《信息安全保障指标体系及评价方法 第2部分 指标体系》.docVIP

GB/TXXXXX.1-XXXX

PAGE8

GB/TXXXXX.2—XXXX

PAGE1

ICS?FORMTEXT35.040

FORMTEXTL80

中华人民共和国国家标准

GB/TXXXXX.2—XXXX

FORMTEXT?????

信息安全技术信息安全保障指标体系及评价方法第2部分指标体系

Informationsecuritytechnology-Indicatorsystemofinformationsecurityassuranceandevaluationmethods-Part2Indicatorsystem

（在提交反馈意见时，请将您知道的相关专利连同支持性文件一并附上）

FORMDROPDOWN

FORMTEXT2013-07

FORMTEXTXXXX-FORMTEXTXX-FORMTEXTXX发布

FORMTEXTXXXX-FORMTEXTXX-FORMTEXTXX实施

GB/TXXXXX.2-XXXX

GB/TXXXXX.2—XXXX

PAGE7

信息安全技术信息安全保障指标体系及评价方法第1部分概念和模型

范围

GB/TXXXXX.2规定了信息安全保障指标体系及其释义。

本文件适用于国家宏观层面信息安全保障评价工作。

规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

术语和定义

GB/TXXXXX.1中界定的以及下列术语和定义适用于本文件。

3.1

信息安全意识informationsecurityawareness

人们对信息安全现实的高级心理反应形式，即人们面对有可能对个人或组织造成损失的外在环境条件的戒备。

3.2

应急处置disposeofincidents

组织为应对已经发生的信息安全事件所采取的措施。

3.3

应急演练contingencyexercise

为训练人员和提高应急响应能力而根据应急预案和应急响应计划进行活动的过程。包括桌面演练、模拟演练、重点演练和完整演练等。

3.6

篡改informationalteration

未经授权将信息系统中的信息更换为攻击者所提供的信息。

3.7

网络瘫痪networkparalysis

计算机网络丧失通信功能的状态。

3.8

非法控制illegalcontrol

违反国家规定（主要指《计算机信息系统安全保护条例》、《全国人民代表大会常务委员会关于维护互联网安全的决定》、《计算机信息系统保密管理暂行规定》、《计算机信息系统国际联网保密管理规定》等）使系统或网络按实施非法控制者的意愿活动。

指标体系设计

指标层级

信息安全保障指标体系具有递阶层次结构，划分为三级（如图1）。

一级指标依据GB/TXXXXX.1给出的指标框架的第一级框架确定，每项一级指标下设多项二级指标。

二级指标依据GB/TXXXXX.1给出的第二级框架选取和设计，每项二级指标下设多项三级指标。

三级指标在二级指标框架下设计。

三级指标用于数据采集与测算，二级指标与一级指标为指数型指标。

注：“指数型指标”是指其数值由下一级指标根据一定的算法计算而得的指标，不直接用于数据采集。

指标层级结构

指标体系

信息安全保障指标体系设计如图2：

信息安全保障指标体系

指标释义

建设情况指标

建设情况指标是对信息安全保障体系中保障措施的评价，反映信息安全战略保障措施、管理保障措施和技术保障措施的建设情况，共有11项指标。

ZB01信息安全战略指标

信息安全战略主要指国家信息安全主管部门制定的统领国家信息安全发展全局的指导性文件，一般由国务院及国家主管部门以文件形式发布。信息安全战略成熟度主要评价：

国家信息安全战略方针、战略目标、战略资源、战略手段的明确情况。

为实现信息安全战略目标而设立的信息安全管理机构。

各责任方的信息安全管理责任落实情况。

为实现战略目标而制定并发布的信息安全战略文件。

该指标为定性指标，采用“成熟度模型”方法进行量化。

信息安全战略指标的评价结果分为5个等级：

0：未明确国家信息安全战略方针、战略目标、战略资源、战略部署。

1：明确了国家信息安全战略方针、战略目标、战略资源和战略部署，建立了战略实施的协调管理机构，也未落实各