- 1、本文档共8页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
【摘要】信息安全水平评价工作的开展,需要科学、全面、可操作、可量化
的指标体系作为基础和保障。本文以电力组织信息安全工作水平为评价对象,结
合电力系统信息安全工作实际,系统的构建出电力信息安全水平评价指标体系,
并从国家和行业规范要求为出发点确定70个评价指标。同时,文章阐明单个评
价指标的量化方法和信息安全水平指数的计算方法。
1 引言
近年来,电力系统内部各组织共同建立起具有行业特点的信息安全技术防护
体系和管理组织体系,信息安全保障能力建设有力支撑了电力系统信息化、自动
化的发展。然而,随着信息安全工作的深入开展和电力系统内外部环境的不断变
化,不同组织间信息安全工作水平存在差异的问题也逐渐显现出来。信息安全水
平评价工作依据统一标准客观评价行业内各组织的信息安全工作水平,可通过比
学赶帮,不断提高电力行业信息安全管理水平,促进行业整体网络与信息安全防
护能力持续提升。
信息安全水平评价工作的开展,需要科学、全面、可操作、可量化的指标体
系作为基础和保障,但当前行业内外学者提出的信息安全指标[1-2]并不能满足
电力信息安全水平评价工作的需要。本文结合电力系统信息安全工作实际,系统
的构建出电力信息安全水平评价指标体系,提出具体评价指标,阐明单个评价指
标的量化方法和信息安全水平指数的计算方法。
2 评价指标体系框架
2.1 评价指标体系构建原则
为了能够客观、准确、全面的反映不同电力组织的信息安全工作水平,在确
定指标体系时遵循了以下基本原则[3]:
1)科学性原则
从信息化及信息安全的基本理论和定义出发,选取能准确反应组织信息安全
工作实际情况的指标,既要具有全面性、概括性、也应具有综合性和精确性。
2)可操作性原则
在考虑具有科学性的基础上,还要使选取的指标有据可依,指标应来源于国
家、电力行业近年来在信息安全方面提出的规范、要求,同时指标也应支持方便
的获取准确数据,以支撑评价结果的被客观量化。
3)可比性原则
水平评价的结果需要支持在横向上(电力行业不同组织间)和纵向上(同一组
织的不同时期间)的比较与分析。
4)向导性原则
指标体系的设置应对行业信息安全工作起到正面的引导和向导作用。引导行
业各组织重视信息安全工作,夯实信息安全工作基础,提升安全防护效果。
2.2 评价指标体系模型
围绕组织体系、规章制度、资金保障、人员安全管理、服务外包管控、关键
信息资产管控、信息系统建设安全管理、安全分区防御、网络安全防护、主机和
设备安全防护、应用系统和数据安全防护、物理安全防护、信息系统运行安全管
理、灾难恢复、应急管理,共 15个方面构建电力信息安全水平评价指标体系,
如图1所示。
图1 电力信息安全水平评价指标体系模型
从图1可见,电力信息安全水平评价指标体系模型包括三个部分:
1)信息安全管理基础。组织体系、规章制度、资金保障、人员安全管理、服
务外包管控、关键信息资产管控是组织信息安全工作的基础内容,同时也为信息
安全防护技术措施落实和建设运行安全管理提供基础性支持。
2)信息安全管理核心。信息系统建设安全管理、信息系统运行安全管理、应
急管理是信息组织信息安全管理的核心内容。信息系统典型的生命周期包含规划
设计、开发采购、实施交付、运行维护、废弃五个阶段,信息安全管理工作应贯
穿信息系统的完整生命周期。
3)信息安全技术保障。安全分区防御、网络安全防护、主机和设备安全防护、
应用系统和数据安全防护、物理安全防护、灾难恢复是指标体系中提出的技术评
价内容,与信息安全管理相一致,组织应在信息系统整个生命周期落实信息安全
技术保障要求,提升组织网络和信息系统自身的安全保护能力。
在上述电力信息安全水平评价指标体系模型的建立基础上,可以分别对评价
指标类细化具体评价指标,以达到对组织信息安全工作水平实施定量化、精细化、
常态化评价的实践目的。
3 评价指标
3.1 评价指标内容
根据图1描述的评价指标体系模型,依据《电力监管条例》(中华人民共和国
国务院令第432号)、《电力行业网络与信息安全监督管理暂行规定》(电监信息
[2007]50号)和国家有关标准规范[4-12],在 15个信息安全评价类框架下,提
出70个电力信息安全水平评价指标,共同构成信息安全水平评价指标体系。具
体评价指标如表1所示。
表1 电力
- 专业制定安全标准化,应急预案,安全评价 + 关注
-
实名认证服务提供商
专职从事安全评价,应急预案,安全生产标准化,涉路安全评价,管道跨越专项安全评价,社会稳定风险分析,安全咨询等。
文档评论(0)