門或監管部門責令改正的總次數。二是網絡安全問題被罰次數,是指近一年關基單位因網絡安全問題被罰款的總次數。三是網絡安全問題被罰款金額,是指近一年關基單位因網絡安全問題被罰的總金額。
2.5 網絡安全培訓教育能力
網絡安全培訓教育能力是指關基單位安排自身網絡安全技術人員,或通過聘請行業網絡安全專家、與專業網絡安全培訓機構合作等方式,對單位員工定期開展網絡安全培訓的能力。依據《網絡安全法》第三十四條、《關保條例》第十五條,從網絡安全培訓開展情況和培訓效果兩方面展開,下設“網絡安全培訓頻率及覆蓋范圍、網絡安全能力認證”兩個二級指標。
2.5.1 網絡安全培訓頻率及覆蓋范圍
信息部門工作人員作為負責處理、運營、管理關基單位網絡安全的主體,比起其他部門人員,應當具有更高的網絡安全能力和素養,對于關基單位內的非信息部門工作人員,則關注其網絡安全意識培訓。綜上,該指標下設“信息部門員工網絡安全教育培訓次數、信息部門員工網絡安全培訓全員參與率、非信息部門員工網絡安全教育培訓次數、非信息部門員工網絡安全培訓全員參與率”4 個三級指標。一是信息部門員工網絡安全教育培訓次數,是指近一年關基單位為信息部門員工組織的網絡安全教育培訓次數。二是信息部門員工網絡安全培訓全員參與率,是指信息系統工作人員在網絡安全培訓中全員參與次數與其網絡安全總培訓次數之比。三是非信息部門員工網絡安全教育培訓次數,是指近一年關基單位為非信息部門員工組織的網絡安全教育培訓次數。四是非信息部門員工網絡安全培訓全員參與率,是指近一年非信息部門員工在網絡安全培訓中全員參與次數與其網絡安全總培訓次數之比。上述指標均可采用功效系數法進行評分。
2.5.2 網絡安全能力認證
網絡安全能力認證是對關基單位組織網絡安全培訓實施效果的衡量,是關基單位開展網絡安全人才培養、促進網絡安全人才交流的重要體現。該指標下設“網絡安全能力認證率、網絡安全能力認證增加率”兩個三級指標。一是網絡安全能力認證率,是指關基單位從事網絡工作的工作人員通過網絡安全能力認證的比率,可采用功效系數法評分。二是網絡安全能力認證增加率,從動態角度考察關基單位網絡安全培訓效果,是指最近一年內新增網絡安全能力認證人數與上年年底網絡安全能力認證人數之比,可采用排隊計分法評分。
2.6 網絡安全技術創新能力
網絡安全技術創新能力,是對關基單位網絡安全能力評價的補充要求,可設置為加分項,反映在國家政府鼓勵引導下,關基單位在網絡安全技術創新、協同合作、行業標準制定參與等方面的能力,下設“網絡安全標準參與、網絡安全技術創新與應用、網絡安全協作”3 個三級指標。
2.6.1 網絡安全標準參與
依據《網絡安全法》第十五條,從廣度和深度兩個維度,本指標下設“參與制定的國家 /行業網絡安全標準數量、參與國家 / 行業網絡安全標準制定人員數”兩個三級指標,均可采用排隊計分法評分。一是參與制定的國家 / 行業網絡安全標準數量,是指近一年關基單位工作人員參與國家 / 行業網絡安全標準制定的數量。二是參與國家 / 行業網絡安全標準制定人員數,是指近一年關基單位參與國家 / 行業網絡安全標準制定的人員數量。
2.6.2 網絡安全技術創新與應用
依據《網絡安全法》第十八條,該指標下設“網絡安全技術創新和應用資金投入、網絡安全技術專利申請數量、網絡安全技術專利數量、專利成果轉化金額”4 個三級指標,均可采用排隊計分法評分。一是網絡安全技術創新和應用資金投入,是指近一年關基單位網絡安全技術創新和應用資金投入與網絡安全資金投入之比。二是網絡安全技術專利申請數量,是指近一年關基單位網絡安全技術相關專利的申請數量,該指標從流量維度對關基單位網絡安全相關專利成果進行衡量。三是網絡安全技術專利數量,是指截至測評年度關基單位所擁有的網絡安全技術專利數量,該指標從存量維度對關基單位網絡安全相關專利成果進行衡量。四是專利成果轉化金額數量,是指關基單位近一年專利成果轉化金額總量。
