栏目责编：古筝 信息安全监管工作评价指标设计浅谈 魏军，公伟²，肖扬文3，王庆升？ （1.中国信息安全认证中心，北京100020; 2.山东省标准化研究院，山东济南250014； 3.国家质量监督检验检疫总局信息中心，北京100088） 【摘要］本文在介绍信息安全监管工作评价指标和层次分析法基础上，将层次分析法应用于信息安 全监管工作评价指标权重计算上，使得信息安全监管工作评价指标权重可随着指标项的变化而动态 调整即当评价指标发生变化时，权重也可及时变化，从而使得到的信息安全监管工作评价指标权重 更加科学。 【关键词］信息安全监管；评价指标；权重；层次分析法 ［中图分类号］TN918.91 【文献标识码]A 【文章编号】1009-8054(2017)10-0035-07 监督管理工作成效如何，尚未形成一套完善的 信息安全监管工作评价指标体系。 0引言 本文主要在研究信息安全监管工作评价指 随着各级政府部门信息化、网络化不断发 标设计过程中，将层次分析法应用到信息安全 展，各种基础设施建设得到进一步完善，各种 监管工作评价指标权重计算中，使得信息安全 网络办公软件广泛应用，但在享受信息化网络 监管工作评价指标权重可随着指标项的变化而 化工作便利的同时，信息安全问题也日益突出， 动态调整即当评价指标发生变化时，权重也可 如何更好的保障各级部门信息安全，国家各主 及时变化，从而使得到的信息安全监管工作评 管部门对各级部门的信息安全监管工作成为一 价指标权重更加科学。 项重要举措。 目前，已逐步建立了信息安全通报、等保 1信息安全监管工作简介 测评、信息安全认证认可、信息安全检查、信 目前，我国各信息安全主管部门对信息安 息安全应急等工作机制或体系，并在2016年 全监管工作要求主要包括如下几方面： 11月发布的《中华人民共和国网络安全法》中 1.1《中华人民共和国网络安全法》 对网络安全监督管理进行了明确。但信息安全 《中华人民共和国网络安全法》第二条规 JUL2017信息安全与通信保密135 （）学术争鸣IPERSPECTIVES 定“在中华人民共和国境内建设、运营、维护 重要组成部分。加快信息安全认证的应用及推 和使用网络，以及网络安全的监督管理，适用 广，对于引导信息技术产业发展、推动转型升 本法。”第八条明确规定“国家网信部门负责 级具有现实的必要性和紧迫性。 统筹协调网络安全工作和相关监督管理工作。 2004年10月，国家认监委、公安部、信息 国务院电信主管部门、公安部门和其他有关机 产业部、国家质检总局、国务院信息化工作办 关依照本法和有关法律、行政法规的规定，在 公室等八个部委联合发布《关于建立国家信息安 各自职责范围内负责网络安全保护和监督管理 全产品认证认可体系的通知》（国认证联[2004]57 工作。”网络安全法中对网络安全的监督管理 号），提出建立既符合国家利益的需要又遵循 进行了明确。 国际通行规则的统一的国家信息安全产品认证 1.2信息安全等级保护工作 认可体系，国家对信息安全产品实施统一认证， 2007年，公安部、国家保密局、国家密码 信息安全认证认可工作在国家认监委的统一管 管理局、国务院信息化工作办公室等四部委联合 理、监督和综合协调下，由政府相关部门和各 出台了《信息安全等级保护管理办法》（公通学 有关方面共同实施，提出设立专门从事信息安 [2007]43号），该文件是在开展信息系统安全等 全产品认证的认证机构，以彻底解决重复检测 级保护基础调查工作和信息安全等级保护试点 和一个产品多张证书等问题。 工作基础上，由四部委共同会签印发的重要管 2010年4月，财政部、工业和信息化部、 理规范，主要内容包括信息安全等级保护制度 质检总局、认监委联合发布《关于信息安全产 的基本内容、流程及工作要求，信息系统定级、 品实施政府采购的通知》（财库【2010】48号） 备案、安全建设整改、等级测评的实施与管理， 中指出，“在政府采购活动中，采购人或其委 信息安全产品和测评机构选择等，为开展信息 托的采购代理机构按照政府采购法的规定，在 安全等级保护工作提供了规范保障。