李云峰，張紅歷，夏怡凡，李宛蓉，唐 嘉，王凱倫

（1.四川數(shù)安網(wǎng)信科技有限責(zé)任公司，四川 宜賓 644005；2.西南財(cái)經(jīng)大學(xué) 管理科學(xué)與工程學(xué)院，四川 成都 611130；3.西南財(cái)經(jīng)大學(xué) 統(tǒng)計(jì)學(xué)院，四川 成都 611130）

0 引 言

2016年12月，我國(guó)國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布《國(guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略》，指出網(wǎng)絡(luò)空間安全（以下簡(jiǎn)稱網(wǎng)絡(luò)安全）事關(guān)人類共同利益，事關(guān)世界和平與發(fā)展，事關(guān)各國(guó)國(guó)家安全[1]。2017年6月，第一部全面規(guī)范網(wǎng)絡(luò)安全管理的基礎(chǔ)性法律《中華人民共和國(guó)網(wǎng)絡(luò)安全法》（以下簡(jiǎn)稱《網(wǎng)絡(luò)安全法》）正式施行，成為我國(guó)網(wǎng)絡(luò)空間法治化建設(shè)的重要里程碑[2]。

近年來(lái)，我國(guó)加快推進(jìn)網(wǎng)絡(luò)安全領(lǐng)域頂層設(shè)計(jì)，深入貫徹落實(shí)《網(wǎng)絡(luò)安全法》，相繼頒布了《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》（以下簡(jiǎn)稱《關(guān)保條例》）、《密碼法》等一系列法律法規(guī)，出臺(tái)了《網(wǎng)絡(luò)安全審查辦法》、GB/T 22239—2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（以下簡(jiǎn)稱《等保要求》）、《云計(jì)算服務(wù)安全評(píng)估辦法》《國(guó)家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》《數(shù)據(jù)出境安全評(píng)估辦法》、GB/T 39204—2022《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》（以下簡(jiǎn)稱《關(guān)保要求》）等政策文件和國(guó)家標(biāo)準(zhǔn)，建立了關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)、網(wǎng)絡(luò)安全審查、云計(jì)算服務(wù)安全評(píng)估、數(shù)據(jù)安全管理、個(gè)人信息保護(hù)、網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案等重要制度[3]。

關(guān)鍵信息基礎(chǔ)設(shè)施是國(guó)家經(jīng)濟(jì)社會(huì)穩(wěn)定運(yùn)行的重要基礎(chǔ)，是國(guó)家網(wǎng)絡(luò)安全保護(hù)的核心。上述政策法規(guī)、標(biāo)準(zhǔn)體系為關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)單位（以下簡(jiǎn)稱關(guān)基單位）提供了網(wǎng)絡(luò)安全建設(shè)指導(dǎo)性原則和合規(guī)性要求。例如，《關(guān)保條例》立足國(guó)家層面，基于業(yè)務(wù)和攻防視角，在識(shí)別認(rèn)定、安全防護(hù)、檢測(cè)評(píng)估、監(jiān)測(cè)預(yù)警、主動(dòng)防御和事件處置的整體安全框架下，規(guī)定了監(jiān)管部門、行業(yè)主管部門和關(guān)基單位的責(zé)任義務(wù)?！兜缺Ｒ蟆窂南到y(tǒng)視角出發(fā)，為信息系統(tǒng)和基礎(chǔ)網(wǎng)絡(luò)建立了技術(shù)和管理體系化的安全檢測(cè)、防護(hù)機(jī)制等實(shí)施指南[4]。《關(guān)保要求》從分析識(shí)別、安全防護(hù)、檢測(cè)評(píng)估、監(jiān)測(cè)預(yù)警、主動(dòng)防御、事件處置6個(gè)方面對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù)提出了明確的技術(shù)和管理要求[5]。

上述條例、指南和標(biāo)準(zhǔn)，側(cè)重對(duì)網(wǎng)絡(luò)安全技術(shù)應(yīng)用落實(shí)進(jìn)行檢測(cè)和評(píng)估，對(duì)網(wǎng)絡(luò)安全制度建設(shè)執(zhí)行的評(píng)估則較少涉及。相關(guān)文獻(xiàn)也多聚焦于重要行業(yè)或具體信息系統(tǒng)的網(wǎng)絡(luò)安全技術(shù)評(píng)價(jià)，如互聯(lián)網(wǎng)產(chǎn)業(yè)安全評(píng)價(jià)[6]、電力信息安全評(píng)價(jià)[7]、石油石化系統(tǒng)信息安全態(tài)勢(shì)評(píng)估[8]、關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)水平評(píng)價(jià)[9]、重要信息系統(tǒng)信息安全保障能力評(píng)價(jià)[10]、單位級(jí)網(wǎng)絡(luò)安全評(píng)價(jià)指標(biāo)體系研究[11]、關(guān)鍵信息基礎(chǔ)設(shè)施ICT供應(yīng)鏈安全風(fēng)險(xiǎn)評(píng)估指標(biāo)體系研究[12]等。

對(duì)于關(guān)基單位、行業(yè)主管或監(jiān)管部門而言，只有具體的信息系統(tǒng)或網(wǎng)絡(luò)安全技術(shù)評(píng)估還不夠。為進(jìn)一步夯實(shí)網(wǎng)絡(luò)安全責(zé)任，筑牢網(wǎng)絡(luò)安全防線，需要科學(xué)性和可操作性兼?zhèn)涞木C合評(píng)價(jià)體系，從系統(tǒng)和全局視角對(duì)關(guān)基單位網(wǎng)絡(luò)安全技術(shù)應(yīng)用與制度建設(shè)執(zhí)行進(jìn)行綜合測(cè)評(píng)，即針對(duì)關(guān)基單位的網(wǎng)絡(luò)安全能力進(jìn)行精細(xì)化評(píng)定和綜合測(cè)度。

綜上，在我國(guó)網(wǎng)絡(luò)安全政策法規(guī)和相關(guān)國(guó)家標(biāo)準(zhǔn)框架下，本文首先對(duì)關(guān)基單位網(wǎng)絡(luò)安全能力概念進(jìn)行界定，然后對(duì)其綜合評(píng)價(jià)指標(biāo)體系和評(píng)價(jià)方法進(jìn)行探究。預(yù)期創(chuàng)新點(diǎn)為：突破以往合規(guī)式網(wǎng)絡(luò)安全檢測(cè)評(píng)估，以關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全法律法規(guī)和國(guó)家標(biāo)準(zhǔn)為基礎(chǔ)，從網(wǎng)絡(luò)安全技術(shù)應(yīng)用和制度建設(shè)執(zhí)行兩方面，構(gòu)建關(guān)基單位網(wǎng)絡(luò)安全能力綜合評(píng)價(jià)指標(biāo)體系，從而為關(guān)基單位網(wǎng)絡(luò)安全能力自查與優(yōu)化提升，為行業(yè)主管或監(jiān)管部門監(jiān)督管理，提供科學(xué)量化的評(píng)價(jià)分析工具。

