信息安全技术关键信息基础设施安全保障指标体系

ICS点击此处添加中国标准文献分类号中华人民共和国国家标准GB/TXXXXX—XXXX信息安全技术关键信息基础设施安全保障指标体系Informationsecuritytechnology-Indicatorsystemofcriticalinformationinfrastructuresecurityassurance点击此处添加与国际标准一致性程度的标识XXXX-XX-XX发布XXXX-XX-XX实施目次前言2引言31范围42规范性引用文件43术语和定义44指标体系55指标释义7附录A（规范性附录）指标测量过程11参考文献37前言本标准按照GB/T1.1—2009给出的规则起草。本标准由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。本标准起草单位：大唐电信科技产业集团（电信科学技术研究院）、国家信息中心、北京奇安信科技有限公司、北京国舜科技股份有限公司、北京匡恩网络科技有限责任公司、北京天融信科技有限公司等。本标准主要起草人：韩晓露吕欣李阳毕钰郭晓萧等。引言随着信息技术广泛应用和网络空间兴起发展，极大促进了经济社会繁荣进步，但同时网络空间安全形势也日益严峻，国家政治、经济、文化、社会、国防安全及公民在网络空间的合法权益面临严峻风险与挑战。世界主要国家和地区高度重视网络空间安全，陆续出台了相关战略、规划、立法以及实施 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 等，并开始加大对关键信息基础设施的保护力度。随着我国网络强国战略的深化和实施，关键信息基础设施在国民经济和社会发展中的基础性、重要性、保障性、战略性地位也日益突出，我国《国家网络空间安全战略》提出要加强对国家关键信息基础设施的保护，并指出国家关键信息基础设施是指关系国家安全、国计民生，一旦数据泄露、遭到破坏或者丧失功能可能严重危害国家安全、公共利益的信息设施，包括但不限于提供公共通信、广播电视传输等服务的基础信息网络，能源、金融、交通、教育、科研、水利、工业制造、医疗卫生、社会保障、公用事业等领域和国家机关的重要信息系统，重要互联网应用系统等。保护关键信息基础设施的正常运转，关系国家安全、经济发展、社会稳定，也是政府、企业和全社会的共同责任。目前我国关键信息基础设施安全保障体系有待完善，缺少评判关键信息基础设施安全保障相关工作是否有效的测量方法与指标体系，难以评价和比较不同关键信息基础设施的安全保障情况。本标准依据国家对关键信息基础设施安全保障工作的相关要求，提出了关键信息基础设施安全保障指标体系及测量方法，有助于不断提升我国关键信息基础设施安全保障水平。信息安全技术关键信息基础设施安全保障指标体系范围本标准规定了用于开展关键信息基础设施安全保障的指标及其释义。本标准适用于关键信息基础设施安全保障评价工作，为政府管理部门的信息安全态势判断和宏观决策提供支持，为关键信息基础设施的管理部门及运营单位的信息安全管理工作提供支持。规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T20988—2007信息安全技术信息系统灾难恢复规范GB/T25069—2010信息安全技术术语GB/T31495.1—2015信息安全技术信息安全保障指标体系及评价方法第1部分：概念和模型GB/T31495.2—2015信息安全技术信息安全保障指标体系及评价方法第2部分：指标体系GB/T31495.3—2015信息安全技术信息安全保障指标体系及评价方法第3部分：实施指南GB/TXXXXX—XXXX信息安全技术关键信息基础设施网络安全框架GB/TXXXXX—XXXX信息安全技术关键信息基础设施网络安全保护要求3术语和定义GB/T25069—2010、GB/T31495.1—2015、GB/T31495.2—2015和GB/T31495.3—2015中界定的以及下列术语和定义适用于本文件。3.1关键信息基础设施criticalinformationinfrastructure指关系国家安全、国计民生，一旦数据泄露、遭到破坏或者丧失功能可能严重危害国家安全、公共利益的信息设施。