GB T 31495.2-2015 信息安全技术 信息安全保障指标体系及评价方法 第2部分 指标体系.pdf

1、GB ICS 35.040 L 80 和国国家标准主t./、中华人民GB/T 31495.2-2015 信息安全技术信息安全保障指标体系及评价方法第2部分:指标体系Information security techno!ogy-Indicator system of information security assurance and evaluation methods-. Part 2: Indicator system ￥ 2016-01-01实施2015-05-15发布发布中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会飞锣/响吗西叫/叫叫出/咄咄-1 、d鲁GB/T 3

2、1495.2-2015 目次前言. . . . . . . . . . m 引言. . . . . . . . . . . . . . . . . . . . . . . . . . . . N l 范围-2 规范性引用文件.3 术语和定义4 指标体系. . . . . . . . . . . . . . . . . . . . . . . . . 2 5 指标释义.附录A(规范性附录)指标测量过程.10 参考文献. . . . . 37 I GB/T 31495.2-2015 前GB/T 31495(信息安全技术信息安全保障指标体系及评价方法分为如下3部分=第1部分z概念和模型z第2部分z指

3、标体系z第3部分z实施指南。本部分为GB/T31495的第2部分。本部分按照GB/T1.1-2009给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本部分由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本部分起草单位z国家信息中心、国家新闻出版广电总局监管中心、中国信息安全测评中心、中国电信集团、中国移动通信集团、大连理工大学、国家能源局信息中心、江苏省信息中心、中国民航大学、中国电力科学研究院。本部分主要起草人z何德全、日欣、王宪磊、王长胜、郭艳卿、杨月圆、李守鹏、吕汉阳、杜巍、肖英、张莱楠、罗程、吴志军、杨一曼、谢东晖、程露、胡

4、红升、孙小红、徐浩、周智、陈敏时、雷绪、樊晖、高昆仑、李鹏、李慧。皿GB/T 31495.2-2015 引GB/T 31495依据国家对信息安全保障工作的相关要求，提出了信息安全保障评价的极念和模型、指标体系及实施指南。GB/T 31495由3部分组成。第1部分描述了本标准各部分通用的基础性概念，给出了信息安全保障及信息安全保障评价的概念和模型，给出了指标的测量模型;第2部分在第1部分的模型指导下给出了信息安全保障指标体系和指标测量过程z第3部分给出了信息安全保障评价工作实施所应遵照的要求、流程和方法。GB/T 31495主要用于I为政府管理部门的信息安全态势判断和宏观决策提供支持;为基础信息

5、网络和重要信息系统的管理部门及运营单位的信息安全管理t作提供支持。N 1 范围信息安全技术信息安全保障指标体系及评价方法第2部分:指标体系GB/T 31495的本部分规定了用于开展信息安全保障评价的指标及其择义。本部分适用于信息安全保障评价工作。2 规范性引用文件GB/T 31495.2-2015 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。GB/T 20988-2007 信息安全技术信息系统灾难恢复规范GB/T 31495.1-2015 信息安全技术信息安全保障指标体系及评价方法第

6、1部分E概念和模型3 术语和定义3.1 3.2 3.3 3.4 3.5 3.6 GB/T 31495.1-2015中界定的以及下列术语和定义适用于本文件。基础信息网络fondamental information networks 承担公共通信、广播电视传输的电信网、互联网、广播电视网等信息网络。重要信息系统critical information systems 关系国家安全、经济命脉、社会稳定的信息系统。保密性confidentiality 使信息不泄露给未经授权的个人、实体、进程，或不被其读取的特性。改写GB/T25069-2010，定义2.1.1J完整性int咿ity使数据在未授权情况

7、下，不被个人、实体、进程更改或破坏的特性。改写GB/T25069-2010，定义2.1.36J可用性availability 巳授权实体一且需要就可访问和使用数据、网络和系统资源的特性。改写GB/T25069-2010，定义2.1.20J真实性aothenticity 能够核实和信赖一个合法的传输、信息或信息源的可认证性的特性。GB/T 31495.2-2015 3.7 可控性controllability 对未授权实体加以有效控制的特性，以保障所属设备、数据和网络系统的合法使用。3.8 抗抵赖性non-repudiation 也称不可抵藏性或不可否认性，即网络信息系统的信息交互过程中参与者不

