1 范围
本标准规定了电力信息安全水平评价指标,描述了评价指标量化方法。
本标准适用于电力监管机构对电网、发电、电力科研及电力设计施工等电力组织机构开展信息安全水平评价,也适用于上述电力组织机构开展信息安全水平自评价。信息安全服务提供商为电力组织机构提供服务时也可参考使用。 2 电力信息安全水平评价指标框架及量化方法
2.1 评价指标框架
电力信息安全水平评价指标分为组织体系、规章制度、资金保障、人员安全管理、服务外包管控、关键信息资产管控、信息系统建设安全管理、安全分区防御、网络安全防护、主机和设备安全防护、应用系统和数据安全防护、物理环境安全防护、信息系统运行安全管理、灾难恢复和应急管理等15类,共70项。表1描述了电力信息安全水平评价指标框架。 2.2 评价指标项描述
评价指标项包含评价要素、指标权重、指标属性和量化方法四个部分,四个部分含义分别为:
万花茶a) 评价要素:说明每个评价指标项的具体评价内容和要求,在定性评价指标项中描述组织机构
信息安全工作应达到的水平,在定量评价指标项中描述应从组织机构信息安全工作中提取的具体量值。
b) 指标权重:每个评价指标项被赋予一个参考数值,以反映其相对于其他评价指标项的重要程
度。在水平评价实施过程中,如果部分评价指标项不适用于被评价组织机构,此部分评价指标项的权重按0计。
c) 指标属性:每个评价指标项的属性为“定性指标”和“定量指标”之一。
d) 量化方法:每个评价指标项的量化方法为“判断法”、“比率值法”和“选项赋值法”之一。 2.3 量化方法
2.3.1 评价指标项量化方法 2.3.1.1 判断法
根据组织机构信息安全工作实际情况是否符合评价要素描述,为评价指标项赋予量化值,表2列出了评价指标项量化值ij P 的赋值方法。
表2 应用判断法的P 2.3.1.2 比率值法
根据组织机构信息安全工作实际情况,依据评价要素计算得出比率或比值,并将比率或比值作为评价指标项量化值。ij P 精确到小数点后2位,赋值方法如公式(1)所示。
R P ij (1)
式中:
R —依据评价指标项的评价要素描述计算得出的比率或比值。 2.3.1.3 选项法
组织机构依据评价要素描述,将信息安全工作实际情况与量化方法中规定的赋值要求对比确定评价指标项量化值ij P ,ij P 精确到小数点后2位。 2.3.2 信息安全水平指数计算方法
信息安全水平指数由公式(2)计算求得: ∑∑
==⎪⎪⎭
⎫
⎝
⎛=n
i m
j ij ij P V ISL 11 …………………………
(2) 式中:
n —评价指标类个数;
m —第i 评价指标类中评价指标项个数。
2.3.3 分类信息安全水平指数计算方法
分类信息安全水平指数由公式(3)计算求得: ∑==
m
j ij
ij i P
V ISL 1
(3)
式中:
m —第i 评价指标类中评价指标项个数。
2.3.4 修正信息安全水平指数计算方法
组织机构依据评价指标项的评价要素描述,确定存在部分评价指标项不适用时,可依据公式(4)
贴片三极管计算修正信息安全水平指数。
∑∑∈∈⨯
=Q
j i ij
P
盘鮈鱼
j i ij
c V
V ISL ISL ),(),( (4)
式中:
},..,2,1;,..,2,1),({m j n i j i P === —全部评价指标项;
刮刀研磨机P j i j i Q ∈=),(),({为适用评价指标项} —某组织机构适用的评价指标项。
3 电力信息安全水平评价指标项 3.1 组织体系(ORG ) 3.1.1 ORG1第一责任人确立
氨气压缩机a)
评价要素:组织机构主要负责人是本组织机构信息安全第一责任人。 b) 指标权重:11=ORG V 。 c) 指标属性:定性指标。 d)
量化方法:判断法。
3.1.2 ORG2责任落实
a) 评价要素:组织机构信息安全职责明确到责任部门、责任人员,并以正式文件形式发布。 b) 指标权重:22=ORG V 。 c) 指标属性:定性指标。 d)
量化方法:判断法。
3.1.3 ORG3专职机构及岗位设置
a)
评价要素:组织机构中信息安全部门及岗位设置符合所述要求; 1)电力企业集团公司总部设置信息安全专职管理机构; 2)电力企业集团公司二级单位设置信息安全管理和技术岗位; 3)电力企业基层单位设置信息安全岗位。 b) 指标权重:23=ORG V 。 c) 指标属性:定性指标。 d)
量化方法:判断法。
3.1.4 ORG4安全人员配置
a) 评价要素:组织机构中专职信息安全工作人员数量与组织机构信息安全岗位总数的比值。 b) 指标权重:24=ORG V 。 c) 指标属性:定量指标。 d)
量化方法:比率值法。
3.2 规章制度(REG )
3.2.1 REG1整体策略及总体方案制定
a) 评价要素:组织机构制定符合国家及行业政策要求的信息安全工作整体策略和总体方案,说明信息安全工作总体目标、范围、防护框架和防护措施。 b) 指标权重:21=REG V 。 c) 指标属性:定性指标。 d)消音降噪
量化方法:判断法。
3.2.2 REG2制度制定及体系完整性
a)
评价要素:组织机构针对信息安全工作制定基本安全管理制度,并以此为基础形成涵盖人员管理、资产管理、介质管理、建设安全管理、运行维护管理、外包服务管理、培训教育等方面的制度体系。
b) 指标权重:22=REG V 。 c) 指标属性:定性指标。 d)
量化方法:选项法; 1)无制度,02=REG P ;
2)制定基本制度,5.002≤<REG P ; 3)形成制度体系,15.02≤<REG P 。
3.2.3 REG3操作规程制定
a) 评价要素:组织机构对信息安全运行维护人员执行的日常操作制定运维流程和操作规程。 b) 指标权重:23=REG V 。 c) 指标属性:定性指标。 d)
量化方法:判断法。
3.2.4 REG4制度发布
a)
评价要素:组织机构通过正式、有效的方式发布信息安全管理制度。