注：《中华人民共和国网络安全法》规定：国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护 制度 关于办公室下班关闭电源制度矿山事故隐患举报和奖励制度制度下载人事管理制度doc盘点制度下载 的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。注：《国家网络空间安全战略》规定：国家关键信息基础设施是指关系国家安全、国计民生，一旦数据泄露、遭到破坏或者丧失功能可能严重危害国家安全、公共利益的信息设施，包括但不限于提供公共通信、广播电视传输等服务的基础信息网络，能源、金融、交通、教育、科研、水利、工业制造、医疗卫生、社会保障、公用事业等领域和国家机关的重要信息系统，重要互联网应用系统等。3.2关键信息基础设施安全保障criticalinformationinfrastructuresecurityassurance对关键信息基础设施的安全属性及功能、效率进行保障的一系列适当行为或过程。[改写GB/T31495.1—2015定义3.1信息安全保障]3.3关键信息基础设施安全保障评价evaluationofcriticalinformationinfrastructuresecurityassurance收集关键信息基础设施安全安全保障证据，并获得信息安全保障值的过程和途径。[改写GB/T31495.1—2015定义3.2信息安全保障评价]指标体系4.1指标层次GB/T31495.2—2015中的4.1“指标层级”适用。4.2指标体系框架以GB/T31495.2—2015中4.2“指标体系框架”为基础，结合关键信息基础设施的特征，关键信息基础设施安全保障指标体系框架表述如下：关键信息基础设施安全保障指标体系建设情况指标运行能力指标安全态势指标战管安安应信略理全全急息威隐事保保防监处对胁患件障障护测置抗指指指指指指指指指标标标标标标标标标图1关键信息基础设施安全保障指标体系框架关键信息基础设施安全保障指标体系框架对应关键信息基础设施安全保障指标体系的一级指标和二级指标。一级指标依据GB/T31495.1—2015中图1提出的信息安全保障的三个环节（即保障措施、保障能力和保障效果）设计，建设情况指标用于评价保障措施，运行能力指标用于评价保障能力，安全态势指标用于评价保障效果。二级指标依据关键信息基础设施安全保障对象和内容对一级指标进行分析和分解后设计。建设情况指标下设3项二级指标，分别为战略保障指标、管理保障指标。运行能力指标下设4项二级指标，分别为安全防护指标、安全监测指标、应急处置指标、信息对抗指标。安全态势指标下设3项二级指标，分别为威胁指标、隐患指标、事件指标。4.3指标体系框架描述4.3.1建设情况指标GB/T31495.2—2015中的4.3.1“建设情况指标”适用，并相应地进一步表述如下：建设情况指标主要评价关键信息基础设施安全保障措施的建设情况。4.3.1.1战略保障指标GB/T31495.2—2015中的4.3.2“战略保障措施指标”适用，并相应地进一步表述如下：信息安全保障中的“战略”是指为了完成信息安全保障的使命、功能、任务等，由信息安全主管部门制定的信息安全发展战略、五年规划、中长期发展 计划 项目进度计划表范例计划下载计划下载计划下载课程教学计划下载 等文件的通称。战略保障指标主要评价关键信息基础设施安全保障相关战略和规划的制定情况等。4.3.1.2管理保障指标GB/T31495.2—2015中的4.3.3“管理保障措施指标”适用，并相应地进一步表述如下：信息安全保障中的“管理”是指为了完成信息安全保障的使命、功能、任务等，所采用政策法规、管理方法、管理职责、管理标准的通称。管理保障指标主要评价与关键信息基础设施安全保障相关的规章制度制定情况、法规标准体系建设情况、组织机构与责任制建设情况、专业人才队伍保障情况、投入保障情况等方面。资金4.3.2运行能力指标GB/T31495.2—2015中的4.3.5“运行能力指标”适用，并相应地进一步表述如下：运行能力指标主要评价关键信息基础设施安全保障体系的运行能力。