8、能否认或抵赖曾经完成的操作。改写GB/T25069-2010，定义2.1.17J3.9 信息安全意识information secnrity aw町阻四人们对信息安全现实的高级心理反应形式，即人们面对有可能对个人或组织造成损失的外在环境条件的戒备。3.10 3.11 3.12 3.13 应急演练emergency也训为训练人员和提高应急响应能力而根据应急颈案和应急响应计划进行活动的过程。信息篡改information tampering 未经授权将信息系统中的信息更换为攻击者所提供的信息。网络撞攘network paralyzed 信息网络丧失通信功能的状态。非法控制iIIegal contr

9、ol 违反规范使系统或网络按实施非法控制者的意愿活动。4 指舔体系4.1 指标层组指标层级是对评价内容和对象进行逐层分解得到的结构，指标层级为指标体系的有序性提供保证，为构建指标体系提供框架基础。图1给出了指标层级的递阶层次结构。!一-1;指li标li体ll系!L-J 一级指标圈1指标层组结构信息安全保障指标体系共有三个层级，其中一级指标和二级指标构成指标体系框架，三级指标为底层指标。当指标需要调整时，一级指标和二级指标相对固定，三级指标相对灵活。GB/T 31495.2-2015 指标体系框架4.2 图2给出了信息安全保障指标体系框架。信息安全保障指标体系框架抗抵赖性指标可控性指标真实性指标

10、可用性指标il i 信崽对抗能力指标应急处曹霞力指标曹幽发现能力指标宏全防护能力指标位术保障措施指标管理保障措施指标战珞保障措施指标信息安全保障指标体系框架信息安全保障指标体系框架对应信息安全保障体系的一级指标和二级指标。一级指标依据GB/T31495.1 -2015中图1提出的信息安全保障的芝个环节(即保障措施、保障能力和保障效果)设计，建设情况指标用于评价保障措施，运行能力指标用于评价保障能力，安全态势指标用于评价保障效果。二级指标依据信息安全保障对象和内容对一级指标进行分析和分解后设计。建设情况指标下设3项二级指标，分别为战略保障措施指标、管理保障措施指标、技术保障措施指标。运行能力指标

11、下设4项二级指标，分别为安全防护能力指标、隐患发现能力指标、应急处置能力指标、信息对抗能力指标。安全态势指标F设6项二级指标，分别为保密性指标、完整性指标、可用性指标、真实性指标、可控性指标、抗抵赖性指标。圈2指挥体系框架描述4.3 建设情况指标4.3.1 建设保障措施指标主要评价信息安全保障措施的建设情况。战略保障措施指标信息安全保障中的战略是指为了完成信息安全保障的使命、功能、任务等，由信息安全主管部门制定的信息安全发展战略、五年规划、中长期发展计划等文件的通称。战略保障措施指标主要评价信息安全战略和规划的制定情况等。4.3.2 管理保障措施指标信息安全保障中的管理是指为了完成信息安全保障

12、的使命、功能、任务等，所采用政策法规、管理方法、管理职责、管理标准的通称。管理保障措施指标主要评价法规标准体系建设情况、组织机构建设情况、人才队伍保障情况、安全意识保障情况、资金投人保障情况等方面。4.3.3 技术保障措施指标信息安全保障中的技术是指为完成信息安全保障的使命、功能、任务等，所提供的技术基础设施、技术平台和工具等技术保障手段的通称。技术保障措施指标主要评价信息安全技术、产品、服务以及产4.3.4 GB/T 31495.2-2015 业化等方面。4.3.5 运行能力指标运行能力指标主要评价信息安全保障体系的运行能力。4.3.6 安全防护能力指标安全防护能力指标主要评价信息安全保障措

13、施防护攻击和破坏行为的有效性。4.3.7 隐患发现能力指标隐患发现能力指标主要评价信息安全保障措施检测和发现风险的有效性。4.3.8 应急处置能力指标应急处置能力指标主要评价信息安全保障措施应对信息安全事件的有效性，包括对信息安全事件的预警和响应能力，以及在出现危险、事故、侵害后的恢复能力。4.3.9 信息对抗能力指栋信息对抗能力指标主要评价信息安全保障措施应对大规模网络攻击的有效性。4.3.10 安全态势指标安全态势指标主要评价信息安全保障体系的态势情况。4.3.11 保密性指挥保密性指标主要评价对信息不被未授权的个人、实体或者过程利用或知悉的保障效果。4.3.12 完整性指挥完整性指标主要

