智慧城市信息安全管理績(jī)效評(píng)價(jià)指標(biāo)體系研究

(湘潭大學(xué) 公共管理學(xué)院 湖南 湘潭 411100)

隨著城市信息化進(jìn)程逐步推進(jìn)，我國(guó)的智慧城市建設(shè)已逐步過(guò)渡到新型智慧城市建設(shè)階段。在智慧城市建設(shè)取得了積極進(jìn)展的同時(shí)，也暴露出缺乏頂層設(shè)計(jì)和統(tǒng)籌規(guī)劃、網(wǎng)絡(luò)安全隱患和風(fēng)險(xiǎn)突出等問(wèn)題。物聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)等新一代信息技術(shù)在城市管理中的廣泛應(yīng)用以及信息資源的高度融合為智慧城市帶來(lái)了更深層次安全風(fēng)險(xiǎn)。因此必須加強(qiáng)智慧城市信息安全管理，構(gòu)建一個(gè)復(fù)雜的綜合的多層次，多指標(biāo)的體系，對(duì)我國(guó)智慧城市信息安全實(shí)施績(jī)效進(jìn)行科學(xué)的、合理全面的評(píng)價(jià)，這對(duì)指導(dǎo)和促進(jìn)智慧城市的發(fā)展具有十分重要的意義。

一、智慧城市信息安全管理績(jī)效評(píng)價(jià)指標(biāo)的選取原則

(一)科學(xué)性原則

科學(xué)性原則要求智慧城市信息安全管理績(jī)效評(píng)價(jià)指標(biāo)能反映智慧城市信息安全管理的特征，能有效區(qū)別其他的評(píng)估對(duì)象，同時(shí)指標(biāo)的選擇須有充分的理論支撐，確保整個(gè)過(guò)程科學(xué)地進(jìn)行。與此同時(shí)，在設(shè)計(jì)評(píng)價(jià)體系時(shí)，還應(yīng)該做到科學(xué)的定義評(píng)價(jià)指標(biāo)，采用的數(shù)據(jù)及確定的權(quán)數(shù)也要有科學(xué)依據(jù)。

(二)整體性原則

智慧城市信息安全管理的評(píng)價(jià)體系是一個(gè)復(fù)雜的、有機(jī)聯(lián)系的、層次分明的整體，它必須能夠真實(shí)的反映出智慧城市信息安全管理各個(gè)方面的基本特征，各個(gè)指標(biāo)之間雖然看似獨(dú)立，但指標(biāo)之間又相互聯(lián)系構(gòu)成一個(gè)有機(jī)整體。

(三)系統(tǒng)性原則

智慧城市信息安全管理績(jī)效評(píng)價(jià)指標(biāo)體系要能反映智慧城市信息安全管理的內(nèi)涵和特征，遵循系統(tǒng)性原則。系統(tǒng)性原則要求信息安全管理績(jī)效評(píng)價(jià)指標(biāo)體系與信息安全管理的目的一致，這樣才能對(duì)智慧城市信息安全管理做出系統(tǒng)評(píng)價(jià)。

(四)規(guī)范性原則

智慧城市信息安全風(fēng)險(xiǎn)評(píng)估指標(biāo)體系的規(guī)范與否，直接關(guān)系到構(gòu)建的指標(biāo)體系的可操作性。因此在構(gòu)建智慧城市信息安全風(fēng)險(xiǎn)評(píng)估指標(biāo)體系時(shí)要力求規(guī)范、通俗易懂，全面地反映被評(píng)估對(duì)象各個(gè)要素之間的內(nèi)在聯(lián)系。

二、智慧城市信息安全管理績(jī)效評(píng)價(jià)指標(biāo)體系的構(gòu)建流程

(一)文獻(xiàn)資料查閱與整理

通過(guò)國(guó)家有關(guān)智慧城市或者信息安全管理評(píng)價(jià)指標(biāo)體系構(gòu)建的政策說(shuō)明等相關(guān)文獻(xiàn)資料的查閱與整理，發(fā)現(xiàn)對(duì)智慧城市信息安全管理績(jī)效評(píng)價(jià)的研究很少，仍停留在初級(jí)探索階段，通過(guò)大量的資料整理解讀，盡可能地提取與智慧城市信息安全管理相關(guān)的指標(biāo)，掌握智慧城市公共服務(wù)績(jī)效評(píng)價(jià)的基本框架，為后期工作的進(jìn)一步開(kāi)展奠定了基礎(chǔ)。

