(湘潭大学 公共管理学院 湖南 湘潭 411100)

随着城市信息化进程逐步推进，我国的智慧城市建设已逐步过渡到新型智慧城市建设阶段。在智慧城市建设取得了积极进展的同时，也暴露出缺乏顶层设计和统筹规划、网络安全隐患和风险突出等问题。物联网、云计算、大数据等新一代信息技术在城市管理中的广泛应用以及信息资源的高度融合为智慧城市带来了更深层次安全风险。因此必须加强智慧城市信息安全管理，构建一个复杂的综合的多层次，多指标的体系，对我国智慧城市信息安全实施绩效进行科学的、合理全面的评价，这对指导和促进智慧城市的发展具有十分重要的意义。

一、智慧城市信息安全管理绩效评价指标的选取原则

(一)科学性原则

科学性原则要求智慧城市信息安全管理绩效评价指标能反映智慧城市信息安全管理的特征，能有效区别其他的评估对象，同时指标的选择须有充分的理论支撑，确保整个过程科学地进行。与此同时，在设计评价体系时，还应该做到科学的定义评价指标，采用的数据及确定的权数也要有科学依据。

(二)整体性原则

智慧城市信息安全管理的评价体系是一个复杂的、有机联系的、层次分明的整体，它必须能够真实的反映出智慧城市信息安全管理各个方面的基本特征，各个指标之间虽然看似独立，但指标之间又相互联系构成一个有机整体。

(三)系统性原则

智慧城市信息安全管理绩效评价指标体系要能反映智慧城市信息安全管理的内涵和特征，遵循系统性原则。系统性原则要求信息安全管理绩效评价指标体系与信息安全管理的目的一致，这样才能对智慧城市信息安全管理做出系统评价。

(四)规范性原则

智慧城市信息安全风险评估指标体系的规范与否，直接关系到构建的指标体系的可操作性。因此在构建智慧城市信息安全风险评估指标体系时要力求规范、通俗易懂，全面地反映被评估对象各个要素之间的内在联系。

二、智慧城市信息安全管理绩效评价指标体系的构建流程

(一)文献资料查阅与整理

通过国家有关智慧城市或者信息安全管理评价指标体系构建的政策说明等相关文献资料的查阅与整理，发现对智慧城市信息安全管理绩效评价的研究很少，仍停留在初级探索阶段，通过大量的资料整理解读，尽可能地提取与智慧城市信息安全管理相关的指标，掌握智慧城市公共服务绩效评价的基本框架，为后期工作的进一步开展奠定了基础。

(二)学者访谈与专家咨询

在文献查阅与梳理的基础上，与相关学者进行访谈。针对信息安全管理相对滞后不能充分满足信息保护需要的现象，在进一步了解智慧城市信息安全管理现状的基础上，走访相关专家学者以及智慧城市信息安全管理相关部门工作人员，分析智慧城市信息安全管理的特点，明确绩效指标所在范围，逐步确立影响评价指标体系构建的要素。

(三)初始指标体系的建立

从我国智慧城市的现实发展情况出发，根据智慧城市公共服务的服务领域，服务的对象，严格按照评价指标体系的设计原则，建立初步的绩效评价指标体系，将智慧城市公共服务绩效评价指标的大类指标逐步拆成易于采集，可计量的低级指标，指标之间要有逻辑性。指标体系设计结构主要分为由目标层、信息安全管理绩效准则层、指标层。

(四)指标体系的预试

指标体系的预测试是确立最终评价指标体系的重要环节。智慧城市公共服务绩效评价指标体系是一个有机的整体，依据智慧城市公共服务的评价内容、要素并将其进行归并、重组以及提炼以此建立合理的评价指标体系，并将建立的初始的指标体系与智慧城市相关专家学者等进行反复沟通，对不合理的指标进行剔除调整，增加需要的指标，不断地反馈给专家学者并进行完善调整，最终确定智慧城市公共服务绩效评价指标体系。

三、智慧城市信息安全管理绩效评价指标体系的设计

在对指标进行筛选时，需要考虑的因素除了包括该指标的现有应用情况、与本文研究的对象实际应用匹配程度，还应该结合安全管理理论来分析其适用的理论根据。虽然目前我国对智慧城市信息安全管理绩效研究的完整理论还未形成，但是信息安全管理绩效的不同维度指标也都不同程度的反映了一些现有的安全管理理论，这些理论都是我们在进行安全管理绩效指标筛选分析时应该予以考虑的因素。