14、评价对信息未经授权不被修改的保障效果。4.3.13 可用性指标可用性指标主要评价对信息系统在需要时被授权用户使用的保障效果。4.3.14 真实性指标真实性指标主要评价对信息内容的来源真实可靠的保障效果。4.3.15 可控性指标可控性指标主要评价对对信息的传播方式以及对访问其信息资源的人或实体的使用方式进行有效控制的保障效果。4.3.16 抗抵赖性指标抗抵赖性指标主要评价对所有参与者都不能事后虚假地否认曾经完成的操作的保障效果。4.4 指挥在4.2和4.3给出的指标体系框架约束下，表1给出了信息安全保障指标体系。信息安全保障指标体系包含由3个一级指标和13个二级指标构成的指标框架以及24个兰级指

15、标，三级指标为可用于测GB/T 31495.2-2015 量的底层指标，三级指标测量过程见附录A。表1信息安全保障指标体系一级指标二级指标三级指标战略保障措施指标ZBOl信息安全战略指标ZB02法规建设指标ZB03标准建设指标ZB04组织机构建设指标管理保障措施指标ZB05信息安全岗位指标建设情况指标ZB06信息安全人才储备指标ZB07信息安全意识指标ZB08信息安全建设投资指标ZB09信息安全产业规模指标技术保障措施指标ZBI0关键IT设备国产化指标ZBll信息安全服务支撑指标ZB12等级保护测评指标安全防护能力指标ZB13网络信任体系指标ZBH信息安全监控指标运行能力指标隐患发现能力指标Z

16、B15风险评估指标-一-ZB16灾难备份指标应急处置能力指标ZB17事件处置指标信息对抗能力指标ZB18应急演练指标保密性指标ZB19信息泄露指标完整性指标ZB20数据篡改指标可用性指标Z四1网络瘫痪指标安全态势指标真实性指标ZB22网络诈骗指标可控性指标ZB23非法控制指标抗抵赖性指标ZB24事件取证指标5 指标释义5. 1 信息安全战略指标(ZB01)信息安全战略主要指信息安全主管部门制定的统领信息安全发展全局的指导性文件。信息安全战略指标主要评价是否za) 明确了信息安全战略方针、战略目标、战略部署zb) 制定发布了信息安全规划文件zc) 拥有战略研究队伍和智库机构。当上述三项内容都实现

17、时，表明信息安全战略建设要求得到满足。5 GB/T 31495.2-2015 5.2 法规建设指标(ZB02)信息安全法律法规包括所有与信息安全相关的全国人大颁布的法律、国务院发布的实施条例及国务院令、各部委发布的部门规章、各省发布的地方法规等。法规建设指标主要评价是否za) 制定了信息安全基础性法律法规Fb) 信息安全法律体系的内容齐全、结构严密、内在协调:c) 定期开展信息安全法律法规的宜贯活动。当上述芒项内容都实现时，表明信息安全法规建设要求得到满足。5.3 标准建设指标(ZB03)信息安全标准包括国家标准化管理委员会发布或管理的信息安全国家标准和各领域的信息安全行业标准。标准建设指标主

18、要评价是否za) 信息安全标准符合标准发展规划要求pb) 信息安全标准在行业或技术、管理领域适用$0 信息安全标准与国际标准接轨。4上述兰项内容都实现时，表明信息安全标准建设要求得到满足。5.4 组织凯掏建设指标(ZB04)信息安全组织机构是指机构部门中负责管理与协调信息安全相关工作或具备信息安全管理职责的部门，以及基础网络和重要系统中负责信息安全工作的部门等。组织机构建设指标主要评价是否za) 组织机构设立较为健全pb) 管理制度和责任制较为明晰;c) 各组织机构之间较为协同。当上述三项内容都实现时，表明信息安全组织机构建设要求得到满足， 信息安全岗位指标(ZB05)信息安全岗位指标主要评价

19、信息安全从业人员对专业机构认证的各类信息安全资质的持有情况。当取得资质的人员达到一定比例时，表明信息安全岗位建设要求得到满足。5.6 信息安全人才储备指标(ZB06)信息安全人才储备指标主要评价信息安全相关专业的在校生对社会信息安全人才缺口的满足程度。当人才储备与人才缺口的比值处于合理区间时，表明信息安全人才储备建设要求得到满足。5.7 信息安全意识指挥(ZB07)信息安全意识指标主要评价网民的个人信息保护意识(如密码设置情况和个人计算机安全防范意识(如安全软件使用情况。子1通过信息安全意识水平测试的网民达到一定比例时，表明网民信息安全意识建设要求得到满足。注2信息安全意识水平测试是指有关部门

