第11卷第3期北京理工大学学报（社会科学版）Vol.11No.32009年6月JOURNALOFBEIJINGINSTITUTEOFTECHNOLOGY（SOCIALSCIENCESEDITION）Jun.2009我国电子政务安全管理评价体系研究王芳1，姚飞1，魏颖昊2（1.北京化工大学经济管理学院，北京100029；2.国家质量监督检验检疫总局信息中心，北京100088）摘要：信息安全管理绩效的评价是电子政务安全管理的重要方法。文章提出运用管理疏忽与危险树法对政府机关内部的信息安全管理现状进行系统性分析，以管理缺陷为分析重点，研究电子政务安全的影响因素，针对影响因素对电子政务安全管理的实施水平进行系统安全评价。关键词：电子政务；信息安全管理；评价体系中图分类号：D913文献标识码：A文章编号：1009-3370（2009）03-0079-05目前我国政府部门的硬件普及率已经较高，各持、监控和评估。ISO/IEC17799及其实施指南ISO/种信息化建设的鼓励政策和资金投入都已得到了有IEC27000系列———该系列来自英国标准研究所力保障，但很多政府机关普遍发生了不敢使用互联7799信息安全标准。ISO把安全划分为10个主要网（与网络物理隔离）的现象；同时2008年《中华人等级，包含了36个顶级层面的控制，有将近200个民共和国政府信息公开条例》所要求的“行政机关应推荐策略和标准区域。ITIL（信息技术基础设施库）当及时、准确地公开政府信息”被各政府机关视为需———重点在于整体的技术环境，而不是具体的安全。要面对的重大安全难题。由此导致政务工作效率难与前两者相比，ITIL所关心的是服务交付而不是技以提高、服务难以完善、工作难以透明廉洁的根本原术或者控制过程。U.S.NIST800系列———美国国家因不单纯是信息化建设的问题，而更多是电子政务标准和技术研究所特别出版物800-18和800-80定安全得不到有效管理的问题。这一问题已成为阻碍义了17个高层面的安全控制家族[1]。考虑到四大框我国电子政务发展的最大制约因素，迫切需要得到架的适用范围，本文主要借鉴了信息技术控制目标解决。（COBIT）的审计思想。信息安全“三分技术，七分管理”的思想目前已在我国，国务院信息办作为国家信息化和信息经被广泛接受，然而在安全实践中，安全管理依然被安全管理的最主要职能机构，在推进风险管理方面人们忽视。导致这种局面的一个重要原因是安全管发挥着指挥和协调的作用。为了适应信息安全保障理的效果未能得到科学的评价。一方面安全管理的时代的到来，我国制定了一系列相关法规与标准，其有效性难以评价，相对于安全技术，安全管理包括了中重点强调了等级保护和风险评估的基础作用。在众多的非量化的难以测量的因素，所以评价工作难等级保护方面，《计算机信息系统安全保护等级划分度较大；另一方面，人们过分依赖信息安全技术的实准则》(GB17859)已于2001年1月1日开始执行，是践应用，而对于电子政务安全管理的评价研究却比我国等级保护工作总的指导准则；同时公安部门还较零散。目前，我国尚未有一个电子政务安全管理的针对安全保护的各个方面制定了多个配套标准。在统一评价体系，但是无法测量的行为就无法被管理，风险评估方面，从2007年起，对国家基础信息网络因此要使政府机关内部信息安全管理落到实处，一和重要信息系统（即“8＋2”系统）开始实行制度化的个合理适用的评价体系是必不可少的。风险评估。然而由于风险评估的技术尚不成熟，目前我国的电子政务安全仍处于粗放式管理阶段，科学一、关于电子政务安全管理的研究现状有效的安全评价十分欠缺[2]。目前国际上已有一些安全审计与控制的相关研二、电子政务安全管理评价方法设计究，最流行的安全框架有如下四种：COBIT（信息技术控制目标）———COBIT为打算部署管理计划的组电子政务安全管理评价的成功实施需要解决三织提供IT和安全的目标。它定义了34种控制目标，个关键问题：评价要素选取、评价指标选取、指标量分为4个部分：计划和组织、获得和实施、交付和支化处理及权重选取。收稿日期：2008-09-16作者简介：王芳（1983—），女，硕士研究生。E-mail：cinderella_wf@163.com79--北京理工大学学报（社会科学版）2009年第3期1.电子政务安全管理的评价要素选取成安全防护技术管理的失控。主要的失控因素可以评价要素是评判信息安全管理是否有效的组成归纳为物理层控制不当、网络层控制不当、系统层控因素，所有评价要素的合力表现，就能够呈现出信制不当、应用层控制不当以及数据层控制不当。另一息安全管理的效果。要成功选取评价要素，首先必方面，周围存