1 網(wǎng)絡(luò)安全能力概念

《網(wǎng)絡(luò)安全法》提出了我國(guó)網(wǎng)絡(luò)安全法治的基本框架，對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的基本要求、職責(zé)分工、履行義務(wù)和采取措施等方面做了基本法層面的總體制度安排?！蛾P(guān)保條例》在此基礎(chǔ)上，對(duì)于關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)相關(guān)的一系列制度要素做了具體規(guī)定，堅(jiān)持“誰(shuí)運(yùn)營(yíng)、誰(shuí)負(fù)責(zé)”原則，強(qiáng)化和落實(shí)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者主體責(zé)任，壓實(shí)了關(guān)基單位在網(wǎng)絡(luò)安全保護(hù)工作中的重要職責(zé)；要求關(guān)基單位依照《關(guān)保條例》和有關(guān)法律、行政法規(guī)以及國(guó)家標(biāo)準(zhǔn)的強(qiáng)制性要求，在網(wǎng)絡(luò)安全等級(jí)保護(hù)的基礎(chǔ)上，采取技術(shù)保護(hù)措施和其他必要措施，應(yīng)對(duì)網(wǎng)絡(luò)安全事件，防范網(wǎng)絡(luò)攻擊和違法犯罪活動(dòng)，保障關(guān)鍵信息基礎(chǔ)設(shè)施安全穩(wěn)定運(yùn)行，維護(hù)數(shù)據(jù)的完整性、保密性和可用性。

在《網(wǎng)絡(luò)安全法》和《關(guān)保條例》基礎(chǔ)上，陸續(xù)頒布的《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》《密碼法》和《等保要求》《關(guān)保要求》等，進(jìn)一步規(guī)定了關(guān)基單位網(wǎng)絡(luò)安全保護(hù)工作中應(yīng)依法履行的主體責(zé)任和合規(guī)義務(wù)，為落實(shí)網(wǎng)絡(luò)安全保護(hù)責(zé)任提供了有力的法制保障。上述網(wǎng)絡(luò)安全相關(guān)法律法規(guī)中所規(guī)定的關(guān)基單位應(yīng)履行的主體責(zé)任和合規(guī)義務(wù)落實(shí)與執(zhí)行后即內(nèi)化為關(guān)基單位的網(wǎng)絡(luò)安全能力；進(jìn)一步，從網(wǎng)絡(luò)安全技術(shù)應(yīng)用與制度建設(shè)執(zhí)行兩個(gè)層面，可將其細(xì)分歸納為網(wǎng)絡(luò)安全“技術(shù)體系、基礎(chǔ)保障、主動(dòng)防御與應(yīng)急、規(guī)范運(yùn)營(yíng)、培訓(xùn)教育、技術(shù)創(chuàng)新”6個(gè)方面的能力。

2 指標(biāo)體系

以上述法律法規(guī)、國(guó)家標(biāo)準(zhǔn)和關(guān)基單位網(wǎng)絡(luò)安全能力概念為基礎(chǔ)，提出包含網(wǎng)絡(luò)安全“技術(shù)體系能力”“基礎(chǔ)保障能力”“主動(dòng)防御與應(yīng)急能力”“規(guī)范運(yùn)營(yíng)能力”“培訓(xùn)教育能力”“技術(shù)創(chuàng)新能力”6個(gè)一級(jí)指標(biāo)，26個(gè)二級(jí)指標(biāo)和58個(gè)三級(jí)指標(biāo)的關(guān)基單位網(wǎng)絡(luò)安全能力綜合評(píng)價(jià)指標(biāo)體系，如表1所示。

表1 關(guān)基單位網(wǎng)絡(luò)安全能力綜合評(píng)價(jià)指標(biāo)體系

續(xù)表

2.1 網(wǎng)絡(luò)安全技術(shù)體系能力

依據(jù)《網(wǎng)絡(luò)安全法》第二十一條和第三十一條，網(wǎng)絡(luò)安全技術(shù)體系能力是指關(guān)基單位在重要網(wǎng)絡(luò)設(shè)施和信息系統(tǒng)建設(shè)中，遵循《等保要求》《信息系統(tǒng)密碼應(yīng)用測(cè)評(píng)要求》《關(guān)保要求》等要求，部署使用網(wǎng)絡(luò)安全產(chǎn)品與技術(shù)方案等所形成的網(wǎng)絡(luò)安全技術(shù)體系。該指標(biāo)下設(shè)“網(wǎng)絡(luò)安全等級(jí)保護(hù)綜合評(píng)估、商用密碼應(yīng)用安全性綜合評(píng)估”兩個(gè)二級(jí)指標(biāo)。

2.1.1 網(wǎng)絡(luò)安全等級(jí)保護(hù)綜合評(píng)估

關(guān)基單位可擁有多個(gè)不同等級(jí)的信息系統(tǒng)，綜合測(cè)度關(guān)基單位網(wǎng)絡(luò)安全等級(jí)保護(hù)情況。《等保要求》根據(jù)信息系統(tǒng)受到破壞后對(duì)國(guó)家和個(gè)人信息安全的損害程度，將信息系統(tǒng)分為五級(jí)，信息系統(tǒng)保護(hù)等級(jí)越高，對(duì)網(wǎng)絡(luò)安全影響越大。該三級(jí)指標(biāo)得分需收集專業(yè)機(jī)構(gòu)給出的各系統(tǒng)可信等保測(cè)評(píng)得分，然后以等級(jí)為權(quán)重加權(quán)平均。

2.1.2 商用密碼應(yīng)用安全性綜合評(píng)估

依據(jù)《密碼法》第二十七條，為綜合測(cè)度關(guān)基單位的商用密碼應(yīng)用安全性情況，下設(shè)“商用密碼應(yīng)用安全性綜合得分”一個(gè)三級(jí)指標(biāo)。該指標(biāo)評(píng)分需收集專業(yè)機(jī)構(gòu)給出的關(guān)基單位內(nèi)各系統(tǒng)網(wǎng)絡(luò)安全等級(jí)及其商用密碼應(yīng)用安全性測(cè)評(píng)得分，然后以等級(jí)為權(quán)重加權(quán)平均。

2.2 網(wǎng)絡(luò)安全基礎(chǔ)保障能力

網(wǎng)絡(luò)安全基礎(chǔ)保障能力是指關(guān)基單位為減少網(wǎng)絡(luò)安全事件、達(dá)到網(wǎng)絡(luò)安全標(biāo)準(zhǔn)、確保網(wǎng)絡(luò)安全狀況，在其日常生產(chǎn)、經(jīng)營(yíng)、管理活動(dòng)中建立的網(wǎng)絡(luò)安全制度和相應(yīng)的人財(cái)物等資源投入。該指標(biāo)下設(shè)“三同步原則、網(wǎng)絡(luò)安全保護(hù)制度、網(wǎng)絡(luò)安全責(zé)任制度、人財(cái)物資源支持”4個(gè)二級(jí)指標(biāo)。