20、组织的用于了解网民信息安全意识水平的调查活动。5.8 信息安全建设投资指标(ZB08)信息安全建设投资指标主要评价信息安全建设投资情况。信息安全建设投资主要指财政决算(或预算)中用于信息安全建设方面的资金。6 GB/T 31495.2-2015 当信息安全建设投资总额占信息化建设投资总额的比值处于合理区间时，表明信息安全建设投资要求得到满足。5.9 信息安全产业规模指标(ZB09)信息安全产业规模指标主要评价信息安全产品和服务市场的销售情况。当信息安全产品和服务的销售增长率达到一定比率时，表明信息安全产业规模建设要求得到满足。5.10 关键IT设备国产化指标(ZB10)关键IT设备同产化指标主

21、要评价重要的信息基础设施或信息系统中采用国产品牌设备的情况。当关键IT设备国产化率达到一定比率时，表明国产化建设要求得到满足。注g关键IT设备是指基础信息网络和重要信息系统的核心网络或系统设备，包括操作系统、数据库、服务器、核心通信设备等。5.11 信息安全服务支撑指标(ZB1D信息安全服务支撑指标主要评价规模以上信息安全企业(或机构、组织)的信息安全服务资质取得情况。当企业持有的信息安全服务资质增长率达到一定比例时，表明信息安全服务支撑建设要求得到满足。注z信息安全服务资质是指有关机构(或组织)向符合特定要求的企业(或机构、组织)发放的资格证书。信息安全服务资质主要包括安全工程类服务资质、灾

22、难恢复类服务资质、安全开发类服务资质、应急处理服务资质、风险评估服务资质、安全集成服务资质、电子认证服务资质等.5.12 等级保护副评指标(ZB12)等级保护测评指标主要评价基础信息网络和重要信息系统对信息安全等级保护测评的通过情况。当信息系统的等级保护测评通过率达到一定比率时，表明等级保护要求得到满足。注2信息系统安全等级保护测评的相关要求见GB/T28448 -2012. 5.13 网络信任体系指标(ZB13)网络信任体系指标主要评价基础信息网络或重要信息系统的4A管理实施情况。当信息系统的4A管理覆盖率达到一定比率时，表明网络信任体系能力得到满足。注:4A管理是指统一用户账号(Accou

23、nt)管理、统一认证(Authentication)管理、统一授权(Authorization)管理和统一审计(Audit)管理。5.14 信息安全监控指标(ZB14)信息安全监控指标主要评价基础信息网络和重要信息系统对信息安全实时监控的实施和覆盖情况。当信息系统的信息安全实时监控覆盖面达到一定比率时，表明信息安全监控体系能力得到满足。注2信息安全实时监控是指利用一定的措施和手段对信息网络和信息系统进行实时监控的保障活动。5.15 凤险评估指标(ZB1日风险评估指标主要评价基础信息网络或重要信息系统的信息安全风险评估活动开展情况。当信息系统的风险评估开展和改进率达到一定比率时，表明信息系统风险

24、评估能力得到满足。注z信息安全风险评估的定义见GB/T209842007中3.7.7 GB/T 31495.2-2015 5.16 灾难备份指标(ZB1日灾难备份指标主要评价基础信息网络和重要信息系统是否按照GB/T20988-2007中附录A的有关要求开展灾难恢复能力等级建设，是否按要求开展灾难备份与灾难恢复工作。当按要求开展灾难备份的信息系统比例达到一定数值时，表明灾难备份能力得到满足。5.17 事件处置指标(ZB17)事件处置指标主要评价基础信息网络或重要信息系统对其发生的信息安全事件按照一定的信息安全事件管理规范进行通报与处理的情况。当事件处置率达到一定数值时，表明事件处置能力得到满足

25、。5.18 应急演练指标(ZB18)应急演练指标主要评价基础信息网络或重要信息系统的运行和管理部门是否za) 制定了信息安全应急演练预案。b) 定期组织开展应急演练。c) 对演练中所发现问题进行改进并形成演练制度。当上述三项内容都实现时，表明信息安全应急演练能力得到满足。5.19 信息泄露指标(ZB19)信息泄露指标主要评价信息安全保障保密性的实现程度，主要考察基础信息网络和重要信息系统发生的信息泄露事件的数量。当信息泄露事件数量低于一定数量时，表明保密性态势要求得到满足。注z信息泄露事件是指违反信息保密的相关法律、法规和规章，使国家秘密、企业商业秘密、用户个人信息等被不应知悉者知悉，导致严重