(二)學(xué)者訪談與專(zhuān)家咨詢(xún)

在文獻(xiàn)查閱與梳理的基礎(chǔ)上，與相關(guān)學(xué)者進(jìn)行訪談。針對(duì)信息安全管理相對(duì)滯后不能充分滿(mǎn)足信息保護(hù)需要的現(xiàn)象，在進(jìn)一步了解智慧城市信息安全管理現(xiàn)狀的基礎(chǔ)上，走訪相關(guān)專(zhuān)家學(xué)者以及智慧城市信息安全管理相關(guān)部門(mén)工作人員，分析智慧城市信息安全管理的特點(diǎn)，明確績(jī)效指標(biāo)所在范圍，逐步確立影響評(píng)價(jià)指標(biāo)體系構(gòu)建的要素。

(三)初始指標(biāo)體系的建立

從我國(guó)智慧城市的現(xiàn)實(shí)發(fā)展情況出發(fā)，根據(jù)智慧城市公共服務(wù)的服務(wù)領(lǐng)域，服務(wù)的對(duì)象，嚴(yán)格按照評(píng)價(jià)指標(biāo)體系的設(shè)計(jì)原則，建立初步的績(jī)效評(píng)價(jià)指標(biāo)體系，將智慧城市公共服務(wù)績(jī)效評(píng)價(jià)指標(biāo)的大類(lèi)指標(biāo)逐步拆成易于采集，可計(jì)量的低級(jí)指標(biāo)，指標(biāo)之間要有邏輯性。指標(biāo)體系設(shè)計(jì)結(jié)構(gòu)主要分為由目標(biāo)層、信息安全管理績(jī)效準(zhǔn)則層、指標(biāo)層。

(四)指標(biāo)體系的預(yù)試

指標(biāo)體系的預(yù)測(cè)試是確立最終評(píng)價(jià)指標(biāo)體系的重要環(huán)節(jié)。智慧城市公共服務(wù)績(jī)效評(píng)價(jià)指標(biāo)體系是一個(gè)有機(jī)的整體，依據(jù)智慧城市公共服務(wù)的評(píng)價(jià)內(nèi)容、要素并將其進(jìn)行歸并、重組以及提煉以此建立合理的評(píng)價(jià)指標(biāo)體系，并將建立的初始的指標(biāo)體系與智慧城市相關(guān)專(zhuān)家學(xué)者等進(jìn)行反復(fù)溝通，對(duì)不合理的指標(biāo)進(jìn)行剔除調(diào)整，增加需要的指標(biāo)，不斷地反饋給專(zhuān)家學(xué)者并進(jìn)行完善調(diào)整，最終確定智慧城市公共服務(wù)績(jī)效評(píng)價(jià)指標(biāo)體系。

三、智慧城市信息安全管理績(jī)效評(píng)價(jià)指標(biāo)體系的設(shè)計(jì)

在對(duì)指標(biāo)進(jìn)行篩選時(shí)，需要考慮的因素除了包括該指標(biāo)的現(xiàn)有應(yīng)用情況、與本文研究的對(duì)象實(shí)際應(yīng)用匹配程度，還應(yīng)該結(jié)合安全管理理論來(lái)分析其適用的理論根據(jù)。雖然目前我國(guó)對(duì)智慧城市信息安全管理績(jī)效研究的完整理論還未形成，但是信息安全管理績(jī)效的不同維度指標(biāo)也都不同程度的反映了一些現(xiàn)有的安全管理理論，這些理論都是我們?cè)谶M(jìn)行安全管理績(jī)效指標(biāo)篩選分析時(shí)應(yīng)該予以考慮的因素。

