【正文】 避免一味用來對(duì)個(gè)體問責(zé)，造成信息采集源頭失真，導(dǎo)致對(duì)整個(gè)安全態(tài)勢(shì)的錯(cuò)誤判斷，最終影響各項(xiàng)安全政策的制定與正確決策，失去調(diào)控意義 16 ? NIST 80055《 IT系統(tǒng)安全指標(biāo)指南（ Security Metrics Guide for Information Technology Systems）》（ 2023年 7月） 1 Risk Management（ 風(fēng)險(xiǎn)管理） 2 Security Controls（ 安全控制） 3 System Development Life Cycle（ 系統(tǒng)開發(fā)生命周期） 4 Authorize Processing (Certification and Accreditation)（ 認(rèn)證和認(rèn)可） 5 System Security Plan（ 系統(tǒng)安全計(jì)劃） 6 Personnel Security（ 人員安全） 7 Physical and Environmental Protection（ 物理和環(huán)境保護(hù)） 8 Production, Input/Output Controls（ 流程，輸入 /輸出控制） 9 Contingency Planning （ 應(yīng)急規(guī)劃） 10 Hardware and Systems Software Maintenance（ 硬件和系統(tǒng)軟件維護(hù)） 11 Data Integrity（ 數(shù)據(jù)完整性） 12 Documentation（ 文檔） 13 Security Awareness, Training, and Education（ 安全意識(shí)，培訓(xùn)和教育） 14 Incident Response Capability（ 事件響應(yīng)能力） 15 Identification and Authentication（ 標(biāo)識(shí)和鑒別） 16 Logical Access Controls（ 邏輯訪問控制） 17Audit Trails（ 審計(jì)跟蹤） 17 一、《北京市電子政務(wù)信息安全指標(biāo)體 系》的研究目的與編制原則 二、 對(duì)電子政務(wù)信息安全指標(biāo)體系內(nèi)在特 點(diǎn)的幾點(diǎn)認(rèn)識(shí) 三、 研究設(shè)想 18 研 究 設(shè) 想 （ 1）通過上報(bào)、調(diào)查、檢查、搜集等方式研究建 立完善順暢的數(shù)據(jù)采集渠道； (2) 利用信息化手段，研究實(shí)現(xiàn)對(duì)采集數(shù)據(jù)的 匯 總、存檔、檢索、統(tǒng)計(jì)分析等處理； (3) 研究建立年度信息安全狀況報(bào)告制度，定期 發(fā)布信息安全狀況評(píng)價(jià)報(bào)告； (4) 在建立年度信息安全狀況報(bào)告制度基礎(chǔ)上， 研究探索建立信息安全狀況評(píng)價(jià)引用機(jī)制， 使之成為信息安全戰(zhàn)略制定、宏觀調(diào)控、績 效評(píng)估、產(chǎn)業(yè)推動(dòng)等工作的決策依據(jù)。因此“指標(biāo)”即要恰當(dāng)梳理各指標(biāo)要素間關(guān)聯(lián)關(guān)系與傳遞因素，又要保持“指標(biāo)”整體性和各要素的緊密銜接，盡量避免不同角度與表述形式造成指標(biāo)體系的多樣性。電子政務(wù)信息安全指標(biāo)體系初探 北京信息安全測(cè)評(píng) (服務(wù) )中心 孟亞平 1 一、 對(duì)設(shè)立電子政務(wù)信息安全指標(biāo)體系目 的與編制原則的理解 二、 對(duì)電子政務(wù)信息安全指標(biāo)體系內(nèi)在特 點(diǎn)的幾點(diǎn)認(rèn)識(shí) 三、 研究設(shè)想 內(nèi) 容 2 一、 對(duì)設(shè)立電子政務(wù)信息安全指標(biāo)體系目 的與編制原則的理解 二、 對(duì)電子政務(wù)信息安全指標(biāo)體系