(湘潭大學 公共管理學院 湖南 湘潭 411100)

隨著城市信息化進程逐步推進，我國的智慧城市建設已逐步過渡到新型智慧城市建設階段。在智慧城市建設取得了積極進展的同時，也暴露出缺乏頂層設計和統(tǒng)籌規(guī)劃、網(wǎng)絡安全隱患和風險突出等問題。物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)等新一代信息技術在城市管理中的廣泛應用以及信息資源的高度融合為智慧城市帶來了更深層次安全風險。因此必須加強智慧城市信息安全管理，構建一個復雜的綜合的多層次，多指標的體系，對我國智慧城市信息安全實施績效進行科學的、合理全面的評價，這對指導和促進智慧城市的發(fā)展具有十分重要的意義。

一、智慧城市信息安全管理績效評價指標的選取原則

(一)科學性原則

科學性原則要求智慧城市信息安全管理績效評價指標能反映智慧城市信息安全管理的特征，能有效區(qū)別其他的評估對象，同時指標的選擇須有充分的理論支撐，確保整個過程科學地進行。與此同時，在設計評價體系時，還應該做到科學的定義評價指標，采用的數(shù)據(jù)及確定的權數(shù)也要有科學依據(jù)。

(二)整體性原則

智慧城市信息安全管理的評價體系是一個復雜的、有機聯(lián)系的、層次分明的整體，它必須能夠真實的反映出智慧城市信息安全管理各個方面的基本特征，各個指標之間雖然看似獨立，但指標之間又相互聯(lián)系構成一個有機整體。

(三)系統(tǒng)性原則

智慧城市信息安全管理績效評價指標體系要能反映智慧城市信息安全管理的內(nèi)涵和特征，遵循系統(tǒng)性原則。系統(tǒng)性原則要求信息安全管理績效評價指標體系與信息安全管理的目的一致，這樣才能對智慧城市信息安全管理做出系統(tǒng)評價。

(四)規(guī)范性原則

智慧城市信息安全風險評估指標體系的規(guī)范與否，直接關系到構建的指標體系的可操作性。因此在構建智慧城市信息安全風險評估指標體系時要力求規(guī)范、通俗易懂，全面地反映被評估對象各個要素之間的內(nèi)在聯(lián)系。

二、智慧城市信息安全管理績效評價指標體系的構建流程

(一)文獻資料查閱與整理

通過國家有關智慧城市或者信息安全管理評價指標體系構建的政策說明等相關文獻資料的查閱與整理，發(fā)現(xiàn)對智慧城市信息安全管理績效評價的研究很少，仍停留在初級探索階段，通過大量的資料整理解讀，盡可能地提取與智慧城市信息安全管理相關的指標，掌握智慧城市公共服務績效評價的基本框架，為后期工作的進一步開展奠定了基礎。

(二)學者訪談與專家咨詢

在文獻查閱與梳理的基礎上，與相關學者進行訪談。針對信息安全管理相對滯后不能充分滿足信息保護需要的現(xiàn)象，在進一步了解智慧城市信息安全管理現(xiàn)狀的基礎上，走訪相關專家學者以及智慧城市信息安全管理相關部門工作人員，分析智慧城市信息安全管理的特點，明確績效指標所在范圍，逐步確立影響評價指標體系構建的要素。

(三)初始指標體系的建立

從我國智慧城市的現(xiàn)實發(fā)展情況出發(fā)，根據(jù)智慧城市公共服務的服務領域，服務的對象，嚴格按照評價指標體系的設計原則，建立初步的績效評價指標體系，將智慧城市公共服務績效評價指標的大類指標逐步拆成易于采集，可計量的低級指標，指標之間要有邏輯性。指標體系設計結構主要分為由目標層、信息安全管理績效準則層、指標層。

(四)指標體系的預試

指標體系的預測試是確立最終評價指標體系的重要環(huán)節(jié)。智慧城市公共服務績效評價指標體系是一個有機的整體，依據(jù)智慧城市公共服務的評價內(nèi)容、要素并將其進行歸并、重組以及提煉以此建立合理的評價指標體系，并將建立的初始的指標體系與智慧城市相關專家學者等進行反復溝通，對不合理的指標進行剔除調(diào)整，增加需要的指標，不斷地反饋給專家學者并進行完善調(diào)整，最終確定智慧城市公共服務績效評價指標體系。

三、智慧城市信息安全管理績效評價指標體系的設計

在對指標進行篩選時，需要考慮的因素除了包括該指標的現(xiàn)有應用情況、與本文研究的對象實際應用匹配程度，還應該結合安全管理理論來分析其適用的理論根據(jù)。雖然目前我國對智慧城市信息安全管理績效研究的完整理論還未形成，但是信息安全管理績效的不同維度指標也都不同程度的反映了一些現(xiàn)有的安全管理理論，這些理論都是我們在進行安全管理績效指標篩選分析時應該予以考慮的因素。

針對本文智慧城市，對其信息安全管理進行績效評估可以初步確立從以下幾個方面綜合進行：管理層的安全支持、人員安全管理、風險控制管理、系統(tǒng)建設管理、系統(tǒng)運維管理、信息安全事件管理、事件應急與處理。如表1。