2.2.1 三同步原則

依據(jù)《網(wǎng)絡(luò)安全法》第三十三條、《關(guān)保條例》第十二條，該指標(biāo)下設(shè)“同步規(guī)劃落實(shí)、同步建設(shè)落實(shí)、同步使用落實(shí)”3個(gè)三級(jí)指標(biāo)。一是同步規(guī)劃落實(shí)，是指關(guān)基單位在關(guān)鍵信息基礎(chǔ)設(shè)施與信息系統(tǒng)規(guī)劃階段是否同步引入安全保護(hù)措施。二是同步建設(shè)落實(shí)，是指關(guān)基單位在關(guān)鍵信息基礎(chǔ)設(shè)施與信息系統(tǒng)建設(shè)階段是否同步建設(shè)網(wǎng)絡(luò)安全保護(hù)措施。三是同步使用落實(shí)，是指關(guān)基單位在關(guān)鍵信息基礎(chǔ)設(shè)施與信息系統(tǒng)建成驗(yàn)收后的日常運(yùn)營(yíng)維護(hù)中，是否保持系統(tǒng)處于持續(xù)安全防護(hù)水平。上述指標(biāo)打分需提交證明材料，由評(píng)審專家進(jìn)行審核，若通過(guò)則得100分，否則得0分。

2.2.2 網(wǎng)絡(luò)安全保護(hù)制度

依據(jù)《網(wǎng)絡(luò)安全法》第二十一條，《網(wǎng)絡(luò)安全法》第四十條、四十二條，以及《關(guān)保條例》第十五條，該指標(biāo)下設(shè)“網(wǎng)絡(luò)安全保護(hù)制度綜合得分”一個(gè)三級(jí)指標(biāo)，由評(píng)審專家從內(nèi)容完備性、任務(wù)明確性和責(zé)任落實(shí)性3個(gè)方面對(duì)關(guān)基單位的網(wǎng)絡(luò)安全保護(hù)制度進(jìn)行綜合評(píng)分。

2.2.3 網(wǎng)絡(luò)安全責(zé)任制度

依據(jù)《網(wǎng)絡(luò)安全法》第二十一條，《關(guān)保條例》第四條、第十三條、第十四條、第十五條，該指標(biāo)下設(shè)“網(wǎng)絡(luò)安全管理機(jī)構(gòu)設(shè)置、網(wǎng)絡(luò)安全關(guān)鍵崗位認(rèn)定、網(wǎng)絡(luò)安全崗位職責(zé)分工、網(wǎng)絡(luò)安全責(zé)任人設(shè)置、責(zé)任人制度、安全背景審查”6個(gè)三級(jí)指標(biāo)。一是網(wǎng)絡(luò)安全管理機(jī)構(gòu)設(shè)置，是指關(guān)基單位是否設(shè)立了專門負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作的管理機(jī)構(gòu)。二是網(wǎng)絡(luò)安全關(guān)鍵崗位認(rèn)定，是指關(guān)基單位是否對(duì)網(wǎng)絡(luò)安全管理核心崗位進(jìn)行認(rèn)定。三是網(wǎng)絡(luò)安全崗位職責(zé)分工，是指關(guān)基單位中是否有專人承擔(dān)安全規(guī)劃、安全策略管理、監(jiān)測(cè)預(yù)警、應(yīng)急響應(yīng)與處置、基礎(chǔ)安全巡查等職責(zé)。四是網(wǎng)絡(luò)安全責(zé)任人設(shè)置，是指關(guān)基單位是否設(shè)置了網(wǎng)絡(luò)安全責(zé)任人。五是責(zé)任人制度，是指關(guān)基單位是否把“主要負(fù)責(zé)人對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)負(fù)總責(zé)”寫(xiě)入本單位網(wǎng)絡(luò)安全保護(hù)制度中，并落實(shí)“主要負(fù)責(zé)人對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù)、領(lǐng)導(dǎo)組織對(duì)重大網(wǎng)絡(luò)安全事件的處置工作、組織研究解決重大網(wǎng)絡(luò)安全問(wèn)題”3大職責(zé)。六是安全背景審查，是指關(guān)基單位對(duì)網(wǎng)絡(luò)安全管理機(jī)構(gòu)負(fù)責(zé)人和關(guān)鍵崗位人員是否進(jìn)行嚴(yán)格的安全背景審查，確保其政治可靠、作風(fēng)優(yōu)良和綜合能力過(guò)硬。上述指標(biāo)除網(wǎng)絡(luò)安全崗位職責(zé)分工，按照“專人負(fù)責(zé)、有工作人員兼任、無(wú)人負(fù)責(zé)”3種情況，依次評(píng)估崗位分工情況并計(jì)算其均值，其他指標(biāo)均根據(jù)“是或否”評(píng)分，若為“是”則得100分，“否”則得0分。

2.2.4 人財(cái)物資源支持

依據(jù)《關(guān)保條例》第十三條、第十六條，該指標(biāo)下設(shè)“網(wǎng)絡(luò)安全資金投入、網(wǎng)絡(luò)安全人力投入”兩個(gè)三級(jí)指標(biāo)，均可采用功效系數(shù)法評(píng)分。一是網(wǎng)絡(luò)安全資金投入，是指過(guò)去3年關(guān)基單位用于網(wǎng)絡(luò)安全設(shè)備、服務(wù)或技術(shù)創(chuàng)新資金投入與其信息系統(tǒng)資金投入之比。二是網(wǎng)絡(luò)安全人力投入，是指過(guò)去3年關(guān)基單位負(fù)責(zé)網(wǎng)絡(luò)安全工作的人員與從事信息化相關(guān)工作人員之比。

2.3 網(wǎng)絡(luò)安全主動(dòng)防御與應(yīng)急能力

網(wǎng)絡(luò)安全主動(dòng)防御與應(yīng)急能力，其中，主動(dòng)防御能力是指以應(yīng)對(duì)攻擊行為的監(jiān)測(cè)發(fā)現(xiàn)為基礎(chǔ)，主動(dòng)采取收斂暴露面、捕獲、溯源、干擾和阻斷等措施，開(kāi)展攻防演習(xí)和威脅情報(bào)工作，提升對(duì)網(wǎng)絡(luò)威脅與攻擊行為的識(shí)別、分析和主動(dòng)防御的能力；應(yīng)急能力是指關(guān)基單位在發(fā)生網(wǎng)絡(luò)安全突發(fā)事件后，為使各項(xiàng)應(yīng)急指揮調(diào)度工作迅速、高效、有序進(jìn)行，確保關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)行故障快速恢復(fù)，保持安全暢通而開(kāi)展應(yīng)急預(yù)案規(guī)劃及職責(zé)落實(shí)的能力。依據(jù)《網(wǎng)絡(luò)安全法》第二十五條、二十六條，《關(guān)保條例》第二十五條，以及《關(guān)保要求》，該指標(biāo)下設(shè)“攻防演習(xí)、威脅情報(bào)、應(yīng)急預(yù)案制定、應(yīng)急演練、網(wǎng)絡(luò)安全工作考核、網(wǎng)絡(luò)安全事件處置、網(wǎng)絡(luò)安全事件報(bào)告、網(wǎng)絡(luò)安全檢測(cè)與風(fēng)險(xiǎn)評(píng)估”8個(gè)二級(jí)指標(biāo)。