4.3.2.1安全防护指标GB/T31495.2—2015中的4.3.6“安全防护能力指标”适用，并相应地进一步表述如下：安全防护指标主要评价关键信息基础设施安全保障措施防护攻击和破坏行为的有效性，安全测评情况、网络信任体系建设情况等。包括系统级4.3.2.2安全监测指标GB/T31495.2—2015中的4.3.7“隐患发现能力指标”适用，并相应地进一步表述如下：安全监测指标主要评价关键信息基础设施安全保障措施信息共享与通报、况、隐患监测活动开展情况等。安全风险评估活动开展情4.3.2.3应急处置指标GB/T31495.2—2015中的4.3.8“应急处置能力指标”适用，并相应地进一步表述如下：应急处置指标主要评价关键信息基础设施安全保障措施应对安全事件的有效性，预警和响应能力，以及在出现危险、事故、侵害后的恢复能力。包括对安全事件的4.3.2.4信息对抗指标GB/T31495.2—2015中的4.3.9“信息对抗能力指标”适用，并相应地进一步表述如下：信息对抗指标主要评价关键信息基础设施安全保障措施应对大规模网络攻击的有效性。4.3.3安全态势指标GB/T31495.2—2015中的4.3.10“安全态势指标”适用，并相应地进一步表述如下：安全态势指标主要评价关键信息基础设施安全保障体系的态势情况。4.3.3.1威胁指标威胁指标主要评价对关键信息基础设施造成安全威胁的情况。4.3.3.2隐患指标隐患指标主要评价目前对关键信息基础设施安全可能导致负面结果的各种隐患情况。4.3.3.3事件指标事件指标主要评价关键信息基础设施当前安全状态，主要考察关键信息基础设施发生网络安全事件的情况。网络安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他网络安全事件。4.4指标在4.2和4.3给出的指标体系框架的约束下，表1给出了关键信息基础设施安全保障指标体系。关键信息基础设施安全保障指标体系包含由3个一级指标和10个二级指标构成的指标框架以及26个三级指标，三级指标为可用于测量的底层指标，附录A给出了三级指标测量方法。表1关键信息基础设施安全保障指标体系一级指标二级指标三级指标战略保障指标规划指标制度指标建设情况指标标准指标管理保障指标组织机构建设与责任制指标专业人才队伍指标资金投入指标安全防护指标系统级安全测评指标网络信任体系指标信息共享与通报指标安全监测指标风险评估指标运行能力指标隐患监测指标应急预案指标应急处置指标灾难备份指标安全处置指标信息对抗指标防御能力指标威胁指标安全威胁指标隐患指标安全隐患指标有害程序事件安全态势指标网络攻击事件安全态势指标安全态势指标信息破坏事件安全态势指标事件指标信息内容安全事件安全态势指标设备设施故障事件安全态势指标灾害性事件安全态势指标其他网络安全事件安全态势指标指标释义5.1规划指标规划指标主要指信息安全主管部门制定的统领关键信息基础设施安全发展全局的指导性文件。规划指标主要评价：是否制定关键信息基础设施安全专项规划；是否有效推进安全规划的落实；否对安全规划进行持续优化。是5.2制度指标制度指标包括所有与关键信息基础设施安全相关的规章制度文件，包括各部委发布的部门规章、各省发布的地方法规等。制度指标主要评价：是否制定关键信息基础设施安全专项规章制度；是否有效执行关键信息基础设施安全规章制度；是否定期开展关键信息基础设施安全规章制度建设与执行情况评估；是否持续优化关键信息基础设施安全规章制度。5.3标准指标GB/T31495.2—2015中的5.3“标准建设指标（ZB03）”适用，并相应地进一步表述如下：标准指标包括关键信息基础设施安全国家标准和各领域的行业标准。标准指标主要评价：是否制定符合标准发展规划要求，在行业或技术、管理领域适用的关键信息基础设施安全标准；关键信息基础设施领域的标准是否与国际标准接轨或达到国际先进水平；是否积极开展关键信息基础设施安全标准宣贯工作。5.4组织机构建设与责任制指标组织机构建设与责任制指标是指机构部门中负责管理与协调关键信息基础设施安全相关工作或具备关键信息基础设施安全管理职责的部门等。