根據(jù)官方信息，國際電信聯(lián)盟（ITU）預(yù)計在2021年6月對外發(fā)布第4版《全球網(wǎng)絡(luò)安全指數(shù)》（Global Cybersecurity Index version4，GCI v4）調(diào)查報告。全球網(wǎng)絡(luò)安全指數(shù)（GCI）是國際電信聯(lián)盟牽頭開展的一項衡量各國網(wǎng)絡(luò)安全能力水平的持續(xù)研究項目，這個項目的核心目標是加強全球網(wǎng)絡(luò)安全，縮小全球各國之間在網(wǎng)絡(luò)安全領(lǐng)域的差距，促進各國在國家層面開展網(wǎng)絡(luò)安全相關(guān)能力建設(shè)，推動各國政府改進應(yīng)對網(wǎng)絡(luò)安全威脅的綜合措施，以及促進各國在網(wǎng)絡(luò)安全方面的雙邊和多邊國際合作。

在2014年世界電信發(fā)展大會“衡量各國網(wǎng)絡(luò)安全和相關(guān)能力建設(shè)論壇”上，國際電信聯(lián)盟（ITU）提出了GCI概念，并在2015年對外發(fā)布了第1版《全球網(wǎng)絡(luò)安全指數(shù)》調(diào)查報告。隨后，在2017年和2018年分別發(fā)布了第2版及第3版的《全球網(wǎng)絡(luò)安全指數(shù)》調(diào)查報告。

全球網(wǎng)絡(luò)安全指數(shù)（GCI）采用的是分層計算模式，最上層由法律、技術(shù)、組織、能力建設(shè)和合作這5大核心支柱構(gòu)成，每個核心支柱下面又包括多個下級指標。每個指標設(shè)有對應(yīng)關(guān)注的具體問題，并由來自全球各界人士構(gòu)成的專家組給每個指標協(xié)商確定出不同的權(quán)重值，最終通過綜合計算得到各個國家GCI總分。下面對第4版《全球網(wǎng)絡(luò)安全指數(shù)》的相關(guān)指標進行簡要介紹。

支柱一：法律措施

立法是為各實體提供統(tǒng)一框架的關(guān)鍵措施，使其符合共同的法律和監(jiān)管基礎(chǔ)，無論是禁止特定犯罪行為還是最低監(jiān)管要求。法律環(huán)境可以根據(jù)處理網(wǎng)絡(luò)安全和網(wǎng)絡(luò)犯罪的法律機構(gòu)和有效框架的存在予以衡量。該部分由以下指標組成：

網(wǎng)絡(luò)犯罪實體法

實體法是指所有類型的公法和私法，包括所有實質(zhì)上創(chuàng)造、定義和規(guī)范權(quán)利的合同法、不動產(chǎn)法、侵權(quán)法、遺囑法和刑法。

網(wǎng)絡(luò)安全法規(guī)

監(jiān)管基于規(guī)則，旨在執(zhí)行一條具體的法律。

支柱二：技術(shù)措施

如果沒有足夠的技術(shù)措施和能力用來發(fā)現(xiàn)和應(yīng)對事件，成員國及其各自的實體仍然容易受到網(wǎng)絡(luò)風險的影響。這種風險可能會損害采用數(shù)字技術(shù)帶來的好處。因此，成員國需要有能力制定戰(zhàn)略，為軟件應(yīng)用和系統(tǒng)建立公認的最低安全標準和認證方案?？梢愿鶕?jù)成員國認可或創(chuàng)建的處理網(wǎng)絡(luò)安全的技術(shù)機構(gòu)和框架衡量技術(shù)措施。該部分由以下指標組成：

國家/政府事件響應(yīng)小組

計算機事件響應(yīng)團隊，即CIRT/CSIRT/CERT，是具體的組織實體，負責協(xié)調(diào)和支持對國家層面計算機安全事件或事故的響應(yīng)。

行業(yè)CIRT/CSIRT/CERT

行業(yè)CIRT/CSIRT/CERT是指對影響具體行業(yè)的電腦安全或網(wǎng)絡(luò)安全的事件做出響應(yīng)的實體。醫(yī)療、公共設(shè)施、科研界、應(yīng)急服務(wù)和金融行業(yè)等重要行業(yè)一般都會成立行業(yè)CERT。

國家網(wǎng)絡(luò)安全標準實施框架

通過一個(或多個)國家級的框架，用于實施國際公認的針對公共部門(政府機構(gòu))和關(guān)鍵基礎(chǔ)設(shè)施(包括私營部門運營的)的網(wǎng)絡(luò)安全標準至關(guān)重要。這些標準包括但不限于由以下機構(gòu)制定的標準:ISO、ITU、IETF、IEEE、ATIS、OASIS、3GPP、3GPP2、IAB、ISOC、ISG、 ISI、ETSI、ISF、RFC、ISA、IEC、NERC、NIST、FIPS、PCI DSS等。