针对本文智慧城市，对其信息安全管理进行绩效评估可以初步确立从以下几个方面综合进行：管理层的安全支持、人员安全管理、风险控制管理、系统建设管理、系统运维管理、信息安全事件管理、事件应急与处理。如表1。

表1 信息安全管理绩效评价指标体系

(一)管理层的安全支持

在智慧城市信息安全管理的工作中，有没有制定信息安全管理政策和标准，以及相关政策和标准是不是符合国家层面指导性文件的方向和要求，是考评智慧城市信息安全管理首要的一方面。其次是有没有建立专门的智慧城市信息安全管理组织机构，以及组织结构设计是否合理，也是应该考评的指标之一。有了智慧城市组织架构和管理人员，还需要根据整个城市的安全目标、方针和整体的安全战略规划，制定符合本地智慧城市现状和需求的安全策略，并通过一系列管理制度加以规范和落实。综上所述，管理层的支持要评估的指标应该包括：安全管理政策、安全管理机构、安全管理策略和制度。

(二)人员安全管理

要做好智慧城市的信息安全管理工作，在建立专门的智慧城市信息安全管理组织机构的基础上，要进一步明确岗位角色和职责，考虑是否设立信息安全最高负责人，并且配备一定数量的信息系统安全管理员、网络管理员、安全操作员等，负责系统日常维护工作；针对智慧城市信息系统的相关管理人员和业务操作人员，应定期开展安全培训，提高全员的安全意识。综上所述，人员安全管理的二级指标主要包括：人员安全岗位职责、人员安全教育、培训和意识提升。

(三)风险控制管理

对风险进行管理，首先要风险进行辨识，范围既包括相关的信息资产，也包括管理机构、业务流程等。对这些风险、隐患进行辨识后就需要采用合适的风险分析方法和工具，来分析威胁利用脆弱性导致安全事件发生的可能性，以及安全事件发生后对组织造成的损失，来综合评价风险状况，根据风险评估的结果，有针对性地提出合适的安全控制措施，进行相应的风险管理。综上，风险控制管理指标的二级指标主要包括：风险、隐患的辨识与上报、风险、隐患的评价、访问控制、资产管理、物理和环境安全。

(四)系统建设管理

系统建设管理第一步就是要明确信息系统的边界和安全保护等级，其次是要保证安全产品采购和使用符合国家的有关规定；再是指定或授权专门的部门或人员负责工程实施过程的管理，接着是委托公正的第三方测试单位对系统进行安全性测试，并出具安全性测试报告；最后是制定详细的系统交付清单，并根据交付清单对所交接的设备、软件和文档等进行清点；综上所述，系统建设管理的二级指标主要包括：信息系统边界与安全保护等级的确立、安全产品的采购和使用管理、工程实施过程管理、系统的安全性测试和系统交付管理。

(五)系统运维管理

系统运维管理即对信息系统相关的各种设备、线路等指定专门的部门或人员定期进行维护管理，建立基于申报、审批和专人负责的设备安全管理提时对信息系统的各种软硬件设备的选型、采购、发放和领用等过程进行规范化管理建立配套设施、软硬件维护方面的管理制度，对其维护进行有效管理。综上所述，系统运维管理的二级指标主要包括：设备的定期维护管理、设备的采选和领用管理、设备操作和使用的规范化管理。

(六)信息安全事件管理

信息安全事件管理是指组织为了应对重大信息安全事件的发生所做的准备以及在事件发生后所采取的措施。首先应建立管理责任和规程，以确保快速、有效和有序地响应信息安全事件。其次应要求报告任何观察到的或可疑的系统或服务中的信息安全弱点，建立适当的管理渠道用以尽快地报告信息安全事态。此外还应评估信息安全事态并决定其是否属于信息安全事件，以及按照文件化的规程响应信息安全事件。综上所述，信息安全事件管理二级指标分别为：责任和规程的制定、报告信息安全事态和弱点、信息安全事态的评估和决策、信息安全事件的响应、从信息安全事件中学习。

(七)事件应急与处理

事件应急与处理是指组织为了应对重大信息安全事件的发生所做的准备以及在事件发生后所采取的措施。考察应急管理方面应该从预案的编制、准备、实施、实施后的评估几方面来进行。事件应急与处理二级指标可以包括：应急预案的制定与灾难备份、灾难恢复培训与演练、评审与改进。

结束语

现在，对智慧城市信息安全管理绩效评价的研究还处于未完善，指标体系的确定、评价标准的建立尚需进一步考虑科学性和系统性。所以，还要不断地对指标体系进行修改和完善，在评价过程中做到客观、公正、科学，如此才能达到提高智慧城市信息安全管理质量的目的。