2.3.1 攻防演習(xí)

攻防演習(xí)是指近一年內(nèi)關(guān)基單位為應(yīng)對(duì)網(wǎng)絡(luò)攻擊行為，主動(dòng)采取相關(guān)措施開(kāi)展的攻防演習(xí)次數(shù)，按照功效系數(shù)法進(jìn)行評(píng)分。

2.3.2 威脅情報(bào)

威脅情報(bào)是指關(guān)基單位使用和共享可用于解決威脅或應(yīng)對(duì)網(wǎng)絡(luò)安全危害的知識(shí)，該指標(biāo)下設(shè)“威脅情報(bào)使用情況、威脅情報(bào)共享情況”兩個(gè)三級(jí)指標(biāo)。一是威脅情報(bào)使用情況，是指關(guān)基單位網(wǎng)絡(luò)安全體系中威脅情況保持更新的頻率，可按照更新頻率等級(jí)進(jìn)行評(píng)分。二是威脅情報(bào)共享情況，是指關(guān)基單位產(chǎn)生并共享與相關(guān)部門的威脅情報(bào)條目數(shù)，可采用排隊(duì)計(jì)分法評(píng)分。

2.3.3 應(yīng)急預(yù)案制定

應(yīng)急預(yù)案制定是指對(duì)關(guān)基單位網(wǎng)絡(luò)安全應(yīng)急預(yù)案的綜合評(píng)價(jià)，下設(shè)“應(yīng)急預(yù)案綜合得分”一個(gè)三級(jí)指標(biāo)。該項(xiàng)指標(biāo)由評(píng)審專家依據(jù)《國(guó)家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》對(duì)其完備性和合理性進(jìn)行綜合評(píng)分。

2.3.4 應(yīng)急演練

依據(jù)《網(wǎng)絡(luò)安全法》第三十四條，該指標(biāo)下設(shè)“應(yīng)急演練參與率”一個(gè)三級(jí)指標(biāo)，為近一年參與應(yīng)急演練的員工與所有正式員工之比，反映關(guān)基單位的網(wǎng)絡(luò)安全意識(shí)和應(yīng)急演練落實(shí)程度，可采用排隊(duì)計(jì)分法評(píng)分。

2.3.5 網(wǎng)絡(luò)安全工作考核

依據(jù)《關(guān)保條例》第十五條，該指標(biāo)下設(shè)“網(wǎng)絡(luò)安全工作考核次數(shù)、網(wǎng)絡(luò)安全工作考核合格率”兩個(gè)三級(jí)指標(biāo)，從量和質(zhì)兩方面測(cè)度關(guān)基單位的網(wǎng)絡(luò)安全工作考核情況。一是網(wǎng)絡(luò)安全工作考核次數(shù)，是指近一年關(guān)基單位組織開(kāi)展網(wǎng)絡(luò)安全工作考核的次數(shù)，評(píng)分采用功效系數(shù)法。二是網(wǎng)絡(luò)安全工作考核合格率，是指近一年關(guān)基單位網(wǎng)絡(luò)安全工作考核合格的員工與所有員工之比。若關(guān)基單位未進(jìn)行網(wǎng)絡(luò)安全工作考核，則得分為0，若有則采用功效系數(shù)法評(píng)分。

2.3.6 網(wǎng)絡(luò)安全事件處置

網(wǎng)絡(luò)安全事件處置既是關(guān)基單位網(wǎng)絡(luò)安全應(yīng)急管理的過(guò)程，也反映其應(yīng)急管理成效，因此下設(shè)“網(wǎng)絡(luò)安全事件發(fā)生次數(shù)、網(wǎng)絡(luò)安全事件發(fā)生增減率”兩個(gè)三級(jí)指標(biāo)。一是網(wǎng)絡(luò)安全事件發(fā)生次數(shù)，是指近一年關(guān)基單位網(wǎng)絡(luò)安全事件發(fā)生的次數(shù)，可采用排隊(duì)計(jì)分法評(píng)分。二是網(wǎng)絡(luò)安全事件發(fā)生增減率，是指近一年網(wǎng)絡(luò)安全事件發(fā)生次數(shù)增減量與網(wǎng)絡(luò)安全事件發(fā)生次數(shù)之比，可采用功效系數(shù)法評(píng)分。

2.3.7 網(wǎng)絡(luò)安全事件報(bào)告

依據(jù)《網(wǎng)絡(luò)安全法》第二十五條，《關(guān)保條例》第十一條、第十七條、第十八條，該指標(biāo)下設(shè)“網(wǎng)絡(luò)安全事件報(bào)告率”一個(gè)三級(jí)指標(biāo)，是指關(guān)基單位向監(jiān)管部門報(bào)告的網(wǎng)絡(luò)安全事件發(fā)生次數(shù)與按規(guī)定應(yīng)向監(jiān)管部門報(bào)告的網(wǎng)絡(luò)安全事件發(fā)生次數(shù)之比，可采用排隊(duì)計(jì)分法評(píng)分。

2.3.8 網(wǎng)絡(luò)安全檢測(cè)與風(fēng)險(xiǎn)評(píng)估

依據(jù)《網(wǎng)絡(luò)安全法》第三十八條、《關(guān)保條例》第十七條，關(guān)基單位網(wǎng)絡(luò)安全檢測(cè)與風(fēng)險(xiǎn)評(píng)估工作既要考慮評(píng)估次數(shù)，又要兼顧評(píng)估過(guò)程和效果。因此，該指標(biāo)下設(shè)“網(wǎng)絡(luò)安全檢測(cè)與風(fēng)險(xiǎn)評(píng)估次數(shù)、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)及其危害、網(wǎng)絡(luò)安全檢測(cè)與風(fēng)險(xiǎn)評(píng)估效果”3個(gè)三級(jí)指標(biāo)。一是網(wǎng)絡(luò)安全檢測(cè)與風(fēng)險(xiǎn)評(píng)估次數(shù)，是指近一年關(guān)基單位進(jìn)行網(wǎng)絡(luò)安全檢測(cè)、風(fēng)險(xiǎn)評(píng)估的次數(shù)，大于或等于1則得100分，否則得0分。二是網(wǎng)絡(luò)安全風(fēng)險(xiǎn)及其危害，是指在安全檢測(cè)與風(fēng)險(xiǎn)評(píng)估過(guò)程中，關(guān)基單位發(fā)現(xiàn)的高、中、低風(fēng)險(xiǎn)問(wèn)題的數(shù)量及其危害性的綜合加權(quán)評(píng)估得分。三是網(wǎng)絡(luò)安全檢測(cè)和風(fēng)險(xiǎn)評(píng)估效果，反映近一年關(guān)基單位對(duì)網(wǎng)絡(luò)安全檢測(cè)與風(fēng)險(xiǎn)評(píng)估中發(fā)現(xiàn)問(wèn)題的整改落實(shí)效果，是指已完成整改的網(wǎng)絡(luò)安全問(wèn)題與發(fā)現(xiàn)的問(wèn)題總數(shù)量之比，可采用排隊(duì)計(jì)分法評(píng)分。