針對(duì)本文智慧城市，對(duì)其信息安全管理進(jìn)行績(jī)效評(píng)估可以初步確立從以下幾個(gè)方面綜合進(jìn)行：管理層的安全支持、人員安全管理、風(fēng)險(xiǎn)控制管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理、信息安全事件管理、事件應(yīng)急與處理。如表1。

表1 信息安全管理績(jī)效評(píng)價(jià)指標(biāo)體系

(一)管理層的安全支持

在智慧城市信息安全管理的工作中，有沒(méi)有制定信息安全管理政策和標(biāo)準(zhǔn)，以及相關(guān)政策和標(biāo)準(zhǔn)是不是符合國(guó)家層面指導(dǎo)性文件的方向和要求，是考評(píng)智慧城市信息安全管理首要的一方面。其次是有沒(méi)有建立專(zhuān)門(mén)的智慧城市信息安全管理組織機(jī)構(gòu)，以及組織結(jié)構(gòu)設(shè)計(jì)是否合理，也是應(yīng)該考評(píng)的指標(biāo)之一。有了智慧城市組織架構(gòu)和管理人員，還需要根據(jù)整個(gè)城市的安全目標(biāo)、方針和整體的安全戰(zhàn)略規(guī)劃，制定符合本地智慧城市現(xiàn)狀和需求的安全策略，并通過(guò)一系列管理制度加以規(guī)范和落實(shí)。綜上所述，管理層的支持要評(píng)估的指標(biāo)應(yīng)該包括：安全管理政策、安全管理機(jī)構(gòu)、安全管理策略和制度。

(二)人員安全管理

要做好智慧城市的信息安全管理工作，在建立專(zhuān)門(mén)的智慧城市信息安全管理組織機(jī)構(gòu)的基礎(chǔ)上，要進(jìn)一步明確崗位角色和職責(zé)，考慮是否設(shè)立信息安全最高負(fù)責(zé)人，并且配備一定數(shù)量的信息系統(tǒng)安全管理員、網(wǎng)絡(luò)管理員、安全操作員等，負(fù)責(zé)系統(tǒng)日常維護(hù)工作；針對(duì)智慧城市信息系統(tǒng)的相關(guān)管理人員和業(yè)務(wù)操作人員，應(yīng)定期開(kāi)展安全培訓(xùn)，提高全員的安全意識(shí)。綜上所述，人員安全管理的二級(jí)指標(biāo)主要包括：人員安全崗位職責(zé)、人員安全教育、培訓(xùn)和意識(shí)提升。

(三)風(fēng)險(xiǎn)控制管理

對(duì)風(fēng)險(xiǎn)進(jìn)行管理，首先要風(fēng)險(xiǎn)進(jìn)行辨識(shí)，范圍既包括相關(guān)的信息資產(chǎn)，也包括管理機(jī)構(gòu)、業(yè)務(wù)流程等。對(duì)這些風(fēng)險(xiǎn)、隱患進(jìn)行辨識(shí)后就需要采用合適的風(fēng)險(xiǎn)分析方法和工具，來(lái)分析威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，以及安全事件發(fā)生后對(duì)組織造成的損失，來(lái)綜合評(píng)價(jià)風(fēng)險(xiǎn)狀況，根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，有針對(duì)性地提出合適的安全控制措施，進(jìn)行相應(yīng)的風(fēng)險(xiǎn)管理。綜上，風(fēng)險(xiǎn)控制管理指標(biāo)的二級(jí)指標(biāo)主要包括：風(fēng)險(xiǎn)、隱患的辨識(shí)與上報(bào)、風(fēng)險(xiǎn)、隱患的評(píng)價(jià)、訪問(wèn)控制、資產(chǎn)管理、物理和環(huán)境安全。