26、影响或破坏的信息安全事件。5.20 数据篡政指标(ZB20)数据篡改指标主要评价信息安全保障完整性的实现程度，主要考察基础信息网络和重要信息系统发生的数据篡改事件的数量。当数据篡改事件数量低于一定数量时，表明完整性态势要求得到满足。注2数据每改是指一些组织或个人未经授权将重要数据或信息更换为攻击者所提供的信息而导致的信息安全事件，主要指政府网站被篡改、广播电视非法插播以及国家基础信息网络或重要信息系统发生的数据库被篡改等事件。广播电视非法插播是指犯罪分子通过破坏缆线等物理性破坏或者通过删除、修改、增加广播电视设备系统中的控制程序等功能性破坏进行非法插播的行为.5.21 网络瘫攘指标(ZB21)

27、网络瘫痪指标主要评价信息安全保障可用性的实现程度，主要考察基础信息网络和重要信息系统发生的网络瘫痪事件数量。当网络瘫痪事件数量低于一定数量时，表明可用性态势要求得到满足。注=网络瘫痪是指由于基础网络或重要系统的关键业务支撑部分无法正常运行从而导致严重或特别严重的影响或破坏。5.22 网络诈骗指标(ZB22)网络诈骗指标主要评价信息安全保障真实性的实现程度，主要考察互联网发生的网络诈骗事件的数量。GB/T 31495.2-2015 当网络诈骗事件数量低于一定数量时，表明真实性态势要求得到满足。注z网络诈骗是指一兽组织或个人为达到某种目的在互联网上以各种形式骗取信息的事件，以网络钓鱼为代表。网络钓

28、鱼主要是指通过各种方式伪造互联网上的银行、电子商务等服务，以骗取用户个人信息，从而达到窃取用户利益的目的。5.23 非法控制指标(ZB23)非法控制指标主要评价信息安全保障可控性的实现程度，主要考察境内的主机被木马或僵尸网络控制服务器控制的事件的数量。当非法控制事件数量低于一定数量时，表明可控性态势要求得到满足。5.24 事件取证指标(ZB24)事件取证指标主要评价信息安全保障抗抵赖性的实现程度，主要考察发生的信息安全事件中得到取证的事件数量。当事件取证比例达到一定要求时，表明抗抵赖性态势要求得到满足。9 GB/T 31495.2-2015 附录A(规范性附录指标副量过程A.1 ZBOl信息安

29、全战略指标测量指标指标名称信息安全战略指标测量对象战略文件和发展规划文件以及智库机构设立情况l.战珞顶层设计s属性2.发展吕标z3.发展规划自4.智库队伍基本测度说明1.信息安全战略顶层设计健全程度;基本测度2.信息安全发展目标明确程度s3.信息安全发展规划的制定发布情况;4.信息安全战略研究队伍和智库机构的建设情况1.查看信息安全战略是否及时调整、战略问是否协同、战略与技术发展是否一致z测量方法2.查看信息安全发展目标是否明确s3.确认是否制定并发布了信息安全中长期发展规划;4.调研是否建设了信息安全智库或研究队伍1.主观类z测量方法类型2.主观类E3.主观类F4.主观类1.为0或1的整数，

30、是为1.杏为0;标度2.为0或1的整数，是为1，否为0;3.为0或1的整数，是为1，否为0;4.为0或1的整数，是为1.否为0测量单位导出测度说明导出测度四量函数测量值说明测量值信息安全战略构建程度分析模型将四项基本翻度的取值相加决策准则说明决策准则测量值的取值宜为410 GB/T 31495.2-2015 测量结果当测量值为4时，指标ZB01的值为1; 当测量值为3时，指标ZB01的值为0.8;指标值当测量值为2时，指标ZB01的值为0.5;当测量值为1时，指标ZB01的值为0.3;当测量值为0时，指标ZBOl的值为0A.2 ZB02法规建设指标副量指标指标名称法规建设指标测量对象已出台的法