2.4 網(wǎng)絡(luò)安全規(guī)范運(yùn)營(yíng)能力

網(wǎng)絡(luò)安全規(guī)范運(yùn)營(yíng)能力是指關(guān)基單位依據(jù)網(wǎng)絡(luò)安全法律法規(guī)，在整個(gè)生產(chǎn)經(jīng)營(yíng)過(guò)程中遵守運(yùn)營(yíng)原則及相關(guān)網(wǎng)絡(luò)安全行為規(guī)范的能力。該指標(biāo)下設(shè)“分析識(shí)別、網(wǎng)絡(luò)安全和信息化決策參與、公眾監(jiān)督、網(wǎng)絡(luò)產(chǎn)品和服務(wù)采購(gòu)、數(shù)據(jù)存儲(chǔ)本土化與安全評(píng)估、運(yùn)營(yíng)狀態(tài)調(diào)整、合法合規(guī)表現(xiàn)”7個(gè)二級(jí)指標(biāo)。

2.4.1 分析識(shí)別

依據(jù)《關(guān)保要求》國(guó)家標(biāo)準(zhǔn)，分析識(shí)別是關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的基礎(chǔ)，是指圍繞關(guān)鍵信息基礎(chǔ)設(shè)施承載的關(guān)鍵業(yè)務(wù)，關(guān)基單位需要開(kāi)展業(yè)務(wù)依賴性識(shí)別、關(guān)鍵資產(chǎn)識(shí)別、風(fēng)險(xiǎn)識(shí)別和重大更新重新識(shí)別等活動(dòng)。據(jù)此，該指標(biāo)下設(shè)“業(yè)務(wù)識(shí)別、資產(chǎn)識(shí)別、風(fēng)險(xiǎn)識(shí)別、重大變更重新識(shí)別”4個(gè)三級(jí)指標(biāo)，取值均為“是或否”，若為“是”則得100分，“否”則得0分。

2.4.2 網(wǎng)絡(luò)安全和信息化決策參與

依據(jù)《關(guān)保條例》第十六條，該指標(biāo)下設(shè)“安全管理機(jī)構(gòu)人員參與網(wǎng)絡(luò)安全和信息化決策比率”一個(gè)三級(jí)指標(biāo)，是指專門安全管理機(jī)構(gòu)人員參與網(wǎng)絡(luò)安全和信息化的決策次數(shù)與網(wǎng)絡(luò)安全和信息化總決策次數(shù)之比，評(píng)分可采用排隊(duì)計(jì)分法。

2.4.3 公共監(jiān)督

依據(jù)《網(wǎng)絡(luò)安全法》第四十九條，該指標(biāo)下設(shè)“網(wǎng)絡(luò)信息安全投訴舉報(bào)制度、網(wǎng)絡(luò)信息安全投訴舉報(bào)渠道、公共監(jiān)督效果”3個(gè)三級(jí)指標(biāo)。一是網(wǎng)絡(luò)信息安全投訴舉報(bào)制度，是指關(guān)基單位是否建立了網(wǎng)絡(luò)信息安全投訴、舉報(bào)制度，若為“是”則得100分，“否”則得0分。二是網(wǎng)絡(luò)信息安全投訴舉報(bào)渠道，將公眾監(jiān)督從制度落實(shí)到具體行動(dòng)，是指關(guān)基單位是否有網(wǎng)絡(luò)信息安全投訴舉報(bào)渠道，若為“是”則得100分，“否”則得0分。三是公共監(jiān)督效果，是指近一年關(guān)基單位對(duì)網(wǎng)絡(luò)信息安全投訴舉報(bào)的處理率。若未收到投訴舉報(bào)則評(píng)分為100分，否則按照處理率進(jìn)行排隊(duì)計(jì)分。

2.4.4 網(wǎng)絡(luò)產(chǎn)品和服務(wù)采購(gòu)

關(guān)基單位在日常經(jīng)營(yíng)中通常會(huì)涉及網(wǎng)絡(luò)產(chǎn)品和服務(wù)購(gòu)買行為，《網(wǎng)絡(luò)安全法》和《關(guān)保條例》對(duì)此做出了明確規(guī)定。如《網(wǎng)絡(luò)安全法》第二十三條、第三十五條、第三十六條，《關(guān)保條例》第十九條、第二十條，據(jù)此，該指標(biāo)下設(shè)“網(wǎng)絡(luò)產(chǎn)品和服務(wù)采購(gòu)安全可信率、網(wǎng)絡(luò)產(chǎn)品和服務(wù)采購(gòu)國(guó)家安全審查率、網(wǎng)絡(luò)產(chǎn)品和服務(wù)采購(gòu)安全保密協(xié)議簽署率”3個(gè)三級(jí)指標(biāo)。一是網(wǎng)絡(luò)產(chǎn)品和服務(wù)采購(gòu)安全可信率，是指近一年關(guān)基單位采購(gòu)的有安全資質(zhì)的網(wǎng)絡(luò)產(chǎn)品和服務(wù)數(shù)量與網(wǎng)絡(luò)產(chǎn)品和服務(wù)采購(gòu)總數(shù)量之比。二是網(wǎng)絡(luò)產(chǎn)品和服務(wù)采購(gòu)的國(guó)家安全審查率，是指近一年關(guān)基單位采購(gòu)的網(wǎng)絡(luò)產(chǎn)品和服務(wù)通過(guò)國(guó)家安全審查的比率。三是網(wǎng)絡(luò)產(chǎn)品和服務(wù)采購(gòu)的安全保密協(xié)議簽署率，是指近一年關(guān)基單位采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)與提供商簽訂安全保密協(xié)議的比率，上述指標(biāo)均可采用排隊(duì)計(jì)分法評(píng)分。若關(guān)基單位在調(diào)查年份未進(jìn)行上述采購(gòu)，則“網(wǎng)絡(luò)安全與服務(wù)采購(gòu)”指標(biāo)不計(jì)入，其權(quán)重均分于同級(jí)指標(biāo)。