组织机构建设与责任制指标主要评价：是否设置专门安全管理机构和安全管理负责人；是否对负责人和关键岗位的人员进行安全背景审查；是否建立较为清晰的关键信息基础设施安全 管理制度 档案管理制度下载食品安全管理制度下载三类维修管理制度下载财务管理制度免费下载安全设施管理制度下载 和责任制；是否对管理制度和责任制进行持续优化。5.5专业人才队伍指标专业人才队伍指标主要评价关键信息基础设施的安全从业人员的教育背景、业务能力、专业机构认证的各类网络安全资质的持有情况，以及网络安全专业人才储备情况与人才培养情况。5.6资金投入指标资金投入指标主要评价关键信息基础设施安全建设投资情况，具体包括针对关键信息基础设施安全方面本年度的资金预算规模与以前年度累计资金投入规模。注：关键信息基础设施安全建设投资主要指财政决算（或预算）中用于关键信息基础设施安全建设方面的资金。5.7系统级安全测评指标系统级安全测评指标主要评价关键信息基础设施在系统级网络安全保护测评中的通过情况。5.8网络信任体系指标网络信任体系指标主要评价关键信息基础设施的身份认证、授权管理、责任认定等网络信任体系的建设情况。5.9信息共享与通报指标信息共享与通报指标主要采用评价关键信息基础设施网络安全实时监控的实施和覆盖情况，通报预警系统的建设运行情况，以及信息共享的情况。5.10风险评估指标GB/T31495.2—2015中的5.15“风险评估指标（ZB15）”适用，并相应地进一步表述如下。风险评估指标主要评价关键信息基础设施的网络安全风险评估活动开展情况与改进情况。注：信息安全风险评估的定义见GB/T20984—2007中的3.7。5.11隐患监测指标隐患监测指标主要评价对关键信息基础设施中的常规性漏洞、攻击、威胁等隐患，以及国际网络安全技术变化、新型网络威胁与网络攻击等非常规性隐患的监测活动开展情况。5.12应急预案指标应急预案指标主要评价关键信息基础设施运行和管理部门的应急演练能力，包括是否：制定针对本地区本行业的关键信息基础设施安全应急预案；定期开展应急演练；建立应急指挥协同机制；具备一定的应急处置恢复能力。5.13灾难备份指标GB/T31495.2—2015中的5.16“灾备备份指标（ZB16）”适用，并相应地进一步表述如下：灾难备份指标主要评价关键信息基础设施是否按照GB/T20988—2007中附录A的有关要求开展灾难恢复能力等级建设，是否按要求开展灾难备份与灾难恢复工作。5.14安全处置指标安全处置指标主要评价处置系统漏洞、计算机病毒、网络入侵、网络攻击等安全风险的能力情况。5.15防御能力指标防御能力指标主要评价目前关键信息基础设施安全保障的能力情况，包括关键信息基础设施网络安全事件采取防护措施的比例、检测比例、响应比例等。5.16安全威胁指标安全威胁指标主要评价关键信息基础设施网络受到的威胁情况。注：威胁包括故意、过失或非人为的威胁。5.17安全隐患指标安全隐患指标主要评价关键信息基础设施的安全隐患情况，包括关键信息基础设施的安全漏洞数量等。5.18有害程序事件安全态势指标有害程序事件安全态势指标主要评价关键信息基础设施发生有害程序事件的情况。注：有害程序事件分为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件。5.19网络攻击事件安全态势指标网络攻击事件安全态势指标主要评价关键信息基础设施发生网络攻击事件的情况。注：网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。5.20信息破坏事件安全态势指标信息破坏事件安全态势指标主要评价关键信息基础设施发生信息破坏事件的情况。注：信息破坏事件分为信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。5.21信息内容安全事件安全态势指标信息内容安全事件安全态势指标主要评价关键信息基础设施发生信息内容安全事件的情况。注：信息内容安全事件是指通过关键信息基础设施网络传播法律法规禁止信息，组织非法串联、煽动集会游行或炒作敏感问 题 快递公司问题件快递公司问题件货款处理关于圆的周长面积重点题型关于解方程组的题及答案关于南海问题 并危害国家安全、社会稳定和公众利益的事件。