彭國超 劉 婕

(中山大學(xué)信息管理學(xué)院 廣州 510006)

0 引 言

身處大數(shù)據(jù)時(shí)代，不論是個(gè)人生活、企業(yè)發(fā)展還是國家發(fā)展都離不開信息和數(shù)據(jù)。然而，信息泄露、信息污染、信息侵權(quán)、信息破壞等信息安全問題不斷凸顯[1]，對個(gè)人、企業(yè)和國家都造成了巨大損失和極大的影響。

于個(gè)人而言，信息泄漏威脅著個(gè)人信息安全和隱私安全。中國互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)發(fā)布的第47次《中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》顯示，截至2020年12月，21.9%的網(wǎng)民遭遇過個(gè)人信息泄露，16.5%遭遇過網(wǎng)絡(luò)詐騙，8.2%遭遇過賬號或密碼被盜。手機(jī)APP、惡意SDK、可聯(lián)網(wǎng)設(shè)備已成為個(gè)人隱私泄漏的重要渠道。通過“默認(rèn)勾選”“霸王條款”或未經(jīng)授權(quán)進(jìn)行的個(gè)人信息的“套取”“強(qiáng)取”“奪取”亂像突出，基于個(gè)人信息而發(fā)展的數(shù)據(jù)黑灰產(chǎn)業(yè)鏈條逐步完善[2]。

于企業(yè)而言，信息不僅是生產(chǎn)要素，更是企業(yè)的無形資產(chǎn)[3]。Solms指出保護(hù)企業(yè)的信息安全是在保護(hù)企業(yè)的信息資產(chǎn)，認(rèn)為信息安全應(yīng)被稱為商業(yè)安全[4]。根據(jù)Verizon發(fā)布數(shù)據(jù)泄露調(diào)查報(bào)告顯示，數(shù)據(jù)泄露事件覆蓋了幾乎全球各行各業(yè)的大中小型企業(yè)[5]。從2019年到2020年，僅1年時(shí)間，已確認(rèn)的數(shù)據(jù)泄露事件從2013驟增至3950起[5-6]，漲超96%。我國公安部與百度聯(lián)合發(fā)布《2020年網(wǎng)絡(luò)犯罪防范治理研究報(bào)告》顯示，預(yù)計(jì)至2021年，網(wǎng)絡(luò)黑灰產(chǎn)的市場效益將比肩世界第三大經(jīng)濟(jì)體，網(wǎng)絡(luò)犯罪將會是未來十年全球最引人注目的風(fēng)險(xiǎn)之一。

于國家而言，數(shù)據(jù)的生產(chǎn)能力和掌控能力已經(jīng)成為國家影響力和主導(dǎo)權(quán)的新的體現(xiàn)[7]。美國一邊通過“棱鏡”計(jì)劃肆意對人們的電子郵件、社交媒體通信等進(jìn)行監(jiān)聽監(jiān)控，另一邊卻打著“保護(hù)信息安全”的旗號抹黑中國，打壓排擠中國企業(yè)，并借Facebook控制輿論。在國際關(guān)系日益復(fù)雜化、國際競爭日益激烈的當(dāng)下，中國信息安全領(lǐng)域面臨的壓力巨大。

可見，信息安全之于個(gè)人、企業(yè)和國家的重要性都與日俱增，已經(jīng)成為各方共同聚焦的熱點(diǎn)。

信息安全標(biāo)準(zhǔn)是信息安全保障體系中重要的技術(shù)體系，發(fā)揮著重要的協(xié)調(diào)和指導(dǎo)作用[8]。在國際上，國際標(biāo)準(zhǔn)化組織(ISO)和國際電工委員會(IEC)聯(lián)合成立的信息技術(shù)委員會ISO/IEC JTC1的分技術(shù)委員會SC27負(fù)責(zé)信息安全、網(wǎng)絡(luò)安全和隱私保護(hù)領(lǐng)域的標(biāo)準(zhǔn)化工作。截至2021年3月5日，該組織已發(fā)布標(biāo)準(zhǔn)378項(xiàng)(含已廢止標(biāo)準(zhǔn))，在研標(biāo)準(zhǔn)計(jì)劃82項(xiàng)。在我國，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(SAC/TC260)負(fù)責(zé)我國信息安全領(lǐng)域的標(biāo)準(zhǔn)化工作，并對口ISO/IEC JTC1/SC27的國內(nèi)標(biāo)準(zhǔn)化工作。目前，SAC/TC260歸口標(biāo)準(zhǔn)已達(dá)402項(xiàng)(含已廢止標(biāo)準(zhǔn))，在研標(biāo)準(zhǔn)計(jì)劃71項(xiàng)。

ISO/IEC/JTC1/SC27目前有46個(gè)正式成員國和34個(gè)觀察成員國。其發(fā)布的標(biāo)準(zhǔn)包含著最新且獲得各成員國認(rèn)可的技術(shù)內(nèi)容，因而成為了國際信息安全標(biāo)準(zhǔn)的風(fēng)向標(biāo)。本研究擬梳理我國SAC/TC260歸口的全部402項(xiàng)信息安全標(biāo)準(zhǔn)和71項(xiàng)標(biāo)準(zhǔn)計(jì)劃，及ISO/IEC JTC1/SC27歸口的全部378項(xiàng)標(biāo)準(zhǔn)和82項(xiàng)標(biāo)準(zhǔn)計(jì)劃，通過對比來分析我國信息安全標(biāo)準(zhǔn)化工作存在的問題，以及未來信息安全標(biāo)準(zhǔn)的發(fā)展方向。具體可以分解為三個(gè)研究問題：

