电力信息化：信息安全水平评价指标体系.pdf

【摘要】信息安全水平评价工作的开展，需要科学、全面、可操作、可量化 的指标体系作为基础和保障。本文以电力组织信息安全工作水平为评价对象，结 合电力系统信息安全工作实际，系统的构建出电力信息安全水平评价指标体系， 并从国家和行业规范要求为出发点确定70个评价指标。同时，文章阐明单个评 价指标的量化方法和信息安全水平指数的计算方法。 1 引言 近年来，电力系统内部各组织共同建立起具有行业特点的信息安全技术防护 体系和管理组织体系，信息安全保障能力建设有力支撑了电力系统信息化、自动 化的发展。然而，随着信息安全工作的深入开展和电力系统内外部环境的不断变 化，不同组织间信息安全工作水平存在差异的问题也逐渐显现出来。信息安全水 平评价工作依据统一标准客观评价行业内各组织的信息安全工作水平，可通过比 学赶帮，不断提高电力行业信息安全管理水平，促进行业整体网络与信息安全防 护能力持续提升。 信息安全水平评价工作的开展，需要科学、全面、可操作、可量化的指标体 系作为基础和保障，但当前行业内外学者提出的信息安全指标[1-2]并不能满足 电力信息安全水平评价工作的需要。本文结合电力系统信息安全工作实际，系统 的构建出电力信息安全水平评价指标体系，提出具体评价指标，阐明单个评价指 标的量化方法和信息安全水平指数的计算方法。 2 评价指标体系框架 2.1 评价指标体系构建原则 为了能够客观、准确、全面的反映不同电力组织的信息安全工作水平，在确 定指标体系时遵循了以下基本原则[3]： 1)科学性原则 从信息化及信息安全的基本理论和定义出发，选取能准确反应组织信息安全 工作实际情况的指标，既要具有全面性、概括性、也应具有综合性和精确性。 2)可操作性原则 在考虑具有科学性的基础上，还要使选取的指标有据可依，指标应来源于国 家、电力行业近年来在信息安全方面提出的规范、要求，同时指标也应支持方便 的获取准确数据，以支撑评价结果的被客观量化。 3)可比性原则 水平评价的结果需要支持在横向上(电力行业不同组织间)和纵向上(同一组 织的不同时期间)的比较与分析。 4)向导性原则 指标体系的设置应对行业信息安全工作起到正面的引导和向导作用。引导行 业各组织重视信息安全工作，夯实信息安全工作基础，提升安全防护效果。 2.2 评价指标体系模型 围绕组织体系、规章制度、资金保障、人员安全管理、服务外包管控、关键 信息资产管控、信息系统建设安全管理、安全分区防御、网络安全防护、主机和 设备安全防护、应用系统和数据安全防护、物理安全防护、信息系统运行安全管 理、灾难恢复、应急管理，共 15个方面构建电力信息安全水平评价指标体系， 如图1所示。 图1 电力信息安全水平评价指标体系模型 从图1可见，电力信息安全水平评价指标体系模型包括三个部分： 1)信息安全管理基础。组织体系、规章制度、资金保障、人员安全管理、服 务外包管控、关键信息资产管控是组织信息安全工作的基础内容，同时也为信息 安全防护技术措施落实和建设运行安全管理提供基础性支持。 2)信息安全管理核心。信息系统建设安全管理、信息系统运行安全管理、应 急管理是信息组织信息安全管理的核心内容。信息系统典型的生命周期包含规划 设计、开发采购、实施交付、运行维护、废弃五个阶段，信息安全管理工作应贯 穿信息系统的完整生命周期。 3)信息安全技术保障。安全分区防御、网络安全防护、主机和设备安全防护、 应用系统和数据安全防护、物理安全防护、灾难恢复是指标体系中提出的技术评 价内容，与信息安全管理相一致，组织应在信息系统整个生命周期落实信息安全 技术保障要求，提升组织网络和信息系统自身的安全保护能力。 在上述电力信息安全水平评价指标体系模型的建立基础上，可以分别对评价 指标类细化具体评价指标，以达到对组织信息安全工作水平实施定量化、精细化、 常态化评价的实践目的。 3 评价指标 3.1 评价指标内容 根据图1描述的评价指标体系模型，依据《电力监管条例》(中华人民共和国 国务院令第432号)、《电力行业网络与信息安全监督管理暂行规定》(电监信息 [2007]50号)和国家有关标准规范[4-12]，在 15个信息安全评价类框架下，提 出70个电力信息安全水平评价指标，共同构成信息安全水平评价指标体系。具 体评价指标如表1所示。 表1 电力