保護上網(wǎng)兒童

這一指標衡量是否存在一個專門負責保護上網(wǎng)兒童的國家機構(gòu)，是否有報告有關(guān)上網(wǎng)兒童問題的熱線，以及是否有任何幫助保護上網(wǎng)兒童的其他技術(shù)機制和能力。

支柱三：組織措施

組織和程序措施對于適當執(zhí)行任何類型的國家舉措都是必要的。成員國需要制定一個廣泛的戰(zhàn)略目標，并在實施、交付和衡量方面制定一個全面的計劃。需要建立國家機構(gòu)等結(jié)構(gòu)，以便將戰(zhàn)略付諸實施，并評估計劃的成敗。組織結(jié)構(gòu)可以根據(jù)在國家層面組織網(wǎng)絡(luò)安全發(fā)展的機構(gòu)和戰(zhàn)略的存在和數(shù)量予以衡量。該部分由以下指標組成：

國家網(wǎng)絡(luò)安全戰(zhàn)略/政策

制定政策以促進網(wǎng)絡(luò)安全是國家的首要任務(wù)之一。國家網(wǎng)絡(luò)安全戰(zhàn)略應(yīng)定義維護國家關(guān)鍵信息基礎(chǔ)設(shè)施的彈性和可靠性，包括公民的安全和保障；保護公民、組織和成員國的物理資產(chǎn)和知識資產(chǎn)；對網(wǎng)絡(luò)攻擊做出反應(yīng)，防止對關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊；盡量減少網(wǎng)絡(luò)攻擊造成的破壞和恢復(fù)時間。

負責機構(gòu)指實施國家網(wǎng)絡(luò)安全戰(zhàn)略/政策的機構(gòu)，可包括常設(shè)委員會、官方工作組、咨詢理事會或跨部門中心，此類機構(gòu)也可直接負責國家的CIRT。

網(wǎng)絡(luò)安全衡量指標

有官方認可的國家或具體到行業(yè)的基準對照或參考，用于衡量網(wǎng)絡(luò)安全發(fā)展、風險評估戰(zhàn)略、網(wǎng)絡(luò)安全審計和其他工具和活動，通過評級或評估結(jié)果提升未來的安全能力。例如，基于ISO/IEC27004的指標用于衡量信息安全管理。

支柱四：能力建設(shè)措施

能力建設(shè)是前三項措施(法律、技術(shù)和組織)的內(nèi)在要求。了解技術(shù)、風險和影響有助于制定更好的法律、更好的政策和戰(zhàn)略，以及更好地承擔各種角色和責任。這一領(lǐng)域的研究通常是從技術(shù)角度進行的，然而，許多社會經(jīng)濟和政治活動都會對這個領(lǐng)域產(chǎn)生影響。促進網(wǎng)絡(luò)安全的能力建設(shè)框架應(yīng)包括提高認識活動和資源提供，該部分由以下指標組成：

公眾網(wǎng)絡(luò)安全認識的宣傳

提高公眾認識的活動包括向盡可能多的公民開展宣傳活動，以及通過非政府組織 (NGO)、機構(gòu)、組織、ISP、圖書館、本地工會、社區(qū)中心、社區(qū)大學和成人教育項目、學校和家長–教師組織普及安全的在線網(wǎng)絡(luò)行為。

培訓(xùn)網(wǎng)絡(luò)安全專業(yè)人員

有針對特定行業(yè)的專業(yè)培訓(xùn)計劃，以提高公眾的認識(即網(wǎng)絡(luò)安全的國家宣傳日、周或月)，促進針對不同職業(yè)(技術(shù)、社會科學等)勞動力的網(wǎng)絡(luò)安全教育，以及推動公共或私營部門的專業(yè)人士獲得證書。

該指標還包括是否有政府批準(或認可)的使用國際公認的網(wǎng)絡(luò)安全標準對專業(yè)人員進行認證和考核的框架(或多個框架)。這些認證、考核和標準包括但不限于以下舉例：云安全知識(云安全聯(lián)盟)、CISSP、SSCP、CSSLP CBK、網(wǎng)絡(luò)安全取證分析師(ISC2)等等。

國家教育項目或?qū)W術(shù)課程

在學校、大專、大學或其他教學機構(gòu)建立國家教育課程和項目并進行推廣，對年輕一代進行網(wǎng)絡(luò)安全相關(guān)的技能和職業(yè)培訓(xùn)。網(wǎng)絡(luò)安全相關(guān)職業(yè)包括但不限于密碼專家、數(shù)字取證專家、事件響應(yīng)員、安全架構(gòu)師和滲透測試員。