a.我國與ISO信息安全標(biāo)準(zhǔn)發(fā)展路徑的差別有哪些？

b.我國與ISO現(xiàn)行信息安全標(biāo)準(zhǔn)的差別有哪些？

c.我國與ISO信息安全標(biāo)準(zhǔn)未來發(fā)展方向有何不同？

1 文獻(xiàn)綜述

我國關(guān)于信息安全標(biāo)準(zhǔn)的研究主要分為我國國內(nèi)信息安全標(biāo)準(zhǔn)研究和國外信息安全標(biāo)準(zhǔn)研究。我國國內(nèi)信息安全標(biāo)準(zhǔn)研究主要聚焦于我國信息安全標(biāo)準(zhǔn)體系和行業(yè)信息安全標(biāo)準(zhǔn)體系研究，如工業(yè)、智慧城市、智能網(wǎng)聯(lián)汽車、工業(yè)互聯(lián)網(wǎng)、核電廠、工業(yè)控制系統(tǒng)、數(shù)字檔案、鐵路等。趙文等人[9]梳理了我國信息安全標(biāo)準(zhǔn)體系，并介紹了主要標(biāo)準(zhǔn)之間的關(guān)系。陳雪鴻[10]研究了工業(yè)信息安全標(biāo)準(zhǔn)體系。關(guān)鴻鵬[11]分析了我國工業(yè)互聯(lián)網(wǎng)中的信息安全隱患，提出了工業(yè)互聯(lián)網(wǎng)信息安全標(biāo)準(zhǔn)體系架構(gòu)的建議。國外信息安全標(biāo)準(zhǔn)的研究主要是對國際信息安全標(biāo)準(zhǔn)和發(fā)達(dá)國家信息安全標(biāo)準(zhǔn)的內(nèi)容、體系進(jìn)行分析，并對我國信息安全標(biāo)準(zhǔn)的研制和體系建立提出建議。謝宗曉[12]介紹了ISO/IEC 27036標(biāo)準(zhǔn)體系和ISO/IEC 27036-3的內(nèi)容，分析了ICT供應(yīng)鏈信息安全風(fēng)險(xiǎn)，針對我國實(shí)施實(shí)施ICT供應(yīng)鏈信息安全管理提出了建議。陳湉等人[13]梳理了ISO/IEC、ITU-T、美國NIST和我國的信息安全標(biāo)準(zhǔn)體系，從實(shí)用性、適用性和銜接性分析了標(biāo)準(zhǔn)體系框架存在的問題。孫航[14]對比了ISO、ITU-T、聯(lián)合國世界車輛法規(guī)協(xié)調(diào)論壇和美國SAE信息安全標(biāo)準(zhǔn)，提出了我國汽車信息安全標(biāo)準(zhǔn)體系建設(shè)方面的建議。寧華[15]介紹了美國和我國的移動互聯(lián)網(wǎng)信息安全標(biāo)準(zhǔn)，認(rèn)為有必要進(jìn)一步完善我國互聯(lián)網(wǎng)信息安全標(biāo)準(zhǔn)體系。

國外信息安全標(biāo)準(zhǔn)的研究主要是關(guān)于信息安全管理標(biāo)準(zhǔn)具體內(nèi)容的分析及標(biāo)準(zhǔn)的實(shí)施研究，尤其是信息安全管理體系ISO 27000族標(biāo)準(zhǔn)的實(shí)施問題是國外信息安全標(biāo)準(zhǔn)研究的熱點(diǎn)內(nèi)容。在標(biāo)準(zhǔn)內(nèi)容方面，國外研究主要是對具體標(biāo)準(zhǔn)的內(nèi)容進(jìn)行對比研究。如，Prameet P. Roy[16]對比了美國NIST網(wǎng)絡(luò)安全框架和ISO 27001信息安全標(biāo)準(zhǔn)的優(yōu)缺點(diǎn)。國外在標(biāo)準(zhǔn)的實(shí)施方面進(jìn)行了從影響因素、就緒度到具體實(shí)施的一系列細(xì)致研究。Susanto等人[17]綜合組織、相關(guān)方、工具&技術(shù)、方針、文化和知識六個(gè)范疇開發(fā)了一套測試組織實(shí)施ISO 27001就緒度的集成解決方案建模軟件。Shuchih Ernest Chang等人[18]通過實(shí)證研究發(fā)現(xiàn)管理者的IT能力、環(huán)境的不確定性、行業(yè)類型、組織規(guī)模都是影響B(tài)S7799實(shí)施的因素。Stefan Fenz[19]創(chuàng)建了ISO 27002標(biāo)準(zhǔn)的正式表達(dá)式，并展示了如何運(yùn)用安全本體提高符合性檢查的效率。

可見，現(xiàn)有信息安全標(biāo)準(zhǔn)的對比研究主要是聚焦于具體行業(yè)的標(biāo)準(zhǔn)內(nèi)容對比和信息安全標(biāo)準(zhǔn)體系的對比，缺乏關(guān)于信息安全標(biāo)準(zhǔn)整體情況的梳理和主題對比。本研究擬對我國和ISO信息安全標(biāo)準(zhǔn)整體情況和標(biāo)準(zhǔn)主題進(jìn)行對比，以查找我國信息安全標(biāo)準(zhǔn)化工作存在的問題，并分析信息安全標(biāo)準(zhǔn)發(fā)展方向。