2.4.5 數(shù)據(jù)存儲(chǔ)本土化與安全評(píng)估

依據(jù)《網(wǎng)絡(luò)安全法》第三十七條，為了規(guī)范數(shù)據(jù)出境活動(dòng)，保護(hù)個(gè)人信息權(quán)益，維護(hù)國(guó)家安全和社會(huì)公共利益，促進(jìn)數(shù)據(jù)跨境安全、自由流動(dòng)，根據(jù)《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等法律法規(guī)，國(guó)家出臺(tái)了《數(shù)據(jù)出境安全評(píng)估辦法》，它是專門針對(duì)數(shù)據(jù)處理者向境外提供在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的重要數(shù)據(jù)和個(gè)人信息的安全評(píng)估辦法。綜上，該指標(biāo)下設(shè)“境內(nèi)數(shù)據(jù)本土化存儲(chǔ)、向境外提供的國(guó)內(nèi)數(shù)據(jù)安全評(píng)估”兩個(gè)三級(jí)指標(biāo)。一是境內(nèi)數(shù)據(jù)本土化存儲(chǔ)，是指近一年關(guān)基單位在境內(nèi)收集的個(gè)人信息和重要數(shù)據(jù)是否在境內(nèi)存儲(chǔ)，若為“是”則得100分，“否”則得0分。二是向境外提供的國(guó)內(nèi)數(shù)據(jù)安全評(píng)估，是指近一年關(guān)基單位向境外提供個(gè)人信息和重要數(shù)據(jù)時(shí)是否進(jìn)行了安全評(píng)估。若未向境外提供過(guò)國(guó)內(nèi)數(shù)據(jù)，則本指標(biāo)不參與評(píng)分，權(quán)重分配于同級(jí)指標(biāo)；若曾向境外提供過(guò)國(guó)內(nèi)數(shù)據(jù)，則進(jìn)一步審核是否通過(guò)安全評(píng)估，若通過(guò)則得100分，否則得0分。

2.4.6 運(yùn)營(yíng)狀態(tài)調(diào)整

依據(jù)《關(guān)保條例》第二十條，該指標(biāo)下設(shè)“運(yùn)營(yíng)狀態(tài)調(diào)整報(bào)告、運(yùn)營(yíng)狀態(tài)調(diào)整處置”兩個(gè)三級(jí)指標(biāo)。一是運(yùn)營(yíng)狀態(tài)調(diào)整報(bào)告，是指近一年關(guān)基單位發(fā)生合并、分立、解散等情況時(shí)，是否及時(shí)報(bào)告保護(hù)工作部門。二是運(yùn)營(yíng)狀態(tài)調(diào)整處置，關(guān)基單位發(fā)生運(yùn)營(yíng)狀態(tài)調(diào)整后的關(guān)鍵信息基礎(chǔ)設(shè)施處置，是指近一年關(guān)基單位發(fā)生合并、分立、解散等情況時(shí)，是否按要求對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行處置。若近一年關(guān)基單位沒(méi)有發(fā)生過(guò)合并、分立、解散等情況，則“運(yùn)營(yíng)狀態(tài)調(diào)整”二級(jí)指標(biāo)不參與測(cè)評(píng)，權(quán)重平均分配于同級(jí)指標(biāo)；若運(yùn)營(yíng)狀態(tài)發(fā)生過(guò)調(diào)整，則考察關(guān)基單位是否開(kāi)展相應(yīng)報(bào)告和處置工作，若開(kāi)展則得100分，否則得0分。

2.4.7 合法合規(guī)表現(xiàn)

合法合規(guī)表現(xiàn)是指對(duì)關(guān)基單位運(yùn)營(yíng)是否規(guī)范的概括，若運(yùn)營(yíng)規(guī)范，則因網(wǎng)絡(luò)安全相關(guān)問(wèn)題而受到行業(yè)主管部門或監(jiān)管部門責(zé)令改正、罰款的可能性就會(huì)較小，因此合法合規(guī)表現(xiàn)更好。據(jù)此，該指標(biāo)下設(shè)“網(wǎng)絡(luò)安全問(wèn)題責(zé)令改正次數(shù)、網(wǎng)絡(luò)安全問(wèn)題被罰次數(shù)、網(wǎng)絡(luò)安全問(wèn)題被罰金額”3個(gè)三級(jí)指標(biāo)，均可采用排隊(duì)計(jì)分法評(píng)分。一是網(wǎng)絡(luò)安全問(wèn)題責(zé)令改正次數(shù)，是指近一年關(guān)基單位因網(wǎng)絡(luò)安全問(wèn)題被行業(yè)主管部門或監(jiān)管部門責(zé)令改正的總次數(shù)。二是網(wǎng)絡(luò)安全問(wèn)題被罰次數(shù)，是指近一年關(guān)基單位因網(wǎng)絡(luò)安全問(wèn)題被罰款的總次數(shù)。三是網(wǎng)絡(luò)安全問(wèn)題被罰款金額，是指近一年關(guān)基單位因網(wǎng)絡(luò)安全問(wèn)題被罰的總金額。

2.5 網(wǎng)絡(luò)安全培訓(xùn)教育能力

網(wǎng)絡(luò)安全培訓(xùn)教育能力是指關(guān)基單位安排自身網(wǎng)絡(luò)安全技術(shù)人員，或通過(guò)聘請(qǐng)行業(yè)網(wǎng)絡(luò)安全專家、與專業(yè)網(wǎng)絡(luò)安全培訓(xùn)機(jī)構(gòu)合作等方式，對(duì)單位員工定期開(kāi)展網(wǎng)絡(luò)安全培訓(xùn)的能力。依據(jù)《網(wǎng)絡(luò)安全法》第三十四條、《關(guān)保條例》第十五條，從網(wǎng)絡(luò)安全培訓(xùn)開(kāi)展情況和培訓(xùn)效果兩方面展開(kāi)，下設(shè)“網(wǎng)絡(luò)安全培訓(xùn)頻率及覆蓋范圍、網(wǎng)絡(luò)安全能力認(rèn)證”兩個(gè)二級(jí)指標(biāo)。