5.22设备设施故障安全态势指标设备设施故障安全态势指标主要评价关键信息基础设施涉及的硬件、发生故障的情况。外围保障设施等相关设备设施注：设备设施故障分为软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障。5.23灾害性事件安全态势指标灾害性事件安全态势指标主要评价关键信息基础设施发生灾害性事件的情况。注：灾害性事件是指由自然灾害等其他突发事件导致的关键信息基础设施网络安全事件。5.24其他网络安全事件安全态势指标其他网络安全事件安全态势指标主要评价关键信息基础设施发生其他网络安全事件的情况。注：其他网络安全事件是指不能归于有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他网络安全事件等的网络安全事件。AA附录A（规范性附录）指标测量过程本附录采用GB/T31497—2015《信息技术安全技术信息安全管理测量》（ISO/IEC27004_2009，IDT）给出的测量方法。A.1规划指标测量指标指标名称规划指标测量对象信息安全主管部门制定的统领关键信息基础设施安全发展全局的指导性文件1.关键信息基础设施安全相关规划；属性2.关键信息基础设施安全的专项规划；3.关键信息基础设施安全规划的落实情况；4.关键信息基础设施安全规划的持续优化情况基本测度说明1.关键信息基础设施安全相关规划的健全程度；基本测度2.关键信息基础设施安全专项规划的健全程度；3.关键信息基础设施安全规划的落实情况；4.关键信息基础设施安全规划得到持续优化的佐证材料1.查看是否初步制定关键信息基础设施安全相关规划；测量方法2.查看是否制定关键信息基础设施安全的专项规划；3.查看关键信息基础设施安全规划的落实情况；4.调研关键信息基础设施安全规划是否得到持续优化1.主观类；测量方法类型2.主观类；3.主观类；4.主观类1.为0或1的整数，是为1，否为0；标度2.为0或1的整数，是为1，否为0；3.为0或1的整数，是为1，否为0；4.为0或1的整数，是为1，否为0测量单位—导出测度说明导出测度—测量函数—测量值说明测量值关键信息基础设施安全规划构建程度分析模型将四项基本测度的取值相加决策准则说明决策准则测量值的取值宜为4测量结果当测量值为4时，该指标的值为1；当测量值为3时，该指标的值为0.8；指标值当测量值为2时，该指标的值为0.5；当测量值为1时，该指标的值为0.3；当测量值为0时，该指标的值为0A.2制度指标测量指标指标名称制度指标测量对象所有与关键信息基础设施安全相关的规章制度文件，包括各部委发布的部门规章、各省发布的地方法规等关键信息基础设施安全的相关规章制度；关键信息基础设施安全的专项规章制度；属性3.关键信息基础设施安全规章制度的执行情况；关键信息基础设施安全规章制度制定与执行的评估情况；关键信息基础设施安全制度的持续优化情况基测度量说明关键信息基础设施安全相关规章制度的健全程度；关键信息基础设施安全专项规章制度的健全程度；基本测度3.关键信息基础设施安全规章制度的执行情况；关键信息基础设施安全规章制度制定与执行情况专项评估的开展情况；关键信息基础设施安全制度得到持续优化的佐证材料查看是否初步制定关键信息基础设施安全相关规章制度；查看是否制定关键信息基础设施安全专项规章制度；测量方法3.查看关键信息基础设施安全规章制度的执行情况；调研是否定期开展关键信息基础设施安全规章制度制定与执行情况专项评估；调研关键信息基础设施安全制度是否得到持续优化主观类；主观类；测量方法类型3.主观类；主观类；主观类为0或1的整数，是为1，否为0；为0或1的整数，是为1，否为0；标度3.为0或1的整数，是为1，否为0；为0或1的整数，是为1，否为0；为0或1的整数，是为1，否为0测量单位—导出测度说明导出测度测量函数——测量值说明测量值分析模型关键信息基础设施安全规章制度建设程度将四项基本测度的取值相加决策准则说明决策准则测量值的取值宜为5测量结果当测量值为5时，该指标的值为1；当测量值为4时，该指标的值为0.8；当测量值为3时，该指标的值为0.6；指标值2时，该指标的值为0.4；当测量值为当测量值为1时，该指标的值为0.2；当测量值为0时，该指标的值为0A.3标准指标测量指标指标名称标准指标测量对象关键信息基础设施安全国家标准和各领域的行业标准1.