31、律法规文件和法律法规宣贯会议记录1.基础性法律法规z属性2.法律体系p3.法规宣贯情况p4.网民人数基本测度说明1.基础法律的制定情况z基本测度2.法律体系内容和结构的完善情况及其内在协调情况:3.法规宣贯人次p4.网民总数1.查找已出台的法律法规文件中是否有信息安全基本性法律法规p测量方法2.查看已出台的法律文件，判断法律体系是否内容完整、结构完善、内在协调z3.统计信息安全法律法规的宣贯人次z4.统计网民总数1.主观类F测量方法类型2.主观类z3.客观类F4.客观类1.为0或1的整数，是为1.否为0;标度2.为0或1的整数，是为1.否为0;3.为从0到无穷大的整数z4.为从0到j无穷大的整

32、数1. -; 测量单位2. - -; 3.人次;4.万人导出测度说明导出测度测量函数11 GB/T 31495.2-2015 测量值说明测量值a) 法律体系建设程度sb) 法规宣贯覆盖比例a) 将基础法律的制定情况的取值加上法律体系内容和结构的完善情况及其内在协分析模型调情况的取值sb) 将法规宣贯人次除以网民总数决策准则说明决策准则测量值a)项的取值宜为2;测量值b)项的取值宜大于或等于1测量结果当测量值a)项的取值=2且测量值b)项的取值1时，指标ZB02的值为1; 当测量值a)项的取值=2且O测量值b)项的取值1时，指标ZB06的值为1; 当测量值20%时，指标ZB08的值为1; 当测量

33、值;20%肘，指标B阔的值=测量值/20%A. 9 ZB09信息安全产业规模指标测量指标指标名称信息安全产业规模指标测量对象信息安全产业发展报告属性信息安全行业相关数据基本甜度说明基本测度1.本年度信息安全产品和服务的销售额;2.上一年度信息安全产品和服务的销售额17 GB/T 31495.2-2015 测量方法1.查看信息安全类产品和服务的销售收入z2.查看上一统计周期的信息安全产品和服务的销售收入测量方法类型1.客观类:2.客观类标度1.从0到无穷大的整数;2.从0到元穷大的整数测量单位1.万元F2.万元导出测度说明导出测度信息安全产品和服务的销售额增量测量函数将本年度信息安全产品和服务的

34、销售额减去上一年度信息安全产品和服务的销售额测量值说明测量值信息安全产品和服务的销售增长率分析模型将信息安全产品和服务的销售额增量除以上一年度信息安全产品和服务的销售额I 乘以100.%决策准则说明决策准则测量值宜大于或等于20.%测量结果指标值当测量值20.%时，指标ZB09的值为1; 当测量值:;20.%时，指标ZB09的值=测量值/20.%A.10 ZB10关键IT设备国产化指标测量指标指标名称关键IT设备国产化指标测量对象资产登记表属性所采购关键IT设备的国产化情况备注关键IT设备国产化指标主要考察操作系统、数据库、服务器、核心通信设备等的国产化率基本测度说明基本测度1.国产设备的采购

35、总额32.所有设备的采购总额测量方法1.查看国产设备的采购总额z2.查看所有设备的采购总额测量方法类型1.客观类z2.客观类标度1.从0到无穷大的整数z2.从0到无穷大的整数18 GB/T 31495.2-2015 副量单位1.万元52.万元导出测度说明导出测度测量函数测量值说明测量值关键盯设备国产化率分析模型将国产设备的采购总额除以所有设备的采购总额乘以100%决策准则说明决策准则测量值宜太于或等于90%测量结果指标值当测量值90%时，指标ZBIO的值为1，当测量值90%时，指标ZB10的值=测量值190%A.11 ZB11信息安全服务支撑指标测量指标指标名称信息安全服务支撑指标测量对象信息

36、安全评估机构属性各类机构信息安全资质的颁发记录基本测度说明基本测度1.本年度具备信息安全服务资质的机构数量z2. t一年度信息安全服务资质的机构数量副主量方法1.统汁本年度具备信息安全服务资质的机构数量;2.统计上一年度信息安全服务资质的机构数量测量方法类型1.客观类z2.客观类标度1.从0到无穷大的整数z2.从0到无穷大的整数测量单位1.个z2.个导出剖度说明导出四度本年度新增信息安全服务资质的机构数量测量函数将本年度具备信息安全服务资质的机构数量减去上一年度信息安全服务资质的机构数量测量值说明测量值机构资质增长率分析模型将本年度新增信息安全服务资质的机构数量除以上一年度信息安全服务资质的机

