【正文】 避免一味用來對個體問責(zé)，造成信息采集源頭失真，導(dǎo)致對整個安全態(tài)勢的錯誤判斷，最終影響各項安全政策的制定與正確決策，失去調(diào)控意義 16 ? NIST 80055《 IT系統(tǒng)安全指標指南（ Security Metrics Guide for Information Technology Systems）》（ 2023年 7月） 1 Risk Management（ 風(fēng)險管理） 2 Security Controls（ 安全控制） 3 System Development Life Cycle（ 系統(tǒng)開發(fā)生命周期） 4 Authorize Processing (Certification and Accreditation)（ 認證和認可） 5 System Security Plan（ 系統(tǒng)安全計劃） 6 Personnel Security（ 人員安全） 7 Physical and Environmental Protection（ 物理和環(huán)境保護） 8 Production, Input/Output Controls（ 流程，輸入 /輸出控制） 9 Contingency Planning （ 應(yīng)急規(guī)劃） 10 Hardware and Systems Software Maintenance（ 硬件和系統(tǒng)軟件維護） 11 Data Integrity（ 數(shù)據(jù)完整性） 12 Documentation（ 文檔） 13 Security Awareness, Training, and Education（ 安全意識，培訓(xùn)和教育） 14 Incident Response Capability（ 事件響應(yīng)能力） 15 Identification and Authentication（ 標識和鑒別） 16 Logical Access Controls（ 邏輯訪問控制） 17Audit Trails（ 審計跟蹤） 17 一、《北京市電子政務(wù)信息安全指標體 系》的研究目的與編制原則 二、 對電子政務(wù)信息安全指標體系內(nèi)在特 點的幾點認識 三、 研究設(shè)想 18 研 究 設(shè) 想 （ 1）通過上報、調(diào)查、檢查、搜集等方式研究建 立完善順暢的數(shù)據(jù)采集渠道； (2) 利用信息化手段，研究實現(xiàn)對采集數(shù)據(jù)的 匯 總、存檔、檢索、統(tǒng)計分析等處理； (3) 研究建立年度信息安全狀況報告制度，定期 發(fā)布信息安全狀況評價報告； (4) 在建立年度信息安全狀況報告制度基礎(chǔ)上， 研究探索建立信息安全狀況評價引用機制， 使之成為信息安全戰(zhàn)略制定、宏觀調(diào)控、績 效評估、產(chǎn)業(yè)推動等工作的決策依據(jù)。因此“指標”即要恰當梳理各指標要素間關(guān)聯(lián)關(guān)系與傳遞因素，又要保持“指標”整體性和各要素的緊密銜接，盡量避免不同角度與表述形式造成指標體系的多樣性。電子政務(wù)信息安全指標體系初探 北京信息安全測評 (服務(wù) )中心 孟亞平 1 一、 對設(shè)立電子政務(wù)信息安全指標體系目 的與編制原則的理解 二、 對電子政務(wù)信息安全指標體系內(nèi)在特 點的幾點認識 三、 研究設(shè)想 內(nèi) 容 2 一、 對設(shè)立電子政務(wù)信息安全指標體系目 的與編制原則的理解 二、 對電子政務(wù)信息安全指標體系