关键信息基础设施安全标准规划的完成情况；属性2.关键信息基础设施安全标准推广情况；3.关键信息基础设施安全标准与国际接轨情况；4.关键信息基础设施安全标准宣贯工作开展情况基本测度说明1.关键信息基础设施安全标准与信息安全标准发展规划要求的符合情况；基本测度2.关键信息基础设施安全标准在行业领域的适用情况；3.关键信息基础设施安全标准与国际标准的接轨情况；4.关键信息基础设施安全标准宣贯情况评判关键信息基础设施安全标准体系是否按照标准发展规划要求建设；调研关键信息基础设施安全标准在行业领域推广使用过程中是否遇到障碍；测量方法3.调研关键信息基础设施安全国家标准与国际标准是否接轨或是否达到国际先进水平；检查是否开展了关键信息基础设施安全标准宣贯活动主观类；主观类；测量方法类型主观类；主观类1.为0或1的整数，是为1，否为0；2.为0或1的整数，是为1，否为0；标度为0或1的整数，是为1，否为0；为0或1的整数，是为1，否为0测量单位—导出测度说明导出测度测量函数——测量值说明测量值分析模型关键信息基础设施安全标准体系建设程度将四项基本测度的取值相加决策准则说明决策准则测量值的取值宜为4测量结果当测量值为4时，该指标的值为1；当测量值为3时，该指标的值为0.8；指标值当测量值为2时，该指标的值为0.5；当测量值为1时，该指标的值为0.3；当测量值为0时，该指标的值为0A.4组织机构建设与责任制指标测量指标指标名称组织机构建设与责任制指标测量对象机构部门中负责管理与协调关键信息基础设施安全相关工作或具备关键信息基础设施安全管理职责的部门等1.关键信息基础设施安全组织机构与负责人设置；属性2.关键信息基础设施安全负责人和关键岗位的人员背景审查；3.关键信息基础设施安全组织机构管理制度与责任制；4.关键信息基础设施安全管理制度和责任制的持续优化情况基本测度说明1.关键信息基础设施安全机构与负责人设立情况；基本测度2.关键信息基础设施安全负责人和关键岗位的人员背景审查情况；3.关键信息基础设施安全组织机构管理制度与责任制的明晰程度；4.关键信息基础设施安全组织机构管理制度与责任制的持续优化情况1.确认是否设立了关键信息基础设施安全管理机构和安全管理负责人；测量方法2.是否对负责人和关键岗位的人员进行安全背景审查；3.确认是否建立较为清晰的关键信息基础设施安全管理制度和责任制；4.调研关键信息基础设施安全组织机构建设和责任制是否得到持续优化1.主观类；测量方法类型2.主观类；3.主观类；4.主观类1.为0或1的整数，是为1，否为0；标度2.为0或1的整数，是为1，否为0；3.为0或1的整数，是为1，否为0；4.为0或1的整数，是为1，否为0测量单位—导出测度说明导出测度管理制度和责任制明确情况当“组织机构与负责人设置”取值为0时，“管理制度和责任制明确情况”取值为0；测量函数当“组织机构与负责人设置”取值为1时，“管理制度和责任制明确情况”的取值=“负责人和关键岗位的人员进行安全背景审查”的取值加上“管理制度与责任制的明晰程度”的取值加上“管理制度与责任制的持续优化情况”的取值测量值说明测量值管理制度和责任制建设程度分析模型“负责人和关键岗位的人员进行安全背景审查”的取值加上“管理制度与责任制的明晰程度”的取值加上“管理制度与责任制的持续优化情况”的取值决策准则说明决策准则测量值的取值宜为3测量结果当测量值为3时，该指标的值为1；指标值当测量值为2时，该指标的值为0.7；当测量值为1时，该指标的值为0.3；当测量值为0时，该指标的值为0A.5专业人才队伍指标测量指标指标名称专业人才队伍指标测量对象网络安全专业人才储备情况与网络安全专业人才培养情况1.网络安全专业大专以上在校生的人才储备规模；2.网络安全专业本科以上在校生的人才储备规模；属性3.信息安全从业人员的网络安全培训规模；4.参与安全岗位能力测试的从业人员数量；5.通过各类网络安全资质测试的从业人员数量；6.信息安全从业人员总数基本测度说明1.