2 研究方法

文獻(xiàn)計(jì)量學(xué)是運(yùn)用數(shù)學(xué)、統(tǒng)計(jì)學(xué)等計(jì)量方法來研究文獻(xiàn)或文獻(xiàn)相關(guān)媒介以掌握科學(xué)技術(shù)動態(tài)特征的學(xué)科[20]。自21世紀(jì)初，文獻(xiàn)計(jì)量學(xué)便被運(yùn)用于農(nóng)業(yè)標(biāo)準(zhǔn)、中醫(yī)藥標(biāo)準(zhǔn)、科技檔案標(biāo)準(zhǔn)、出版業(yè)標(biāo)準(zhǔn)等行業(yè)的標(biāo)準(zhǔn)研究中[21-24]。李景等[25]用文獻(xiàn)計(jì)量法分析了農(nóng)業(yè)標(biāo)準(zhǔn)的專業(yè)分布和熱點(diǎn)領(lǐng)域。劉華[26]運(yùn)用文獻(xiàn)計(jì)量法對中外信息與文獻(xiàn)國家標(biāo)準(zhǔn)的數(shù)量、時(shí)間分布、標(biāo)齡、技術(shù)領(lǐng)域分布和國際標(biāo)準(zhǔn)采用情況進(jìn)行了對比分析。李小濤等[27]用信息計(jì)量分析法對我國公共服務(wù)標(biāo)準(zhǔn)的進(jìn)行了研究。陳云鵬[28]系統(tǒng)地分析了文獻(xiàn)計(jì)量學(xué)方法和標(biāo)準(zhǔn)情報(bào)需求，提出了基于五維度模型(采用強(qiáng)度、采用廣度、采用效度、采用粘度和轉(zhuǎn)化速度)的標(biāo)準(zhǔn)采用影響力分析法。王鵬濤等[23]認(rèn)為標(biāo)準(zhǔn)文獻(xiàn)的計(jì)量應(yīng)從數(shù)量維度、制定主體維度、(采用)關(guān)系維度和時(shí)間維度來進(jìn)行研究。結(jié)合研究問題，本研究將從數(shù)量、時(shí)間、采用關(guān)系和主題四個(gè)維度來進(jìn)行分析。

2.1數(shù)據(jù)來源對比中國知網(wǎng)、國家標(biāo)準(zhǔn)館、中國標(biāo)準(zhǔn)服務(wù)網(wǎng)、全國標(biāo)準(zhǔn)信息公共服務(wù)平臺的標(biāo)準(zhǔn)著錄信息發(fā)現(xiàn)，全國標(biāo)準(zhǔn)信息公共服務(wù)平臺的數(shù)據(jù)最全，且有按照標(biāo)準(zhǔn)歸口進(jìn)行標(biāo)準(zhǔn)分類，因此本研究國內(nèi)標(biāo)準(zhǔn)數(shù)據(jù)選用全國標(biāo)準(zhǔn)信息服務(wù)平臺的數(shù)據(jù)。ISO標(biāo)準(zhǔn)信息選用ISO官方網(wǎng)站數(shù)據(jù)。本研究所用數(shù)據(jù)采集日期為2021年3月5日。為保證數(shù)據(jù)的權(quán)威性和可比性，運(yùn)用爬蟲軟件爬取了2021年3月5日當(dāng)天全國標(biāo)準(zhǔn)信息公共服務(wù)平臺和ISO官方網(wǎng)站上的標(biāo)準(zhǔn)題錄信息，包括標(biāo)準(zhǔn)標(biāo)題、標(biāo)準(zhǔn)狀態(tài)、發(fā)布時(shí)間、實(shí)施時(shí)間和國際標(biāo)準(zhǔn)采用信息。共爬取我國全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(SAC/TC260)歸口的標(biāo)準(zhǔn)402項(xiàng)，標(biāo)準(zhǔn)計(jì)劃71項(xiàng)，ISO/IEC JTC1/SC 27歸口的標(biāo)準(zhǔn)378項(xiàng)，標(biāo)準(zhǔn)計(jì)劃82項(xiàng)。

然而，我國主要的標(biāo)準(zhǔn)服務(wù)官網(wǎng)和ISO官方網(wǎng)站上關(guān)于標(biāo)準(zhǔn)的著錄信息中均沒有主題詞或關(guān)鍵詞信息，標(biāo)準(zhǔn)文本也沒有標(biāo)注關(guān)鍵詞或主題詞，為共詞分析帶來一定困難。但標(biāo)準(zhǔn)的標(biāo)題是對標(biāo)準(zhǔn)內(nèi)容最準(zhǔn)確的凝練，因此本研究基于標(biāo)準(zhǔn)標(biāo)題進(jìn)行關(guān)鍵詞標(biāo)注。具體標(biāo)注方法如下：

a.去除助詞、標(biāo)點(diǎn)符號和數(shù)字編號，僅保留有實(shí)質(zhì)性意義的名詞；

b.在不改變原文意義的前提下，根據(jù)語義對標(biāo)題進(jìn)行盡可能小的單位詞組劃分。例如，標(biāo)題“信息技術(shù) 安全技術(shù) 消息鑒別碼 第1部分：采用分組密碼的機(jī)制”的關(guān)鍵詞標(biāo)記為“信息安全技術(shù)、安全技術(shù)、消息鑒別碼、分組密碼、機(jī)制”，標(biāo)題“ Information technology Security techniques Encryption algorithms Part 5: Identity-based ciphers Amendment 1: SM9 mechanism”的關(guān)鍵詞標(biāo)記為“information technology, security techniques, encryption algorithms, identity-based ciphers, SM9, mechanism”。

最終，402項(xiàng)我國信息安全標(biāo)準(zhǔn)共標(biāo)記關(guān)鍵詞1 506個(gè)，378項(xiàng)ISO信息安全標(biāo)準(zhǔn)共標(biāo)記關(guān)鍵詞1715個(gè)；312項(xiàng)我國現(xiàn)行信息安全標(biāo)準(zhǔn)共標(biāo)記關(guān)鍵詞1167個(gè)，207項(xiàng)ISO現(xiàn)行信息安全標(biāo)準(zhǔn)共標(biāo)記關(guān)鍵詞905個(gè)；71項(xiàng)我國在研標(biāo)準(zhǔn)計(jì)劃共標(biāo)記關(guān)鍵詞374個(gè)，82項(xiàng)ISO在研標(biāo)準(zhǔn)計(jì)劃共標(biāo)記關(guān)鍵詞428個(gè)。