表1 信息安全管理績效評價指標體系

(一)管理層的安全支持

在智慧城市信息安全管理的工作中，有沒有制定信息安全管理政策和標準，以及相關政策和標準是不是符合國家層面指導性文件的方向和要求，是考評智慧城市信息安全管理首要的一方面。其次是有沒有建立專門的智慧城市信息安全管理組織機構，以及組織結構設計是否合理，也是應該考評的指標之一。有了智慧城市組織架構和管理人員，還需要根據(jù)整個城市的安全目標、方針和整體的安全戰(zhàn)略規(guī)劃，制定符合本地智慧城市現(xiàn)狀和需求的安全策略，并通過一系列管理制度加以規(guī)范和落實。綜上所述，管理層的支持要評估的指標應該包括：安全管理政策、安全管理機構、安全管理策略和制度。

(二)人員安全管理

要做好智慧城市的信息安全管理工作，在建立專門的智慧城市信息安全管理組織機構的基礎上，要進一步明確崗位角色和職責，考慮是否設立信息安全最高負責人，并且配備一定數(shù)量的信息系統(tǒng)安全管理員、網(wǎng)絡管理員、安全操作員等，負責系統(tǒng)日常維護工作；針對智慧城市信息系統(tǒng)的相關管理人員和業(yè)務操作人員，應定期開展安全培訓，提高全員的安全意識。綜上所述，人員安全管理的二級指標主要包括：人員安全崗位職責、人員安全教育、培訓和意識提升。

(三)風險控制管理

對風險進行管理，首先要風險進行辨識，范圍既包括相關的信息資產(chǎn)，也包括管理機構、業(yè)務流程等。對這些風險、隱患進行辨識后就需要采用合適的風險分析方法和工具，來分析威脅利用脆弱性導致安全事件發(fā)生的可能性，以及安全事件發(fā)生后對組織造成的損失，來綜合評價風險狀況，根據(jù)風險評估的結果，有針對性地提出合適的安全控制措施，進行相應的風險管理。綜上，風險控制管理指標的二級指標主要包括：風險、隱患的辨識與上報、風險、隱患的評價、訪問控制、資產(chǎn)管理、物理和環(huán)境安全。

(四)系統(tǒng)建設管理

系統(tǒng)建設管理第一步就是要明確信息系統(tǒng)的邊界和安全保護等級，其次是要保證安全產(chǎn)品采購和使用符合國家的有關規(guī)定；再是指定或授權專門的部門或人員負責工程實施過程的管理，接著是委托公正的第三方測試單位對系統(tǒng)進行安全性測試，并出具安全性測試報告；最后是制定詳細的系統(tǒng)交付清單，并根據(jù)交付清單對所交接的設備、軟件和文檔等進行清點；綜上所述，系統(tǒng)建設管理的二級指標主要包括：信息系統(tǒng)邊界與安全保護等級的確立、安全產(chǎn)品的采購和使用管理、工程實施過程管理、系統(tǒng)的安全性測試和系統(tǒng)交付管理。

(五)系統(tǒng)運維管理

系統(tǒng)運維管理即對信息系統(tǒng)相關的各種設備、線路等指定專門的部門或人員定期進行維護管理，建立基于申報、審批和專人負責的設備安全管理提時對信息系統(tǒng)的各種軟硬件設備的選型、采購、發(fā)放和領用等過程進行規(guī)范化管理建立配套設施、軟硬件維護方面的管理制度，對其維護進行有效管理。綜上所述，系統(tǒng)運維管理的二級指標主要包括：設備的定期維護管理、設備的采選和領用管理、設備操作和使用的規(guī)范化管理。

(六)信息安全事件管理

信息安全事件管理是指組織為了應對重大信息安全事件的發(fā)生所做的準備以及在事件發(fā)生后所采取的措施。首先應建立管理責任和規(guī)程，以確?？焖?、有效和有序地響應信息安全事件。其次應要求報告任何觀察到的或可疑的系統(tǒng)或服務中的信息安全弱點，建立適當?shù)墓芾砬烙靡员M快地報告信息安全事態(tài)。此外還應評估信息安全事態(tài)并決定其是否屬于信息安全事件，以及按照文件化的規(guī)程響應信息安全事件。綜上所述，信息安全事件管理二級指標分別為：責任和規(guī)程的制定、報告信息安全事態(tài)和弱點、信息安全事態(tài)的評估和決策、信息安全事件的響應、從信息安全事件中學習。

(七)事件應急與處理

事件應急與處理是指組織為了應對重大信息安全事件的發(fā)生所做的準備以及在事件發(fā)生后所采取的措施?？疾鞈惫芾矸矫鎽搹念A案的編制、準備、實施、實施后的評估幾方面來進行。事件應急與處理二級指標可以包括：應急預案的制定與災難備份、災難恢復培訓與演練、評審與改進。

結束語

現(xiàn)在，對智慧城市信息安全管理績效評價的研究還處于未完善，指標體系的確定、評價標準的建立尚需進一步考慮科學性和系統(tǒng)性。所以，還要不斷地對指標體系進行修改和完善，在評價過程中做到客觀、公正、科學，如此才能達到提高智慧城市信息安全管理質(zhì)量的目的。