后公安部 政府采购招标文件（包括谈判文件、询价文件） 文分别下发了《关于开展全国重要信息系统安 中应当载明对产品获得信息安全认证的要求， 全等级保护定级工作的通知》（公通字[2007]861 并要求产品供应商提供由中国信息安全认证中 号）、《关于开展信息系统等级保护安全建设 心按国家标准认证颁发的有效认证证书。” 整改工作的指导意见》（公信安[2009]1429号）、 经过10余年的建设和发展，我国已经建立 《关于推动信息安全等保测评体系建设和开展 了覆盖产品、服务、管理体系、人员等门类的 等级测评工作的通知》（公信安[2010]303号） 较为完善的信息安全认证认可体系。通过认证 等相关文件在重要的行业和政府部门推动信息 认可传递信任，已成为社会各行业采信信息安 安全等保工作。 全认证结果的普遍共识。 1.3信息安全认证认可 1.4信息安全通报工作 信息安全认证认可工作是确保网络安全的 国家网络和信息安全信息通报中心于 基础性制度安排，是国家信息安全保障体系的 2003年10月筹建，2004年8月经中编办正式 361信息安全与通信保密JUL2017 栏目责编：古筝 批准成立。自组建以来，在国家网络与信息安 行。”《通知》还要求“各部委每年都要组织 全协调小组办公室和公安部的领导下，通报中 开展信息安全检查工作，并将检查结果报送国 心全力做好重要敏感期、重大政治活动和重大 家网络与信息安全协调小组办公室。 网络安全事件的信息通报工作，目前，信息通 1.6信息安全应急工作 报机制成员单位发展到48个成员单位、50家中 2002年9月，为更好的应对信息安全应急 央企业。从2005年起，通报中心陆续向多家企 工作，成立了国家计算机网络应急技术处理协 业发放“国家网络与信息安全信息通报中心组 调中心（简称“国家互联网应急中心”，英文 织中心技术支持单位”牌照。2013年，国家网 简称是CNCERT或CNCERT/CC）。作为国家级 络与信息安全信息通报专家组成立。国家网络 应急中心，CNCERT的主要职责是：按照“积极 与信息安全通报中心印发的《关于印发<网络 预防、及时发现、快速响应、力保恢复”的方针， 与信息安全信息通报暂行办法>的通知》（信 开展互联网网络安全事件的预防、发现、预警 安通[2003]10号）中第五条要求“各成员单位 和协调处置等工作，维护国家公共互联网安全， 和主管部门应及时掌握本网络和信息系统出现 保障基础信息网络和重要信息系统的安全运行。 的安全事故苗头和发生的安全事故，进行汇总、 CNCERT在中国大陆31个省、自治区、直辖市 分析、研判工作，并及时将汇总、分析、研判 设有分支机构。目前，CNCERT作为我国网络安 结果向通报中心通报。各成员单位和主管部门 全应急体系的核心协调机构，通过组织网络安 内部应建立网络与信息安全信息通报制度。” 全企业、学校、民间团体和研究机构，协调骨 第七条要求“应充分利用现有资源建立各成员 干网络运营单位、域名服务机构和其他应急组 单位和主管部门间的信息通报网络系统和技术 织等，构建我国互联网安全应急体系，共同处 平台，保证信息通报和联络渠道畅通。” 理各类互联网重大网络安全事件。 1.5信息安全检查工作 2017年1月，中央网信办下发关于印发《国 2009年3月，国务院办公厅印发了《国务 家网络安全事件应急预案》的通知（中网办发 院办公厅关于印发<政府信息系统安全检查办 文[2017]4号），主要用于建立健全国家网络安 法>的通知》（国办发[2009]28号）（以下简 全事件应急工作机制，提高应对网络安全事件 称《检查办法》），要求“各级政府及其部门 能力，预防和减少网络安全事件造成的损失和 对自行运行和维护管理以及委托其他机构运行 危害，保护公众利益，维护国家安全、公共安 和维护管理的办公系统、业务系统、网站系统等， 全和社会秩序，对推动我国信息安全应急工作 定期进行全面的安全检查。通过检查，及时掌 有着较为深远的意义。 握本部门本单位信息安全状况，发现存在的主 通过上述网络安全法中规定的信息安全监 要问题和薄弱环节并整改，持续改进信息安全 管、信息安全等级保护工作、信息安全认证认可、 技术措施，健全信息安全管理制度，提高信息 信息安全通报工作、信息安全检查工作和信息 安全防护能力，确保政府信息系统安全稳定运 安全应急工作，将推动我国的信息安全监管工 JUL2017信息安全与通信保密丨37