【摘 要】信息安全水平評價工作的開展，需要科學、全面、可操作、可量化的指標體系作為基礎和保障。本文以電力組織信息安全工作水平為評價對象，結合電力系統(tǒng)信息安全工作實際，系統(tǒng)的構建出電力信息安全水平評價指標體系，并從國家和行業(yè)規(guī)范要求為出發(fā)點確定70個評價指標。同時，文章闡明單個評價指標的量化方法和信息安全水平指數(shù)的計算方法。

        1 引言

        近年來，電力系統(tǒng)內(nèi)部各組織共同建立起具有行業(yè)特點的信息安全技術防護體系和管理組織體系，信息安全保障能力建設有力支撐了電力系統(tǒng)信息化、自動化的發(fā)展。然而，隨著信息安全工作的深入開展和電力系統(tǒng)內(nèi)外部環(huán)境的不斷變化，不同組織間信息安全工作水平存在差異的問題也逐漸顯現(xiàn)出來。信息安全水平評價工作依據(jù)統(tǒng)一標準客觀評價行業(yè)內(nèi)各組織的信息安全工作水平，可通過比學趕幫，不斷提高電力行業(yè)信息安全管理水平，促進行業(yè)整體網(wǎng)絡與信息安全防護能力持續(xù)提升。

        信息安全水平評價工作的開展，需要科學、全面、可操作、可量化的指標體系作為基礎和保障，但當前行業(yè)內(nèi)外學者提出的信息安全指標[1-2]并不能滿足電力信息安全水平評價工作的需要。本文結合電力系統(tǒng)信息安全工作實際，系統(tǒng)的構建出電力信息安全水平評價指標體系，提出具體評價指標，闡明單個評價指標的量化方法和信息安全水平指數(shù)的計算方法。

        2 評價指標體系框架

        2.1 評價指標體系構建原則

        為了能夠客觀、準確、全面的反映不同電力組織的信息安全工作水平，在確定指標體系時遵循了以下基本原則[3]：

        1)科學性原則

        從信息化及信息安全的基本理論和定義出發(fā)，選取能準確反應組織信息安全工作實際情況的指標，既要具有全面性、概括性、也應具有綜合性和精確性。

        2)可操作性原則

        在考慮具有科學性的基礎上，還要使選取的指標有據(jù)可依，指標應來源于國家、電力行業(yè)近年來在信息安全方面提出的規(guī)范、要求，同時指標也應支持方便的獲取準確數(shù)據(jù)，以支撐評價結果的被客觀量化。

        3)可比性原則

        水平評價的結果需要支持在橫向上(電力行業(yè)不同組織間)和縱向上(同一組織的不同時期間)的比較與分析。

        4)向導性原則

        指標體系的設置應對行業(yè)信息安全工作起到正面的引導和向導作用。引導行業(yè)各組織重視信息安全工作，夯實信息安全工作基礎，提升安全防護效果。

        2.2 評價指標體系模型

        圍繞組織體系、規(guī)章制度、資金保障、人員安全管理、服務外包管控、關鍵信息資產(chǎn)管控、信息系統(tǒng)建設安全管理、安全分區(qū)防御、網(wǎng)絡安全防護、主機和設備安全防護、應用系統(tǒng)和數(shù)據(jù)安全防護、物理安全防護、信息系統(tǒng)運行安全管理、災難恢復、應急管理，共15個方面構建電力信息安全水平評價指標體系，如圖1所示。

 

圖1 電力信息安全水平評價指標體系模型

        從圖1可見，電力信息安全水平評價指標體系模型包括三個部分：

        1)信息安全管理基礎。組織體系、規(guī)章制度、資金保障、人員安全管理、服務外包管控、關鍵信息資產(chǎn)管控是組織信息安全工作的基礎內(nèi)容，同時也為信息安全防護技術措施落實和建設運行安全管理提供基礎性支持。

        2)信息安全管理核心。信息系統(tǒng)建設安全管理、信息系統(tǒng)運行安全管理、應急管理是信息組織信息安全管理的核心內(nèi)容。信息系統(tǒng)典型的生命周期包含規(guī)劃設計、開發(fā)采購、實施交付、運行維護、廢棄五個階段，信息安全管理工作應貫穿信息系統(tǒng)的完整生命周期。