2.6.3 網絡安全協作
依據《網絡安全法》第二十九條,本指標下設“與高等院校、科研機構聯合開展網絡安全技術合作研究次數”一個三級指標,可采用排隊計分法評分。
3
計算方法
3.1 指標評分方法
本指標體系中,既有客觀評分指標,也有專家審核評估的主觀指標,既有正指標、逆指標,也有適度指標。由于涉及多個領域,指標的內涵和計量單位有較大區別,因此可采用排隊計分法和功效系數法兩種綜合評價方法將指標取值轉化為可比較得分。
排隊計分法是先將所有評價單位的單項評價指標值依優劣排隊,再根據評價單位指標值的名次計算各單項得分。功效系數法先確定評價指標的滿意值和不容許值,以滿意值為上限,以不容許值為下限,計算各指標實現滿意值的程度。一般而言,指標取值在各測評地區或行業間差異較大,不同地區或行業間不具直接可比性,重點關注各參評單位指標取值的相對排名時,對于此類指標宜采用排隊計分法;如果指標取值具有客觀性和可比性,不同地區或行業的參評單位指標取值可進行比較,則采用功效系數法較為適宜。
3.2 指標權重設置
本指標體系權重設置采用主客觀結合方法,其中一級指標和二級指標權重可向關鍵信息基礎設施行業和領域主管部門、監管部門、業內專家,以及關基單位網絡安全保護工作人員等發放權重設置問卷,然后采用層次分析法計算。三級指標采用等權重計算,若因跳轉導致部分三級指標未回答則令其權重為 0。指標體系中第一項至第五項為基礎項,綜合得分采用加權平均法進行計算,得分范圍為 0 ~ 100 分,第六項為加分項,滿分可設為 20 分。
根據專家調研和實際測評驗證,建議基礎項得分 90 分以上(含 90 分),測評結論為優秀;得分 80 分以上(含 80 分),測評結論為良好;得分 70 分以上(含 70 分),測評結論為中等;得分 60 分以上(含 60 分),測評結論為一般;得分 60 分以下,測評結論為差。
4
結 語
關 基 單 位 的 網 絡 安 全 保 障, 不 僅 取 決 于相關技術產品和方案的應用,還取決于責任人員、制度流程、資金安排等制度建設。以網絡安全政策法規和國家標準為依據,構建具有普適性的關基單位網絡安全能力綜合評價體系,評估測度關基單位網絡安全能力現狀,發現網絡安全能力短板,既是深入貫徹落實國家網絡安全政策法規、監管部門網絡安全管理要求的需要,也是關基單位依法壓實網絡安全主體責任,為業務快速發展提供有效安全保障的需要。
本文構建的綜合評價指標體系突破了等級保護測評、商用密碼應用測評等重技術應用能力的評價模式,融合技術應用和制度建設執行,全面覆蓋關基單位依法應履行的網絡安全主體責任和合規義務,實現了指標體系和關基單位網絡安全能力提升的協同聯動。既適合關基單位自身測評與問題發現,也適用于行業主管部門或者監管部門對關基單位進行周期性測評與對比,從微觀主體層面把握關鍵信息基礎設施保護工作的建設現狀。評價的目的不是單純評出名次,更重要的是引導和鼓勵評價對象向正確的方向和目標發展,引導我國關基單位網絡安全建設健康發展。
同時,本指標體系雖是以關基單位為研究對象,但是對于非關基單位也具有較好的適用性,可根據評價對象進行個別指標調整后應用;也可在本指標體系基礎上,開展全面的關基單位測評,之后進行區域和行業網絡安全能力綜合測評。隨著關鍵信息基礎設施相關法律規范與國家標準配套的全面性和細節性進一步提升,本指標體系也應同步調整更新。