2.5.1 網(wǎng)絡(luò)安全培訓(xùn)頻率及覆蓋范圍

信息部門工作人員作為負(fù)責(zé)處理、運(yùn)營(yíng)、管理關(guān)基單位網(wǎng)絡(luò)安全的主體，比起其他部門人員，應(yīng)當(dāng)具有更高的網(wǎng)絡(luò)安全能力和素養(yǎng)，對(duì)于關(guān)基單位內(nèi)的非信息部門工作人員，則關(guān)注其網(wǎng)絡(luò)安全意識(shí)培訓(xùn)。綜上，該指標(biāo)下設(shè)“信息部門員工網(wǎng)絡(luò)安全教育培訓(xùn)次數(shù)、信息部門員工網(wǎng)絡(luò)安全培訓(xùn)全員參與率、非信息部門員工網(wǎng)絡(luò)安全教育培訓(xùn)次數(shù)、非信息部門員工網(wǎng)絡(luò)安全培訓(xùn)全員參與率”4個(gè)三級(jí)指標(biāo)。一是信息部門員工網(wǎng)絡(luò)安全教育培訓(xùn)次數(shù)，是指近一年關(guān)基單位為信息部門員工組織的網(wǎng)絡(luò)安全教育培訓(xùn)次數(shù)。二是信息部門員工網(wǎng)絡(luò)安全培訓(xùn)全員參與率，是指信息系統(tǒng)工作人員在網(wǎng)絡(luò)安全培訓(xùn)中全員參與次數(shù)與其網(wǎng)絡(luò)安全總培訓(xùn)次數(shù)之比。三是非信息部門員工網(wǎng)絡(luò)安全教育培訓(xùn)次數(shù)，是指近一年關(guān)基單位為非信息部門員工組織的網(wǎng)絡(luò)安全教育培訓(xùn)次數(shù)。四是非信息部門員工網(wǎng)絡(luò)安全培訓(xùn)全員參與率，是指近一年非信息部門員工在網(wǎng)絡(luò)安全培訓(xùn)中全員參與次數(shù)與其網(wǎng)絡(luò)安全總培訓(xùn)次數(shù)之比。上述指標(biāo)均可采用功效系數(shù)法進(jìn)行評(píng)分。

2.5.2 網(wǎng)絡(luò)安全能力認(rèn)證

網(wǎng)絡(luò)安全能力認(rèn)證是對(duì)關(guān)基單位組織網(wǎng)絡(luò)安全培訓(xùn)實(shí)施效果的衡量，是關(guān)基單位開(kāi)展網(wǎng)絡(luò)安全人才培養(yǎng)、促進(jìn)網(wǎng)絡(luò)安全人才交流的重要體現(xiàn)。該指標(biāo)下設(shè)“網(wǎng)絡(luò)安全能力認(rèn)證率、網(wǎng)絡(luò)安全能力認(rèn)證增加率”兩個(gè)三級(jí)指標(biāo)。一是網(wǎng)絡(luò)安全能力認(rèn)證率，是指關(guān)基單位從事網(wǎng)絡(luò)工作的工作人員通過(guò)網(wǎng)絡(luò)安全能力認(rèn)證的比率，可采用功效系數(shù)法評(píng)分。二是網(wǎng)絡(luò)安全能力認(rèn)證增加率，從動(dòng)態(tài)角度考察關(guān)基單位網(wǎng)絡(luò)安全培訓(xùn)效果，是指最近一年內(nèi)新增網(wǎng)絡(luò)安全能力認(rèn)證人數(shù)與上年年底網(wǎng)絡(luò)安全能力認(rèn)證人數(shù)之比，可采用排隊(duì)計(jì)分法評(píng)分。

2.6 網(wǎng)絡(luò)安全技術(shù)創(chuàng)新能力

網(wǎng)絡(luò)安全技術(shù)創(chuàng)新能力，是對(duì)關(guān)基單位網(wǎng)絡(luò)安全能力評(píng)價(jià)的補(bǔ)充要求，可設(shè)置為加分項(xiàng)，反映在國(guó)家政府鼓勵(lì)引導(dǎo)下，關(guān)基單位在網(wǎng)絡(luò)安全技術(shù)創(chuàng)新、協(xié)同合作、行業(yè)標(biāo)準(zhǔn)制定參與等方面的能力，下設(shè)“網(wǎng)絡(luò)安全標(biāo)準(zhǔn)參與、網(wǎng)絡(luò)安全技術(shù)創(chuàng)新與應(yīng)用、網(wǎng)絡(luò)安全協(xié)作”3個(gè)三級(jí)指標(biāo)。

2.6.1 網(wǎng)絡(luò)安全標(biāo)準(zhǔn)參與

依據(jù)《網(wǎng)絡(luò)安全法》第十五條，從廣度和深度兩個(gè)維度，本指標(biāo)下設(shè)“參與制定的國(guó)家/行業(yè)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)數(shù)量、參與國(guó)家/行業(yè)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)制定人員數(shù)”兩個(gè)三級(jí)指標(biāo)，均可采用排隊(duì)計(jì)分法評(píng)分。一是參與制定的國(guó)家/行業(yè)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)數(shù)量，是指近一年關(guān)基單位工作人員參與國(guó)家/行業(yè)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)制定的數(shù)量。二是參與國(guó)家/行業(yè)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)制定人員數(shù)，是指近一年關(guān)基單位參與國(guó)家/行業(yè)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)制定的人員數(shù)量。

2.6.2 網(wǎng)絡(luò)安全技術(shù)創(chuàng)新與應(yīng)用

依據(jù)《網(wǎng)絡(luò)安全法》第十八條，該指標(biāo)下設(shè)“網(wǎng)絡(luò)安全技術(shù)創(chuàng)新和應(yīng)用資金投入、網(wǎng)絡(luò)安全技術(shù)專利申請(qǐng)數(shù)量、網(wǎng)絡(luò)安全技術(shù)專利數(shù)量、專利成果轉(zhuǎn)化金額”4個(gè)三級(jí)指標(biāo)，均可采用排隊(duì)計(jì)分法評(píng)分。一是網(wǎng)絡(luò)安全技術(shù)創(chuàng)新和應(yīng)用資金投入，是指近一年關(guān)基單位網(wǎng)絡(luò)安全技術(shù)創(chuàng)新和應(yīng)用資金投入與網(wǎng)絡(luò)安全資金投入之比。二是網(wǎng)絡(luò)安全技術(shù)專利申請(qǐng)數(shù)量，是指近一年關(guān)基單位網(wǎng)絡(luò)安全技術(shù)相關(guān)專利的申請(qǐng)數(shù)量，該指標(biāo)從流量維度對(duì)關(guān)基單位網(wǎng)絡(luò)安全相關(guān)專利成果進(jìn)行衡量。三是網(wǎng)絡(luò)安全技術(shù)專利數(shù)量，是指截至測(cè)評(píng)年度關(guān)基單位所擁有的網(wǎng)絡(luò)安全技術(shù)專利數(shù)量，該指標(biāo)從存量維度對(duì)關(guān)基單位網(wǎng)絡(luò)安全相關(guān)專利成果進(jìn)行衡量。四是專利成果轉(zhuǎn)化金額數(shù)量，是指關(guān)基單位近一年專利成果轉(zhuǎn)化金額總量。

2.6.3 網(wǎng)絡(luò)安全協(xié)作

依據(jù)《網(wǎng)絡(luò)安全法》第二十九條，本指標(biāo)下設(shè)“與高等院校、科研機(jī)構(gòu)聯(lián)合開(kāi)展網(wǎng)絡(luò)安全技術(shù)合作研究次數(shù)”一個(gè)三級(jí)指標(biāo)，可采用排隊(duì)計(jì)分法評(píng)分。