2.2分析方法

2.2.1 頻次分析 對信息安全標(biāo)準(zhǔn)歷年發(fā)布數(shù)量進(jìn)行統(tǒng)計(jì)，得出標(biāo)準(zhǔn)發(fā)布數(shù)量隨時(shí)間發(fā)展的演進(jìn)趨勢圖。統(tǒng)計(jì)我國標(biāo)準(zhǔn)及所采用國際標(biāo)準(zhǔn)的發(fā)布時(shí)間，并計(jì)算時(shí)間差，得出我國標(biāo)準(zhǔn)比國際標(biāo)準(zhǔn)的滯后時(shí)間，反映出我國國際標(biāo)準(zhǔn)采用的實(shí)效性。對標(biāo)準(zhǔn)的標(biāo)齡進(jìn)行統(tǒng)計(jì)，并計(jì)算出各標(biāo)齡的占比，可以看出標(biāo)準(zhǔn)老化情況，反映出標(biāo)準(zhǔn)的實(shí)效性和復(fù)審工作的及時(shí)性。根據(jù)標(biāo)準(zhǔn)計(jì)劃下達(dá)時(shí)間統(tǒng)計(jì)在研標(biāo)準(zhǔn)計(jì)劃數(shù)量，可以看出標(biāo)準(zhǔn)計(jì)劃的完成情況，反映出標(biāo)準(zhǔn)制修訂工作的實(shí)效性和完成度。

2.2.2 共詞分析 現(xiàn)有研究中有學(xué)者根據(jù)標(biāo)準(zhǔn)編號對標(biāo)準(zhǔn)進(jìn)行技術(shù)領(lǐng)域劃分來研究其分布情況。但這種研究方法粒度太粗，無法識別出標(biāo)準(zhǔn)主題的變化。因此本研究采用共詞分析法來研究標(biāo)準(zhǔn)主題的特點(diǎn)和變化。共詞分析法是一種利用主題詞來分析研究領(lǐng)域主題構(gòu)成的內(nèi)容分析法[29]。本研究通過對基于標(biāo)準(zhǔn)標(biāo)題標(biāo)注出的關(guān)鍵詞進(jìn)行共詞分析。

2.2.3 知識圖譜 知識圖譜旨在對科學(xué)知識的發(fā)展進(jìn)程和關(guān)系進(jìn)行可視化描述，具有直觀、定量、知識發(fā)現(xiàn)等特點(diǎn)。本研究將根據(jù)標(biāo)準(zhǔn)標(biāo)題標(biāo)注的關(guān)鍵詞和標(biāo)準(zhǔn)發(fā)布年代運(yùn)用VOSviewer繪制主題演化圖、關(guān)鍵詞共現(xiàn)圖和主題熱度圖，以更直觀的方式呈現(xiàn)研究結(jié)果。

3 標(biāo)準(zhǔn)發(fā)展路徑對比分析

3.1歷來標(biāo)準(zhǔn)的計(jì)量信息對比經(jīng)統(tǒng)計(jì)，我國自1994年起已發(fā)布信息安全標(biāo)準(zhǔn)402項(xiàng)，其中已廢止71項(xiàng)。具體年代分布如圖1所示。通過比較不同年份發(fā)布的標(biāo)準(zhǔn)數(shù)量可以看出不同時(shí)間點(diǎn)標(biāo)準(zhǔn)化工作的活躍程度。

圖1 信息安全標(biāo)準(zhǔn)發(fā)布量年度統(tǒng)計(jì)

2004年以前，我國信息安全標(biāo)準(zhǔn)發(fā)布數(shù)量較少。1994-2004年共發(fā)布21項(xiàng)信息安全標(biāo)準(zhǔn)，其中等同采用ISO國際標(biāo)準(zhǔn)18項(xiàng)，自主研制3項(xiàng)。2005-2014年，我國信息安全標(biāo)準(zhǔn)發(fā)布的數(shù)量顯著增加，共發(fā)布141項(xiàng)，其中等同采用、修改采用和非等效采用ISO國際標(biāo)準(zhǔn)及其他國家標(biāo)準(zhǔn)34項(xiàng)，自主研制標(biāo)準(zhǔn)107項(xiàng)。2014年后，我國信息安全標(biāo)準(zhǔn)年度發(fā)布數(shù)量持續(xù)上升，并在2018年達(dá)到峰值，至今共計(jì)發(fā)布240項(xiàng)，其中采用ISO國際標(biāo)準(zhǔn)及其他國家標(biāo)準(zhǔn)40項(xiàng)，自主研制200項(xiàng)?？梢钥闯?，我國國際標(biāo)準(zhǔn)的采用數(shù)量保持著上升趨勢，但我國國家標(biāo)準(zhǔn)逐漸從以引進(jìn)國際標(biāo)準(zhǔn)為主轉(zhuǎn)為以自主研制標(biāo)準(zhǔn)為主的模式。

ISO自1987年起已發(fā)布信息安全標(biāo)準(zhǔn)378項(xiàng)，已廢止171項(xiàng)。具體年代分布如圖1所示。首個(gè)ISO信息安全標(biāo)準(zhǔn)發(fā)布于1987。1987-1995年，ISO信息安全標(biāo)準(zhǔn)發(fā)布數(shù)量較少，共計(jì)12項(xiàng)。1996-2003年，ISO信息安全標(biāo)準(zhǔn)的發(fā)布量有所增長。2004年以后，ISO信息安全標(biāo)準(zhǔn)年發(fā)布量維持較穩(wěn)定，并在2015年達(dá)到最高峰。

相較于ISO而言，我國信息安全標(biāo)準(zhǔn)化工作起步晚。但2004年后我國信息安全標(biāo)準(zhǔn)的發(fā)展速度較快。尤其是2014年后，我國的信息安全標(biāo)準(zhǔn)化工作發(fā)展勢頭迅猛。目前，我國信息安全標(biāo)準(zhǔn)的體量已經(jīng)超過ISO。而我國信息安全標(biāo)準(zhǔn)的研制模式也從以采用國際標(biāo)準(zhǔn)為主的被動型轉(zhuǎn)為了以自主研制為主的主動型模式。根據(jù)標(biāo)準(zhǔn)發(fā)布數(shù)量情況可以大致將我國信息安全標(biāo)準(zhǔn)的發(fā)展分為3個(gè)時(shí)期：起步期(1994-2004年)、成長期(2005-2014年)、飛躍期(2015至今)。各階段信息安全標(biāo)準(zhǔn)情況見表1。