37、构数量乘以100%19 GB/T 31495.2-2015 决策准则说明决策准则测量值宜大于或等于20%测量结果指标值当测量值20%时，指标ZBll的值为1，当酒量值;20%时，指标ZBll的值=诩量值/20%A.12 ZB12等级保护测评指标测量指标指标名称等级保护测评指标测量对象等级保护测评机构属性等保翻评记录等级保护测评指标的主要考察范围为二级、三级、四级信息系统，信息系统分级标准见GB/T 22240-2008. 备注信息系统是一个由人、计算机及其他外围设备等组成的能进行信息的收集、传递、存贮、加工、维护和使用的系统，一个信息系统可以是一个数据处理系统、管理信息系统、决策支持系统、专家

38、系统或虚拟办公室基本测度说明1.测评合格的二级信息系统数量z2.测评的二级信息系统数量F基本测度3.测评合格的三级信息系统数量z4.测评的三级信息系统数量p5.测评合格的四级信息系统数量s6.测评的四级信息系统数量1.统计测评合格的二级信息系统数量z2.统计测评的二级信息系统数量z测量方法3.统计测评合格的三级信息系统数量z4.统计测评的三级信息系统数量p5.统计测评合格的四级信息系统数量;6.统计测评的四级信息系统数量1.客观类F2.客观类z测量方法类型3.客观类z4.客观类;5.客观类z6.客观类1.从o却无穷大的整数E2.从0到无穷大的整数;标度3.从0到无穷大的整数;4.从0到无穷大的

39、整数;5.从0到无穷大的整数;6.从0到无穷大的整数20 GB/T 31495.2-2015 1.个F2.个F测量单位3.个F4.个s5.个E6.个导出测度说明a) 二级信息系统等保测评合格比例:导出测度b) 三级信息系统等保测评合格比例zc) 四级信息系统等保副评合格比例a) 将四评合格的二级信息系统数量除以四评的二级信息系统数量气测量函数b) 将测评合格的三级信息系统数量除以测评的三级信息系统数量;c) 将测评合格的四级信息系统数量除以测评的四级信息系统数量测量值说明测量值等保测评通过比例分析模型取三项导出测度中的最小值决策准则说明决策准则测量值宜太子或等于0.9测量结果指标值|指标加A.

40、13 ZB13网络信任体系指标测量指标指标4号称网络信任体系指标测量对象4A管理部门属性4A管理记录网络信任体系指标的主要考察范围为二级、三级、四级信息系统，信息系统分级标准见备注GB/T 22240 -2008; 4A管理是指统一用户账号(Account)管理、统一认证(Authentication)管理、统一授权|( Authorization)管理和统一审计(Audit)管理均得到实施基本测度说明基本测度1.开展了4A管理的信息系统数量s2.信息系统总数测量方法1.统计开展4A管理的信息系统数量F2.向责任人索取按规定应开展4A管理的信息系统数量测量方法类型1.客观类z2.客观类标度1.

41、从0到无穷大的整数z2.从0到无穷大的整数21 GB/T 31495.2-2015 测量单位1.个E2.个导出测度说明导出测度四量函数测量值说明测量值4A管理开展比例分析模型将开展了4A管理的信息系统数量除以信息系统总数决策准则说明决策准则测量值宜为1测量结果指标值j尹标ZB13的值=测量值A.14 ZB14信息安全监控指标测量指标指标名称信息安全监控指标测量对象监控系统的管理数据库属性对信息系统进行实时监控的记录备注信息安全监控指标的主要考察范围为二级、三级、四级信息系统，信息系统分级标准见GB/T 22240-2008 基本测度说明基本测度1.纳入监控的信息系统数量s2.信息系统数量测量方

42、法1.查看监控记录，统计所监控的信息系统数量F2.向责任人索取按规定应纳入监控的信息系统数量测量方法类型1.客观类z2.客观类标度1.从0到无穷大的整数F2.从0到无穷大的罄数测量单位1.个z2.个导出测度说明导出测度测量函数测量值说明测量值信息系统的监控比例分析模型将纳入监控的信息系统数量除以信息系统数量22 GB/T 31495.2-2015 决策准则说明决策准则l测量值宜为1测量结果指标值|指标削的值二测量值A.15 ZB15凤险评估指标测量指标指标名称风险评估指标测量对象风险评估机构属性对信息系统进行风险评估的记录风险评估指标的主要考察范围为二级、三级、四级信息系统，信息系统分级标准见

