| 文档标题 | 信息安全保障评价指标体系课题项目框架操作建议和计划 | 文档编号 | WLAQ_XMJH_AQ_05053101 |
| 文档版本 | Version 1.5 | 文档状态 | 起草 |
| 项目负责人 | 戴 忠 | 编写日期 | 2005年6月16日 |
| 项目成员 | 徐海东、刘楠、陈敏时、周智等 研发中心部分同志 | 项目周期 | 2005年6月——2005年12月 |
| 制定单位 | 中国移动通信集团公司 网络部 网管中心 | ||
| 阅读范围 | 项目相关人员 | ||
| 日期 | 版本 | 作者 | 说明 |
| 2005年5月31日 | Version 1.0 | 陈敏时 | 起草 |
| 2005年6月1日 | Version 1.1 | 陈敏时、刘楠、周智、陈欣 | 补充课题的实施方案、课题逻辑框架部分、先决条件、课题风险等部分 |
| 2005年6月16日 | Version 1.5 | 陈敏时、刘楠 | 补充保障体系的逻辑框架,据课题的研究内容补充了具体的难点,同时根据课题的研究性质,丰富了需要参与课题研究的人员。 |
1项目背景
为了能够客观评价国家信息安全的现状,衡量各单位和行业,特别是国家基础网络设施、重要信息系统等关键部门所建设的信息安全保障体系的有效性,迫切需要针对不同重要行业、业务系统尽快研究建立科学的、可度量的、可操作的信息安全保障评价指标体系。因此,国家信息化专家咨询委员会立项开展信息安全保障评价指标体系课题研究,并委托中国移动承担此课题的研究工作。
2项目目标
| 目标 | 内容 | 检验方式 |
| 1 | 制定《中国移动自评估管理规范》 | 专家初评、案例测算、专家评议、实际测算 |
| 2 | 明确自评估各个阶段的操作规范。 | |
| 3 | 培养一批中国移动的评估人员 |
由于安全涉及到信息系统的方方面面,具有高度的综合性和复杂性,从而形成科学的、合理的、同时又符合我国国情的评价指标体系具有相当大困难。
就课题研究内容本身而原,存在以下三个方面的困难:
1、本课题研究的一个前提条件就是确立评价对象——国家基础网络(移动通信)信息安全保障体系(保障体系的初步逻辑框架参见附录1),而确立得到国家权威专家认可的保障体系本身就极具挑战性。
2、课题涉及对信息安全保障体系的社会属性,如信息安全策略规范、运行保障、人才、保障资源等管理方面的软属性的评价,而建立软属性的评价指标是十分困难的。
3、由于信息安全保障体系伴随信息化的发展不断变化,要在短期内形成一套科学、合理的评价指标体系必须克服相当大的困难,更何况这些评价指标体系还需要与业务系统本身紧密结合才具有意义。
就课题研究的外部环境而言,存在以下两个方面的困难
1、在实践方面,国内和国际都尚无先例可供参照。
2、在理论方面,与本课题相关研究领域主要是风险评估和水平测算,但其现有研究成果和本课题的要求均存在较大距离。
因此,从事本课题研究,必须在理论和实践两个方面,进行较大创新,才能真正形成一套“可操作的、实用的、能反映信息系统安全状态的评价指标”。
4项目需求的资源
为保证研究课题的质量,需要以下资源:
1、课题研究人员:
| 人员 | 工作内容 | 来源 |
| 国内信息安全领域的权威专家 | 本课题属于国家层面全局性信息安全问题研究,权威专家参与,确保研究方向不出偏差,内容符合要求 | 外部聘请 |
| 系统科学研究专家 | 本课题研究涉及到对复杂系统的综合评价,此方面的专家参与,以保证评价方法和过程的科学性。 | 外部聘请 |
| 信息安全专业评估人员 | 参与指标选择,方法设计,指标测算等工作,结合其评估方面的经验,保证课题有较强的可操作性。 | 外部聘请 |
| 公司内部信息安全专业人员 | 具体组织协调参与课题的各方面研究人员,并结合实际工作经验,保证课题符合移动通信信息安全现状。 | 集团和省公司 |
| 移动通信专家 | 本课题研究需要充分结合移动通信行业的技术特色。此方面专家负责提供课题研究必要的背景技术支持。 | 研发中心 |
2、从课题研究的经费
| 开支种类 | 具体内容 | 预算(万元) |
| 研究经费 | 包含检索文献资料,归纳已有研究成果,内部讨论,指标体系及测算方法研究,报告撰写等研究活动的人工开支。根据类似课题,此项工作需要支撑单位人员20个人月的研究时间。 | 30 |