表1 我國歷來信息安全標(biāo)準(zhǔn)情況一覽表

國際標(biāo)準(zhǔn)采用是指以國際標(biāo)準(zhǔn)為基礎(chǔ)編制國家標(biāo)準(zhǔn)，根據(jù)一致性程度可分為等同采用、修改采用和非等效采用[30]。從我國信息安全標(biāo)準(zhǔn)的國際標(biāo)準(zhǔn)采用情況來看，2004年以前，我國的信息安全標(biāo)準(zhǔn)以采用國際標(biāo)準(zhǔn)為主，采標(biāo)數(shù)量占該時(shí)期信息安全標(biāo)準(zhǔn)總數(shù)的86%。我國國家標(biāo)準(zhǔn)發(fā)布的時(shí)間比所采用的國際標(biāo)準(zhǔn)平均滯后3年。2005-2014年，我國采用的信息安全國際標(biāo)準(zhǔn)數(shù)量雖然有所增長，但在所發(fā)布的信息安全標(biāo)準(zhǔn)總數(shù)的占比大幅下降，僅占24%。這一階段我國國家標(biāo)準(zhǔn)比所采用的國際標(biāo)準(zhǔn)滯后平均時(shí)間增至6.1年?？梢姡@一時(shí)期，我國信息安全標(biāo)準(zhǔn)化工作的重點(diǎn)放在了自主研制方面，采標(biāo)工作的速度較慢。2015年后，我國信息安全標(biāo)準(zhǔn)的采標(biāo)數(shù)量小幅上升，自主研制標(biāo)準(zhǔn)數(shù)量幾乎翻倍，采標(biāo)占比進(jìn)一步降至17%，采標(biāo)平均滯后時(shí)間降至5.8年。可以看出，自主研制標(biāo)準(zhǔn)依然是我國信息安全標(biāo)準(zhǔn)化工作的重點(diǎn)內(nèi)容，國際、國外標(biāo)準(zhǔn)的采用效率也有些許提升。

3.2標(biāo)準(zhǔn)主題演化對比對標(biāo)準(zhǔn)關(guān)鍵詞進(jìn)行共現(xiàn)分析，我國和ISO信息安全標(biāo)準(zhǔn)分別出現(xiàn)11個(gè)和9個(gè)聚類。找到簇中心點(diǎn)，并按照出現(xiàn)時(shí)間升序排列(見表2)。進(jìn)一步歸納主題發(fā)現(xiàn)我國信息安全標(biāo)準(zhǔn)主題大體經(jīng)歷了從信息系統(tǒng)安全、密碼技術(shù)、安全技術(shù)、信息技術(shù)、信息安全技術(shù)、網(wǎng)絡(luò)安全、到應(yīng)用安全的變化。ISO信息安全標(biāo)準(zhǔn)經(jīng)歷了從網(wǎng)絡(luò)安全、密碼技術(shù)、信息技術(shù)、信息安全管理到應(yīng)用安全的轉(zhuǎn)變?？梢钥闯觯艽a技術(shù)、信息技術(shù)、網(wǎng)絡(luò)安全是我國與ISO都共同關(guān)注過的階段，目前都處于應(yīng)用安全發(fā)展階段。

表2 我國與ISO信息安全標(biāo)準(zhǔn)主題聚類對比

續(xù)表2 我國與ISO信息安全標(biāo)準(zhǔn)主題聚類對比

4 現(xiàn)行標(biāo)準(zhǔn)對比分析

4.1現(xiàn)行標(biāo)準(zhǔn)的計(jì)量對比去除已廢止標(biāo)準(zhǔn)和即將實(shí)施標(biāo)準(zhǔn)，將312項(xiàng)我國現(xiàn)行標(biāo)準(zhǔn)和207項(xiàng)ISO現(xiàn)行標(biāo)準(zhǔn)的標(biāo)齡和采標(biāo)情況進(jìn)行統(tǒng)計(jì)(見表3)。通常標(biāo)齡是指“自標(biāo)準(zhǔn)實(shí)施之日起，至標(biāo)準(zhǔn)復(fù)審重新確認(rèn)、修訂或廢止的時(shí)間”，也稱標(biāo)準(zhǔn)的有效期[31]。標(biāo)齡可以反映出標(biāo)準(zhǔn)的時(shí)效性。數(shù)據(jù)顯示，我國現(xiàn)行信息安全標(biāo)準(zhǔn)標(biāo)齡在1～21年之間，平均標(biāo)齡為5年。ISO現(xiàn)行信息安全標(biāo)準(zhǔn)標(biāo)齡在0～23年之間，平均標(biāo)齡為6年。相比而言，我國標(biāo)齡為5年及以下的比ISO高出近11.1%，平均標(biāo)齡比ISO少1年。

表3 我國與ISO信息安全標(biāo)準(zhǔn)標(biāo)齡統(tǒng)計(jì)

從采標(biāo)情況來看，我國現(xiàn)行的312項(xiàng)信息安全標(biāo)準(zhǔn)中，采用國際標(biāo)準(zhǔn)共計(jì)55項(xiàng)，約占17.6%。其中等同采用ISO標(biāo)準(zhǔn)40項(xiàng)，修改采用ISO標(biāo)準(zhǔn)13項(xiàng)，非等效采用ISO標(biāo)準(zhǔn)1項(xiàng)，非等效采用其他國家標(biāo)準(zhǔn)1項(xiàng)?？梢姡覈畔踩珮?biāo)準(zhǔn)主要是以ISO為引進(jìn)對象。