43、备注GB/T 22240-2008; 风险评估相关耍求见GB/T20984-2007 基本测度说明1.已开展风险评估的信息系统数量z基本测度2.已实施改进的信息系统数量;3.信息系统总数1.统计已开展风险评估的信息系统数量;制量方法2.统计已实施改进的信息系统数量:3.统计信息系统总数1.客观类;测量方法类型2.客观类;3.客观类1.从oJljJG穷大的垫数a标度2.从0到元穷大的整数z3.从0到无穷大的整数1.个F测量单位2.个F3.个导出测度说明导出测度a) 风险评估开展比例;b) 风险评估改进比例测量函数a) 将已开展风险评估的信息系统数量除以信息系统总数气b) 将已实施改进的信息系统数

44、量除以已开展风险评估的信息系统数量测量值说明测量值风险评估开展和改进情况分析模型将风险评估开展比例加上风险评估开展比例乘以风险评估改进比例，再除以223 GB/T 31495.2-2015 决策准则说明决策准则|测量值宜为1测量结果指标值|指标ZB15的值=副量值A.16 ZB16灾难备份指标测量指标指标名称灾难备份指标测量对象灾难备份管理数据库属性灾难备份管理记录备注信息系统的灾难备份要求见GB/T20988- -2007中附录A的有关要求基本测度说明1.已开展灾难备份的二级信息系统数量z2.二级信息系统总数z基本诩度3.已开展灾难备份的三级信息系统数量z4.三级信息系统总数E5.已开展灾难

45、备份的四级信息系统数量;6.四级信息系统总数1.统计已经按照灾难备份要求开展了灾难备份工作的二级信息系统数量p2.向责任人索取按规定应开展灾难备份工作的二级信息系统数量;测量方法3.统计已经按照灾难备份要求开展了灾难备份工作的三级信息系统数量p4.向责任人索取按规定应开展灾难备份工作的三级信息系统数量F5.统计已经按照灾难备份要求开展了灾难备份工作的四级信息系统数量p6.向责任人索取按规定应开展灾难备份工作的四级信息系统数量1.客观类E2.客观类z测量方法类型3.客观类s4.客观类z5.客观类:6.客观类1.从0到无穷大的整数;2.从0到无穷大的整数;标度3.从0到无穷大的整数，4.从0到无穷

46、大的整数:5.从0到无穷大的整数16.从0到无穷大的整数1.个E2.个E测量单位3.个;4.个E5.个;6.个24 GB/T 31495.2-2015 导出测度说明_ c a) 二级信息系统按要求开展灾难备份的比例:导出测度b) 三级信息系统按要求开展灾难备份的比例zc) 四级信息系统按要求开展灾难备份的比例a) 将已开展灾难备份的二级信息系统数量除以二级信息系统总数;测量函数b) 将已开展灾难备份的三级信息系统数量除以三级信息系统总数Ec) 将已开展灾难备份的四级信息系统数量除以四级信息系统总数测量值说明测量值信息系统灾难备份比例分析模型取三项导出测度中的最小值决策准则说明决策准则测量值宜为

47、1测量结果指标值|指标ZB16的值=测量值A.17 ZB17事件处置指标测量指标指标名称事件处置指标测量对象事件管理数据库属性事件发生和处置记录事件处置指标考察范围为较大以上事件，包括较大事件、重大事件和特别重大备注事件，事件分级依据GB/Z20986-2007的5.2;事件处置要求见互联罔网络安全信息通报实施办法H工业和信息化部，2009)和GB/T 24363千2009信息安全技术信息安全应急响应计划规范基本测度说明基本测度1.较大级以上信息安全事件数量;2.得到有效处置的较大级以上信息安全事件数量测量方法1.统计较大级以上信息安全事件数量;2.统计得到有效处置的较大级以上信息安全事件数量测量方法类型1.客观类F2.客观类标度1.从0到元穷大的整数z2.从0到元穷大的整数测量单位1.次p2.次导出印度说明导出测度测量函数25 GB/T 31495.2-2015 测量值说明测量值较大级以上信息安全事件处置比例分析模型将得到有效处置的较大级以上信息安全事件数量除以较大级以上信息安全事件数量决策准则说明决策准则测量值宜为1测量结果指标值指标Z