        3)信息安全技術保障。安全分區(qū)防御、網(wǎng)絡安全防護、主機和設備安全防護、應用系統(tǒng)和數(shù)據(jù)安全防護、物理安全防護、災難恢復是指標體系中提出的技術評價內(nèi)容，與信息安全管理相一致，組織應在信息系統(tǒng)整個生命周期落實信息安全技術保障要求，提升組織網(wǎng)絡和信息系統(tǒng)自身的安全保護能力。

        在上述電力信息安全水平評價指標體系模型的建立基礎上，可以分別對評價指標類細化具體評價指標，以達到對組織信息安全工作水平實施定量化、精細化、常態(tài)化評價的實踐目的。

        3 評價指標

        3.1 評價指標內(nèi)容

        根據(jù)圖1描述的評價指標體系模型，依據(jù)《電力監(jiān)管條例》(中華人民共和國國務院令第432號)、《電力行業(yè)網(wǎng)絡與信息安全監(jiān)督管理暫行規(guī)定》(電監(jiān)信息[2007]50號)和國家有關標準規(guī)范[4-12]，在15個信息安全評價類框架下，提出70個電力信息安全水平評價指標，共同構成信息安全水平評價指標體系。具體評價指標如表1所示。
表1 電力信息安全水平評價指標

指標類		指標項
標識	類名	項數(shù)	項名
ORG	組織體系	5	信息安全組織建立，第一責任人確立，責任落實，專職機構及崗位設置，安全人員配置
REG	規(guī)章制度	5	整體策略及總體方案制定，規(guī)章制度及體系完整性，操作規(guī)程制定，制度發(fā)布，管理體系認證
FUN	資金保障	3	經(jīng)費預算，安全建設經(jīng)費投入，安全運維經(jīng)費投入
PER	人員安全管理	5	全員安全培訓，全員保密協(xié)議簽訂，專業(yè)技能培訓，人員審查，崗位調(diào)整管控
OSE	服務外包管控	4	外包服務協(xié)議，第三方人員訪問管理，遠程服務管控，現(xiàn)場開發(fā)管控
ASS	關鍵信息資產(chǎn)管控	3	資產(chǎn)清單，資產(chǎn)管理職責，信息系統(tǒng)基礎資料歸檔
CON	信息系統(tǒng)建設安全管理	8	上線安全測評，等級保護建設，等級保護測評開展情況，等級保護測評通過率，風險評估，產(chǎn)品采購和使用，核心產(chǎn)品采購測試，安全產(chǎn)品國產(chǎn)化情況
SDD	安全分區(qū)防御	5	大區(qū)間隔離，生產(chǎn)控制大區(qū)內(nèi)部邏輯隔離，縱向認證，跨區(qū)連接管控，內(nèi)外網(wǎng)隔離
NET	網(wǎng)絡安全防護	6	生產(chǎn)控制大區(qū)防護，管理信息大區(qū)防護，互聯(lián)網(wǎng)出口統(tǒng)一管理，互聯(lián)網(wǎng)出口安全管控，無線網(wǎng)絡安全應用，移動終端安全接入
HEQ	主機和設備安全防護	5	補丁更新，惡意代碼防護，系統(tǒng)加固，辦公終端管控，主機和設備賬號口令管理
ADA	應用系統(tǒng)和數(shù)據(jù)安全防護	5	應用系統(tǒng)安全功能及配置，面向互聯(lián)網(wǎng)服務系統(tǒng)安全監(jiān)控和攻擊防御，面向互聯(lián)網(wǎng)服務系統(tǒng)周期性測試，應用系統(tǒng)帳號口令管理，重要數(shù)據(jù)安全保護
PEN	物理安全防護	1	機房安全建設
OPE	信息系統(tǒng)運行安全管理	5	日常維護，安全審計，補丁管理，移動介質(zhì)管理，安全監(jiān)測
REC	災難恢復	4	硬件冗余，系統(tǒng)和數(shù)據(jù)備份，異地災備，恢復測試
EME	應急管理	6	信息通報，應急預案制定，專項應急處置預案制定，應急演練，應急資源配備，事故調(diào)查