統(tǒng)計(jì)我國現(xiàn)行安全標(biāo)準(zhǔn)和所采用國際標(biāo)準(zhǔn)的實(shí)施時(shí)間差(見圖2)。從采標(biāo)實(shí)效性來看，我國發(fā)布的國家標(biāo)準(zhǔn)比所采用國際標(biāo)準(zhǔn)平均滯后6年，其中5年及以下占40.7%，5～10年55.6%，10年以上3.7%?？梢钥闯?，我國在國際標(biāo)準(zhǔn)采用的時(shí)效性方面還有待提高。滯后時(shí)間過長會導(dǎo)致國內(nèi)國外技術(shù)要求不同步，同時(shí)也不利于我國企業(yè)的產(chǎn)品、服務(wù)的出口。

圖2 我國現(xiàn)行信息安全標(biāo)準(zhǔn)采標(biāo)滯后時(shí)間統(tǒng)計(jì)

4.2現(xiàn)行標(biāo)準(zhǔn)的主題對比設(shè)置最低共現(xiàn)頻次為3，獲得我國信息安全標(biāo)準(zhǔn)高頻關(guān)鍵詞80個(gè)，ISO高頻關(guān)鍵詞57個(gè)，并繪制關(guān)鍵詞共現(xiàn)圖，反映出現(xiàn)行信息安全標(biāo)準(zhǔn)的主題情況。根據(jù)我國和ISO現(xiàn)行信息安全標(biāo)準(zhǔn)主題關(guān)鍵詞共現(xiàn)圖(見圖3和圖4)可以看出我國現(xiàn)行信息安全標(biāo)準(zhǔn)最主要的主題是信息安全技術(shù)、安全技術(shù)、信息技術(shù)、網(wǎng)絡(luò)安全和公鑰。而ISO現(xiàn)行信息安全標(biāo)準(zhǔn)最主要的主題是信息技術(shù)、安全技術(shù)、信息安全、信息安全技術(shù)和密鑰管理?？梢钥闯?，我國與ISO現(xiàn)行信息安全標(biāo)準(zhǔn)的主要關(guān)注點(diǎn)基本一致。

圖3 我國現(xiàn)行信息安全標(biāo)準(zhǔn)主題關(guān)鍵詞共現(xiàn)圖

圖4 ISO現(xiàn)行信息安全標(biāo)準(zhǔn)關(guān)鍵詞共現(xiàn)圖

對高頻關(guān)鍵詞進(jìn)行主題分類后發(fā)現(xiàn)，我國和ISO信息安全標(biāo)準(zhǔn)皆可分為技術(shù)類、管理類和應(yīng)用類(見表4)。從技術(shù)類標(biāo)準(zhǔn)來看，我國與ISO的關(guān)注點(diǎn)基本一致。從管理類標(biāo)準(zhǔn)來看，我國對信息安全實(shí)施等級保護(hù)制度，因此注重信息安全的評價(jià)和等級保護(hù)。ISO標(biāo)準(zhǔn)不僅注重對信息安全本身的管理和控制，還關(guān)注個(gè)人隱私保護(hù)。在評價(jià)方面，ISO不僅注重評價(jià)方法，還關(guān)注評價(jià)人員的能力和資質(zhì)問題。從應(yīng)用類標(biāo)準(zhǔn)來看，我國國家標(biāo)準(zhǔn)更加細(xì)致地關(guān)注著信息系統(tǒng)、信息產(chǎn)品及各類應(yīng)用場景。而ISO標(biāo)準(zhǔn)對應(yīng)用安全的關(guān)注則較籠統(tǒng)。

表4 現(xiàn)行信息安全標(biāo)準(zhǔn)主題對比

5 發(fā)展趨勢對比

5.1標(biāo)準(zhǔn)計(jì)劃計(jì)量對比統(tǒng)計(jì)我國和ISO在研標(biāo)準(zhǔn)制修訂計(jì)劃下達(dá)日期和下達(dá)數(shù)量發(fā)現(xiàn)，我國已下達(dá)且未發(fā)布正式標(biāo)準(zhǔn)的標(biāo)準(zhǔn)制修訂計(jì)劃共計(jì)71項(xiàng)，ISO制修訂標(biāo)準(zhǔn)82項(xiàng)。統(tǒng)計(jì)標(biāo)準(zhǔn)制修訂計(jì)劃數(shù)量及年代分布情況(見圖5)。從年代分布來看，我國和ISO的標(biāo)準(zhǔn)計(jì)劃主要集中在5年以內(nèi)。然而不容忽視的是，我國信息安全標(biāo)準(zhǔn)計(jì)劃中仍有10項(xiàng)標(biāo)準(zhǔn)計(jì)劃進(jìn)行了5年以上還未完成的，占比約14%。而ISO信息安全標(biāo)準(zhǔn)的制修訂計(jì)劃沒有持續(xù)5年以上的。對比而言，ISO的信息安全標(biāo)準(zhǔn)化工作效率較我國更高，標(biāo)準(zhǔn)制修訂計(jì)劃的完成度也更好。

圖5 標(biāo)準(zhǔn)制修訂計(jì)劃年代分布

5.2標(biāo)準(zhǔn)計(jì)劃主題對比設(shè)置最低共現(xiàn)頻次為1，獲得我國信息安全標(biāo)準(zhǔn)計(jì)劃關(guān)鍵詞156個(gè)，ISO標(biāo)準(zhǔn)關(guān)鍵詞167個(gè)。我國信息安全標(biāo)準(zhǔn)計(jì)劃中最重要、熱度最高的關(guān)鍵詞是信息安全技術(shù)，其次為數(shù)據(jù)安全、安全技術(shù)、信息技術(shù)和網(wǎng)絡(luò)安全。ISO信息安全標(biāo)準(zhǔn)最重要、熱度最高的關(guān)鍵詞是信息技術(shù)，其次是安全技術(shù)、信息安全、網(wǎng)絡(luò)安全和隱私保護(hù)。