3 計(jì)算方法

3.1 指標(biāo)評(píng)分方法

本指標(biāo)體系中，既有客觀評(píng)分指標(biāo)，也有專家審核評(píng)估的主觀指標(biāo)，既有正指標(biāo)、逆指標(biāo)，也有適度指標(biāo)。由于涉及多個(gè)領(lǐng)域，指標(biāo)的內(nèi)涵和計(jì)量單位有較大區(qū)別，因此可采用排隊(duì)計(jì)分法和功效系數(shù)法兩種綜合評(píng)價(jià)方法將指標(biāo)取值轉(zhuǎn)化為可比較得分。

排隊(duì)計(jì)分法是先將所有評(píng)價(jià)單位的單項(xiàng)評(píng)價(jià)指標(biāo)值依優(yōu)劣排隊(duì)，再根據(jù)評(píng)價(jià)單位指標(biāo)值的名次計(jì)算各單項(xiàng)得分。功效系數(shù)法先確定評(píng)價(jià)指標(biāo)的滿意值和不容許值，以滿意值為上限，以不容許值為下限，計(jì)算各指標(biāo)實(shí)現(xiàn)滿意值的程度。一般而言，指標(biāo)取值在各測(cè)評(píng)地區(qū)或行業(yè)間差異較大，不同地區(qū)或行業(yè)間不具直接可比性，重點(diǎn)關(guān)注各參評(píng)單位指標(biāo)取值的相對(duì)排名時(shí)，對(duì)于此類指標(biāo)宜采用排隊(duì)計(jì)分法；如果指標(biāo)取值具有客觀性和可比性，不同地區(qū)或行業(yè)的參評(píng)單位指標(biāo)取值可進(jìn)行比較，則采用功效系數(shù)法較為適宜。

3.2 指標(biāo)權(quán)重設(shè)置

本指標(biāo)體系權(quán)重設(shè)置采用主客觀結(jié)合方法，其中一級(jí)指標(biāo)和二級(jí)指標(biāo)權(quán)重可向關(guān)鍵信息基礎(chǔ)設(shè)施行業(yè)和領(lǐng)域主管部門、監(jiān)管部門、業(yè)內(nèi)專家，以及關(guān)基單位網(wǎng)絡(luò)安全保護(hù)工作人員等發(fā)放權(quán)重設(shè)置問(wèn)卷，然后采用層次分析法計(jì)算。三級(jí)指標(biāo)采用等權(quán)重計(jì)算，若因跳轉(zhuǎn)導(dǎo)致部分三級(jí)指標(biāo)未回答則令其權(quán)重為0。指標(biāo)體系中第一項(xiàng)至第五項(xiàng)為基礎(chǔ)項(xiàng)，綜合得分采用加權(quán)平均法進(jìn)行計(jì)算，得分范圍為0～100分，第六項(xiàng)為加分項(xiàng)，滿分可設(shè)為20分。

根據(jù)專家調(diào)研和實(shí)際測(cè)評(píng)驗(yàn)證，建議基礎(chǔ)項(xiàng)得分90分以上（含90分），測(cè)評(píng)結(jié)論為優(yōu)秀；得分80分以上（含80分），測(cè)評(píng)結(jié)論為良好；得分70分以上（含70分），測(cè)評(píng)結(jié)論為中等；得分60分以上（含60分），測(cè)評(píng)結(jié)論為一般；得分60分以下，測(cè)評(píng)結(jié)論為差。

4 結(jié) 語(yǔ)

關(guān)基單位的網(wǎng)絡(luò)安全保障，不僅取決于相關(guān)技術(shù)產(chǎn)品和方案的應(yīng)用，還取決于責(zé)任人員、制度流程、資金安排等制度建設(shè)。以網(wǎng)絡(luò)安全政策法規(guī)和國(guó)家標(biāo)準(zhǔn)為依據(jù)，構(gòu)建具有普適性的關(guān)基單位網(wǎng)絡(luò)安全能力綜合評(píng)價(jià)體系，評(píng)估測(cè)度關(guān)基單位網(wǎng)絡(luò)安全能力現(xiàn)狀，發(fā)現(xiàn)網(wǎng)絡(luò)安全能力短板，既是深入貫徹落實(shí)國(guó)家網(wǎng)絡(luò)安全政策法規(guī)、監(jiān)管部門網(wǎng)絡(luò)安全管理要求的需要，也是關(guān)基單位依法壓實(shí)網(wǎng)絡(luò)安全主體責(zé)任，為業(yè)務(wù)快速發(fā)展提供有效安全保障的需要。

本文構(gòu)建的綜合評(píng)價(jià)指標(biāo)體系突破了等級(jí)保護(hù)測(cè)評(píng)、商用密碼應(yīng)用測(cè)評(píng)等重技術(shù)應(yīng)用能力的評(píng)價(jià)模式，融合技術(shù)應(yīng)用和制度建設(shè)執(zhí)行，全面覆蓋關(guān)基單位依法應(yīng)履行的網(wǎng)絡(luò)安全主體責(zé)任和合規(guī)義務(wù)，實(shí)現(xiàn)了指標(biāo)體系和關(guān)基單位網(wǎng)絡(luò)安全能力提升的協(xié)同聯(lián)動(dòng)。既適合關(guān)基單位自身測(cè)評(píng)與問(wèn)題發(fā)現(xiàn)，也適用于行業(yè)主管部門或者監(jiān)管部門對(duì)關(guān)基單位進(jìn)行周期性測(cè)評(píng)與對(duì)比，從微觀主體層面把握關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作的建設(shè)現(xiàn)狀。評(píng)價(jià)的目的不是單純?cè)u(píng)出名次，更重要的是引導(dǎo)和鼓勵(lì)評(píng)價(jià)對(duì)象向正確的方向和目標(biāo)發(fā)展，引導(dǎo)我國(guó)關(guān)基單位網(wǎng)絡(luò)安全建設(shè)健康發(fā)展。

同時(shí)，本指標(biāo)體系雖是以關(guān)基單位為研究對(duì)象，但是對(duì)于非關(guān)基單位也具有較好的適用性，可根據(jù)評(píng)價(jià)對(duì)象進(jìn)行個(gè)別指標(biāo)調(diào)整后應(yīng)用；也可在本指標(biāo)體系基礎(chǔ)上，開(kāi)展全面的關(guān)基單位測(cè)評(píng)，之后進(jìn)行區(qū)域和行業(yè)網(wǎng)絡(luò)安全能力綜合測(cè)評(píng)。隨著關(guān)鍵信息基礎(chǔ)設(shè)施相關(guān)法律規(guī)范與國(guó)家標(biāo)準(zhǔn)配套的全面性和細(xì)節(jié)性進(jìn)一步提升，本指標(biāo)體系也應(yīng)同步調(diào)整更新。