网络安全专业大专以上在校生的人才储备规模；2.网络安全专业本科以上在校生的人才储备规模；基本测度3.信息安全从业人员的网络安全培训规模；4.参与安全岗位能力测试的从业人员数量；5.通过各类网络安全资质测试的从业人员数量；6.信息安全从业人员总数1.统计网络安全专业大专以上在校生的人才储备规模；测量方法2.统计网络安全专业本科以上在校生的人才储备规模；3.统计信息安全从业人员的网络安全培训规模；4.统计参与安全岗位能力测试的从业人员数量；5.统计通过各类网络安全资质测试的从业人员数量；6.统计信息安全从业人员总数1.客观类；2.客观类；测量方法类型3.客观类；4.客观类；5.客观类；6.客观类1.从0到无穷大的整数；2.从0到无穷大的整数；标度3.从0到无穷大的整数；4.从0到无穷大的整数；5.从0到无穷大的整数；6.从0到无穷大的整数1.人；2.人；测量单位3.人；4.人；5.人；6.人导出测度说明导出测度—测量函数—测量值说明信息安全专业人才储备比例测量值信息安全从业人员培训比例；信息安全岗位能力测试通过率a）将“网络安全专业本科以上在校生的人才储备规模”除以“网络安全专业专科以上在校生的人才储备规模”设为X；分析模型b）将“从业人员的网络安全培训规模”除以“从业人员总数”的值设为Y；c）将“通过各类网络安全资质测试的从业人员数量”除以“参与安全岗位能力测试的从业人员数量”的值设为Z决策准则说明测量值X的值宜为1；决策准则测量值Y的值宜为1；测量值Z的值宜为1测量结果指标值该指标的值=a*X+b*Y+c*Z,（a、b、c均为0到1之间的常数，且a+b+c=1）A.6资金投入指标测量指标指标名称资金投入指标测量对象信息化建设投资报告属性信息化及信息安全投资记录备注资金投入指标主要考察关键信息基础设施安全建设投资情况基本测度说明1.本年度关键信息基础设施安全预算额；基本测度2.上一年度关键信息基础设施安全建设投资额；3.累计关键信息基础设施安全建设投资额统计本年度关键信息基础设施安全预算额；测量方法2.统计上一年度关键信息基础设施安全建设投资额；3.统计累计关键信息基础设施安全建设投资额1.客观类；测量方法类型2.客观类；3.客观类1.从0到无穷大的整数；标度2.从0到无穷大的整数；3.从0到无穷大的整数1.万元；测量单位2.万元；3.万元导出测度说明导出测度—测量函数—测量值说明测量值关键信息基础设施安全预算额增长率累计关键信息基础设施安全建设投资额a)将(“本年度关键信息基础设施安全预算额”减去“上一年度关键信息基础设施分析模型安全建设投资额”）除以“上一年度关键信息基础设施安全建设投资额”的值设为X；b)“累计关键信息基础设施安全建设投资额”的值设为Y决策准则说明决策准则测量值X的值宜为1；测量值Y的值宜为1测量结果指标值该指标的值=a*X+b*Y（a，b为常数）A.7系统级安全测评指标测量指标指标名称测量对象属性系统级安全测评指标关键信息基础设施在系统级网络安全保护测评中的通过情况关键信息基础设施的系统级安全测评的通过情况记录备注系统级安全测评指标的主要考察范围为三级、四级信息系统基本测度说明1.测评合格的三级信息系统数量；基本测度2.测评的三级信息系统数量；3.测评合格的四级信息系统数量；4.测评的四级信息系统数量1.统计测评合格的三级信息系统数量；测量方法2.统计测评的三级信息系统数量；3.统计测评合格的四级信息系统数量；4.统计测评的四级信息系统数量1.客观类；测量方法类型2.客观类；3.客观类；4.客观类1.从0到无穷大的整数；标度2.从0到无穷大的整数；3.从0到无穷大的整数；4.从0到无穷大的整数1.个；测量单位2.个；3.个；4.个导出测度说明导出测度—测量函数—测量值说明测量值三级信息系统等级保护测评合格比例；四级信息系统等级保护测评合格比例a）将“测评合格的三级信息系统数量”除以“测评的三级信息系统数量”的值设分析模型为X；b）将“测评合格的四级信息系统数量”除以“测评的四级信息系统数量”的值设为Y决策准则说明决策准则测量值X的值宜大于或等于0.9；测量值Y的值宜大于或等于0.9测量结果指标值该指标的值=X*a+Y*(1-a),0