(四)系統(tǒng)建設(shè)管理

系統(tǒng)建設(shè)管理第一步就是要明確信息系統(tǒng)的邊界和安全保護(hù)等級(jí)，其次是要保證安全產(chǎn)品采購(gòu)和使用符合國(guó)家的有關(guān)規(guī)定；再是指定或授權(quán)專(zhuān)門(mén)的部門(mén)或人員負(fù)責(zé)工程實(shí)施過(guò)程的管理，接著是委托公正的第三方測(cè)試單位對(duì)系統(tǒng)進(jìn)行安全性測(cè)試，并出具安全性測(cè)試報(bào)告；最后是制定詳細(xì)的系統(tǒng)交付清單，并根據(jù)交付清單對(duì)所交接的設(shè)備、軟件和文檔等進(jìn)行清點(diǎn)；綜上所述，系統(tǒng)建設(shè)管理的二級(jí)指標(biāo)主要包括：信息系統(tǒng)邊界與安全保護(hù)等級(jí)的確立、安全產(chǎn)品的采購(gòu)和使用管理、工程實(shí)施過(guò)程管理、系統(tǒng)的安全性測(cè)試和系統(tǒng)交付管理。

(五)系統(tǒng)運(yùn)維管理

系統(tǒng)運(yùn)維管理即對(duì)信息系統(tǒng)相關(guān)的各種設(shè)備、線路等指定專(zhuān)門(mén)的部門(mén)或人員定期進(jìn)行維護(hù)管理，建立基于申報(bào)、審批和專(zhuān)人負(fù)責(zé)的設(shè)備安全管理提時(shí)對(duì)信息系統(tǒng)的各種軟硬件設(shè)備的選型、采購(gòu)、發(fā)放和領(lǐng)用等過(guò)程進(jìn)行規(guī)范化管理建立配套設(shè)施、軟硬件維護(hù)方面的管理制度，對(duì)其維護(hù)進(jìn)行有效管理。綜上所述，系統(tǒng)運(yùn)維管理的二級(jí)指標(biāo)主要包括：設(shè)備的定期維護(hù)管理、設(shè)備的采選和領(lǐng)用管理、設(shè)備操作和使用的規(guī)范化管理。

(六)信息安全事件管理

信息安全事件管理是指組織為了應(yīng)對(duì)重大信息安全事件的發(fā)生所做的準(zhǔn)備以及在事件發(fā)生后所采取的措施。首先應(yīng)建立管理責(zé)任和規(guī)程，以確?？焖?、有效和有序地響應(yīng)信息安全事件。其次應(yīng)要求報(bào)告任何觀察到的或可疑的系統(tǒng)或服務(wù)中的信息安全弱點(diǎn)，建立適當(dāng)?shù)墓芾砬烙靡员M快地報(bào)告信息安全事態(tài)。此外還應(yīng)評(píng)估信息安全事態(tài)并決定其是否屬于信息安全事件，以及按照文件化的規(guī)程響應(yīng)信息安全事件。綜上所述，信息安全事件管理二級(jí)指標(biāo)分別為：責(zé)任和規(guī)程的制定、報(bào)告信息安全事態(tài)和弱點(diǎn)、信息安全事態(tài)的評(píng)估和決策、信息安全事件的響應(yīng)、從信息安全事件中學(xué)習(xí)。

(七)事件應(yīng)急與處理

事件應(yīng)急與處理是指組織為了應(yīng)對(duì)重大信息安全事件的發(fā)生所做的準(zhǔn)備以及在事件發(fā)生后所采取的措施?？疾鞈?yīng)急管理方面應(yīng)該從預(yù)案的編制、準(zhǔn)備、實(shí)施、實(shí)施后的評(píng)估幾方面來(lái)進(jìn)行。事件應(yīng)急與處理二級(jí)指標(biāo)可以包括：應(yīng)急預(yù)案的制定與災(zāi)難備份、災(zāi)難恢復(fù)培訓(xùn)與演練、評(píng)審與改進(jìn)。

結(jié)束語(yǔ)

現(xiàn)在，對(duì)智慧城市信息安全管理績(jī)效評(píng)價(jià)的研究還處于未完善，指標(biāo)體系的確定、評(píng)價(jià)標(biāo)準(zhǔn)的建立尚需進(jìn)一步考慮科學(xué)性和系統(tǒng)性。所以，還要不斷地對(duì)指標(biāo)體系進(jìn)行修改和完善，在評(píng)價(jià)過(guò)程中做到客觀、公正、科學(xué)，如此才能達(dá)到提高智慧城市信息安全管理質(zhì)量的目的。