對我國和ISO信息安全標(biāo)準(zhǔn)計(jì)劃關(guān)鍵詞進(jìn)行主題分類(見表5)。從技術(shù)層面來看，我國與ISO信息安全標(biāo)準(zhǔn)計(jì)劃在網(wǎng)絡(luò)安全、算法、密碼方面的關(guān)注都進(jìn)一步細(xì)化，技術(shù)手段更加豐富，且都新增了對數(shù)據(jù)安全的關(guān)注。但我國出現(xiàn)了人臉識別、基因識別、聲紋識別、步態(tài)識別等新興技術(shù)，ISO則是進(jìn)一步發(fā)展了簽名技術(shù)。

表5 信息安全標(biāo)準(zhǔn)制修訂計(jì)劃主題分類對比

從管理層面來看，我國和ISO在信息安全管理、評價(jià)和個(gè)人信息安全方面都進(jìn)一步發(fā)展。其中在信息安全管理上，ISO標(biāo)準(zhǔn)計(jì)劃更加全面地覆蓋了風(fēng)險(xiǎn)管理和事件管理、能力要求和技術(shù)成熟度的要求，我國則僅著眼于能力要求和風(fēng)險(xiǎn)管理。在評價(jià)方面，ISO標(biāo)準(zhǔn)計(jì)劃涵蓋了從評價(jià)標(biāo)準(zhǔn)、方法、實(shí)驗(yàn)室到評價(jià)活動的全流程，而我國還處于評價(jià)指標(biāo)體系和風(fēng)險(xiǎn)評價(jià)方面。此外，ISO標(biāo)準(zhǔn)計(jì)劃中隱私保護(hù)方面的標(biāo)準(zhǔn)進(jìn)一步發(fā)展，而我國仍未有相關(guān)標(biāo)準(zhǔn)計(jì)劃出現(xiàn)。

從應(yīng)用層面來看，我國和ISO在應(yīng)用場景、產(chǎn)品和服務(wù)上都有部署。但我國的應(yīng)用場景、產(chǎn)品和服務(wù)更加豐富，出現(xiàn)了與我國人民生活息息相關(guān)的快遞物流、網(wǎng)絡(luò)支付、網(wǎng)絡(luò)音視頻、即時(shí)通信等服務(wù)的標(biāo)準(zhǔn)計(jì)劃，以及與企業(yè)息息相關(guān)的信息系統(tǒng)、工業(yè)控制系統(tǒng)的標(biāo)準(zhǔn)計(jì)劃。而ISO的關(guān)注面則更加籠統(tǒng)，主要集中在智慧城市、物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)平臺等應(yīng)用場景方面。

6 研究結(jié)果與討論

根據(jù)我國和ISO信息安全標(biāo)準(zhǔn)的計(jì)量對比，可以看出在標(biāo)準(zhǔn)化工作方面，我國信息安全標(biāo)準(zhǔn)化工作起步晚，但發(fā)展迅速，目前體量和規(guī)模已達(dá)到國際先進(jìn)水平，進(jìn)入了發(fā)展的飛躍期。我國信息安全標(biāo)準(zhǔn)化工作模式成功地完成了從以引進(jìn)國際標(biāo)準(zhǔn)為主向以自主研制為主的轉(zhuǎn)變。此外，我國信息安全標(biāo)準(zhǔn)平均標(biāo)齡為5年，比ISO少1年。我國標(biāo)齡為5年及以下的標(biāo)準(zhǔn)數(shù)量比ISO高出近11.1%。這說明我國信息安全技術(shù)更新快，市場需求更新速度也快，信息安全行業(yè)發(fā)展迅速，在一定程度上已超越ISO。

同時(shí)，我國信息安全標(biāo)準(zhǔn)化工作也存在著一些問題：a.ISO標(biāo)準(zhǔn)是我國信息安全標(biāo)準(zhǔn)的最主要引進(jìn)對象，但我國標(biāo)準(zhǔn)滯后時(shí)間較長，國際標(biāo)準(zhǔn)采用的時(shí)效性不高。這會導(dǎo)致我國企業(yè)在使用標(biāo)準(zhǔn)時(shí)遇到國內(nèi)、國際標(biāo)準(zhǔn)不對應(yīng)，甚至相沖突的情況發(fā)生，不利于我國信息安全行業(yè)的健康發(fā)展，也會一定程度上影響我國信息安全產(chǎn)品、服務(wù)的出口。b.我國《國家標(biāo)準(zhǔn)管理辦法》規(guī)定我國國家標(biāo)準(zhǔn)復(fù)審周期一般不超過5年[32]。然而我國現(xiàn)行信息安全標(biāo)準(zhǔn)中標(biāo)齡達(dá)5年以上的占約38.2%。有必要及時(shí)開展標(biāo)準(zhǔn)復(fù)審工作，根據(jù)經(jīng)濟(jì)技術(shù)發(fā)展需要更新或廢止標(biāo)準(zhǔn)。c.我國標(biāo)準(zhǔn)計(jì)劃5年以上仍未完成的占14%，而ISO目前所有標(biāo)準(zhǔn)計(jì)劃均在5年內(nèi)已完成。這反映出我國標(biāo)準(zhǔn)制修訂工作水平與ISO相比還有一定的差距，完成度和效率仍有提升空間。