| 案例测算及实际测算费用 | 包含本课题研究需要进行的两次案例测算,每次7.5万元,一次实际测算,15万元 | 30 |
| 实际调研费用 | 对移动通信运营企业,总部和省级分公司信息安全情况从信息安全保障体系角度进行实际调研 | 4 |
| 文献资料费用 | 购买,查阅,复印相关文献资料引起的费用 | 1 |
| 评审及会议费 | 需要召开阶段性评审会议一次,结题评审一次 | 6 |
| 专家咨询费用 | 需要聘请安全领域权威专家1名,咨询相关信息安全、系统评价等相关理论专家若干名(按3名计算),每人4次参加课题讨论 | 7 |
| 差旅费 | 已包含到上述开支之中 | 0 |
| 总计 | 78 |
5项目时间计划
| 阶段/任务 | 时间 | 参与者 | 成果 | 检验方式 |
| 项目准备阶段 | 2005.6.1-2005.7.1 | 明确项目范围、操作方式、任务分工、以及时间计划安排,提出详细的实施方案。 | 项目主管领导审查 | |
| 资料收集和实际调研 | 2005.7.1-2005.8.1 | 搜集国内外相关标准、理论等文献资料; 对省公司、国内其他运营商基础网络安全现状以及风险评估工作现状调研 形成研究方案 | 项目主管领导审查 | |
| 研究开发和综合集成阶段 | 2005.8.1-2004.10.1 | 根据研究方案和调研的结果,归纳出具体的信息安全保障评价指标,形成指标体系以及指标的测算方法。 | 邀请相关专家对指标和测算方法进行初评 | |
| 案例测算阶段 | 2005.10.1-2004.11.15 | 根据上一阶段形成的测算法和测算指标进行选择一个两个具体的业务系统进行案例检验,输出案例测算报告。 并根据案例测算结果,修改指标体系和测算方法,形成提交专家评审的指标体系和测算方法 | 专家评议 | |
| 实际测算 | 2005.11.15-2005.12.31 | 对当前重要信息系统进行较大范围的实际测算,形成实际测算报告 输出研究报告 | 最终研究报告交课题委托方评审 |
本课题研究应首先明确评价对象——国家基础网络(移动通信)信息安全保障体系
首先需要明确自评估的管理要求,明确自评估的内容、范围以及周期等。
确定各个阶段的评估规范,
人的因素、确定培训的人
选试点,规划本课题研究应根据课题任务书建议的信息安全保障评价指标体系逻辑框架(参见下图),结合移动通信系统的具体情况,确定指标体系的层次结构、各表现要素(如基础设施、安全保障资源、策略规范、运行保障、人才等)以及相互关联的关系,各基本要素应符合课题任务书规定的原则和要求。课题建立的信息安全保障评价指标体系应涵盖信息安全保障的方方面面,同时又反映出个方面的内在关联,既能体现信息安全保障体系的社会属性,又能体现其自然属性。
在具体评价指标的选择上,应包括诸如网络和系统脆弱性指标,网络和系统面临的威胁指标,当前防范措施指标,网络运行状态指标,各类安全事件容忍度评价方法(包括增长量、影响力、造成的损失、相对国际社会的损失比值等)等。
课题内容的逻辑框架(参考):
注:信息安全保障活动支信息系统的安全运行维护、安全预警、应急响应、灾难恢复、监控检测等。
7每个阶段的先决条件
项目准备阶段:需要明确研究范围,工作计划和项目操作方式得到领导的认可。
项目资料收集和实际调研阶段:需要落实课题研究所需的资源支持。
8风险分析
| 风险项 | 优先级 | 可能性 | 影响性 | 处理办法 |
| 课题研究项目所需资源无法落实 | 高 | 中 | 大 | 整个项目无法开展 |
| 本课题研究和总体组研究无法保持一致 | 高 | 中 | 大 | 在课题研究的全过程需要与总体组密切沟通。指标体系逻辑框架、评价方法、测算方法和工具以及指标体系的建立方法等关键方面需要和总体组结论保持一致。 |
| 无法得到其他运营商的支持 | 中 | 高 | 中 | 难于达到全局性的要求 |
附录1:国家基础网络(移动通信)信息安全安全保障体系逻辑框架
1.1信息安全安全保障体系总体框架
1.2信息安全的法规标准及管理规范框架
1.3信息安全的运行维护保障框架
1.4 信息安全的技术保障框架下载本文