網(wǎng)絡(luò)安全研發(fā)項目

該指標衡量的是私有、公共、學術(shù)、非政府或國際機構(gòu)是否有對國家網(wǎng)絡(luò)安全研發(fā)計劃的投資。它還衡量了是否有經(jīng)國家認可的監(jiān)督該計劃的制度化機構(gòu)。

國家網(wǎng)絡(luò)安全產(chǎn)業(yè)

支持有利于經(jīng)濟、政治和社會環(huán)境的網(wǎng)絡(luò)安全開發(fā)，會激勵與網(wǎng)絡(luò)安全有關(guān)的私營部門的增長。提升公眾意識的活動、人力資源開發(fā)、能力建設(shè)和政府激勵措施將推動網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)市場的發(fā)展。本土成長的網(wǎng)絡(luò)安全產(chǎn)業(yè)是這種有利環(huán)境的證明，將推動網(wǎng)絡(luò)安全創(chuàng)業(yè)公司和相關(guān)網(wǎng)絡(luò)保險市場的發(fā)展。

激勵機制

該指標考察政府是否有任何激勵措施，用于鼓勵網(wǎng)絡(luò)安全領(lǐng)域的能力建設(shè)，無論是通過稅費減免、撥款、資助、貸款、提供設(shè)施，還是通過其他的經(jīng)濟或財務(wù)激勵方式，包括成立本國認可的專屬機構(gòu)，監(jiān)督網(wǎng)絡(luò)安全能力建設(shè)活動。

支柱五：合作措施

網(wǎng)絡(luò)安全需要所有部門和領(lǐng)域的投入，因此需要從利益攸關(guān)的多方角度加以解決。合作加強了對話和協(xié)調(diào)，從而創(chuàng)造了一個更加全面的網(wǎng)絡(luò)安全應(yīng)用領(lǐng)域。不同領(lǐng)域之間以及私營部門運營商內(nèi)部的信息共享最困難，國際層面的情況更加如此。該部分由以下指標組成：

雙邊協(xié)議

雙邊協(xié)議(一對一協(xié)議)指官方認可的國家的或具體部門的所有合作機制，由政府與他國政府或區(qū)域?qū)嶓w進行的跨境網(wǎng)絡(luò)安全信息或資產(chǎn)的分享(例如合作或交換信息、專長、技 術(shù)以及其他資源)。

參與國際機制(論壇)

還可包括批準與網(wǎng)絡(luò)安全相關(guān)的國際協(xié)議，如《非洲聯(lián)盟網(wǎng)絡(luò)安全和個人數(shù)據(jù)保護公約》、《布達佩斯網(wǎng)絡(luò)犯罪公約》和其他。

多邊協(xié)議

多邊協(xié)議(一對多協(xié)議)指官方認可的國家或具體部門的所有合作項目，由政府與多個外國政府或國際組織進行的跨境網(wǎng)絡(luò)安全信息或資產(chǎn)的分享(例如合作或交換信息、專長、技術(shù)以及其他資源)。

公私合作伙伴關(guān)系

公私合作伙伴關(guān)系(PPP)指的是在公共和私營部門之間開展的合作項目。這項績效指標衡量的是官方正式認可的國家或具體部門的PPP項目數(shù)量，無論國內(nèi)還是國際公共部門與私營部門之間分享網(wǎng)絡(luò)安全信息和資產(chǎn)(人員、程序、工具，即通過正式的伙伴關(guān)系進行合作或交換信息、專長、技術(shù)和/或資源)。

跨機構(gòu)合作伙伴關(guān)系

這項績效指標指本成員國內(nèi)不同政府機構(gòu)之間的所有正式合作伙伴關(guān)系(不包括國際伙伴關(guān)系)，包括部委、部門、項目和其他公共機構(gòu)之間的信息或資產(chǎn)共享合作伙伴關(guān)系。

全球網(wǎng)絡(luò)安全指數(shù)（GCI）參考價值

全球網(wǎng)絡(luò)安全指數(shù)（GCI）能夠幫助各個國家在網(wǎng)絡(luò)安全領(lǐng)域進行改進，并通過指標排名敦促各國開展網(wǎng)絡(luò)安全相關(guān)行動，從而提升全球網(wǎng)絡(luò)安全的整體水平。網(wǎng)絡(luò)安全作為國家安全的關(guān)鍵組成，省市縣等不同的城市級別網(wǎng)絡(luò)安全規(guī)劃與建設(shè)與大中小等不同類型單位的網(wǎng)絡(luò)安全規(guī)劃與建設(shè)都是國家網(wǎng)絡(luò)安全整體規(guī)劃與建設(shè)的重要組成。第4版《全球網(wǎng)絡(luò)安全指數(shù)》可以作為在進行不同層次網(wǎng)絡(luò)安全規(guī)劃與建設(shè)的重要參考。天融信后續(xù)將密切跟進第4版《全球網(wǎng)絡(luò)安全指數(shù)》調(diào)研報告發(fā)布情況。