從信息安全標(biāo)準(zhǔn)的縱向發(fā)展來看，我國信息安全標(biāo)準(zhǔn)未來關(guān)注的重點(diǎn)放在了技術(shù)和應(yīng)用層面。在技術(shù)上，數(shù)據(jù)安全的保障和新興技術(shù)的運(yùn)用得到重點(diǎn)關(guān)注。在應(yīng)用方面，應(yīng)用場景更加豐富，與民眾生活息息相關(guān)的產(chǎn)品、服務(wù)安全以及與企業(yè)相關(guān)的系統(tǒng)安全問題都是關(guān)注的重點(diǎn)內(nèi)容。在信息安全管理方面，雖然對個(gè)人信息的保護(hù)已提上日程，但信息安全管理體系、評價(jià)和等級保護(hù)方面較現(xiàn)行標(biāo)準(zhǔn)的發(fā)展有限。ISO信息安全標(biāo)準(zhǔn)未來在技術(shù)、管理和應(yīng)用方面都有所部署。技術(shù)上，ISO的關(guān)注點(diǎn)在算法、加密技術(shù)和數(shù)據(jù)安全。在管理上，信息安全管理體系更加成熟，評價(jià)方面更加完善，隱私保護(hù)也更加全面。在應(yīng)用上，ISO從籠統(tǒng)走向細(xì)節(jié)，在應(yīng)用場景、產(chǎn)品和服務(wù)方面都有所部署。

從我國與ISO信息安全標(biāo)準(zhǔn)的橫向?qū)Ρ葋砜?，我國與ISO信息安全標(biāo)準(zhǔn)發(fā)展路徑有許多相同和相近之處，但我國缺乏對信息安全管理方面的關(guān)注。我國與ISO現(xiàn)行標(biāo)準(zhǔn)目前在技術(shù)層面的關(guān)注點(diǎn)基本一致，但標(biāo)準(zhǔn)計(jì)劃反映出我國新興技術(shù)層出，已領(lǐng)先ISO標(biāo)準(zhǔn)。在管理上，我國在信息安全管理方面的積累和部署稍顯不足，且目前缺乏隱私保護(hù)方面的標(biāo)準(zhǔn)，也暫未有相關(guān)標(biāo)準(zhǔn)計(jì)劃。但在應(yīng)用層面，不論是系統(tǒng)、產(chǎn)品、應(yīng)用場景還是服務(wù)安全方面，我國標(biāo)準(zhǔn)都比ISO要豐盈得多，且未來將繼續(xù)保持著這一優(yōu)勢。

7 結(jié) 論

本研究用文獻(xiàn)計(jì)量和知識圖譜相結(jié)合的方法對我國和ISO信息安全標(biāo)準(zhǔn)的發(fā)展路徑、現(xiàn)行標(biāo)準(zhǔn)和發(fā)展趨勢進(jìn)行了分析，研究結(jié)果可以為我國的信息安全標(biāo)準(zhǔn)化工作提供一些思考。

a.我國信息安全標(biāo)準(zhǔn)的采標(biāo)比例和采標(biāo)效率有待提升。我國現(xiàn)行信息安全標(biāo)準(zhǔn)總體采標(biāo)率約為17.6%，而采標(biāo)標(biāo)準(zhǔn)比所采用標(biāo)準(zhǔn)平均滯后時(shí)間達(dá)6年。從標(biāo)準(zhǔn)主題對比結(jié)果可以看出，在管理類標(biāo)準(zhǔn)，尤其是信息安全管理體系和隱私保護(hù)方面，我國標(biāo)準(zhǔn)落后于ISO，應(yīng)采取積極的跟進(jìn)措施，盡快開展相關(guān)標(biāo)準(zhǔn)適用性研究和采標(biāo)工作。b.積極發(fā)揮優(yōu)勢，爭取將我國國家標(biāo)準(zhǔn)寫入ISO標(biāo)準(zhǔn)中。從標(biāo)準(zhǔn)計(jì)劃主題對比看出，我國新興技術(shù)的運(yùn)用和應(yīng)用安全方面的標(biāo)準(zhǔn)已領(lǐng)先ISO標(biāo)準(zhǔn)。在這些優(yōu)勢標(biāo)準(zhǔn)上，我國可以采取積極的競爭策略，推動國家標(biāo)準(zhǔn)與國際標(biāo)準(zhǔn)同步制定。積極提出國際標(biāo)準(zhǔn)項(xiàng)目立項(xiàng)，爭取成立國際標(biāo)準(zhǔn)工作組，爭取工作組召集人職務(wù)，并鼓勵(lì)國內(nèi)標(biāo)準(zhǔn)起草人參與相關(guān)國際標(biāo)準(zhǔn)的制定。c.進(jìn)一步加強(qiáng)我國標(biāo)準(zhǔn)化工作規(guī)范性和及時(shí)性。我國現(xiàn)行標(biāo)準(zhǔn)標(biāo)齡達(dá)5年以上的占約38.2%，標(biāo)準(zhǔn)計(jì)劃進(jìn)行5年以上仍未完成的占14%。這些都反映出我國標(biāo)準(zhǔn)化工作仍有相當(dāng)一部分未能如期進(jìn)行和完成。相關(guān)技術(shù)委員會和標(biāo)準(zhǔn)管理部門應(yīng)加強(qiáng)對歸口標(biāo)準(zhǔn)的監(jiān)控，將標(biāo)準(zhǔn)復(fù)審工作常態(tài)化。此外，標(biāo)準(zhǔn)管理部門還應(yīng)在標(biāo)準(zhǔn)計(jì)劃審批時(shí)加強(qiáng)對標(biāo)準(zhǔn)必要性的評估和對起草單位執(zhí)行能力的關(guān)注，加強(qiáng)對執(zhí)行情況的監(jiān)督。

本研究聚焦于我國和ISO信息安全標(biāo)準(zhǔn)的對比。未來還可以將我國和美國、英國、歐洲、日本等發(fā)達(dá)國家的信息安全標(biāo)準(zhǔn)進(jìn)行對比，以進(jìn)一步深入研究信息安全標(biāo)準(zhǔn)化國際動態(tài)。這有利于我國更準(zhǔn)確地掌握國際信息安全標(biāo)準(zhǔn)的發(fā)展方向，為我國爭奪信息安全的國際話語權(quán)提供助力。此外，本研究是運(yùn)用量化的方法對我國和ISO信息安全標(biāo)準(zhǔn)的研究，僅是對標(biāo)準(zhǔn)總體情況的概覽。未來可以對標(biāo)準(zhǔn)內(nèi)容進(jìn)一步深入對比和分析。