电力信息化：信息安全水平评价指标体系

电力信息化：信息安全水平评价指标体系
【摘要】信息安全水平评价工作的开展，需要科学、全面、可操作、可量化的指标体系作为基础和保障。

本文以电力组织信息安全工作水平为评价对象，结合电力系统信息安全工作实际，系统的构建出电力信息安全水平评价指标体系，并从国家和行业规范要求为出发点确定70个评价指标。

同时，文章阐明单个评价指标的量化方法和信息安全水平指数的计算方法。

1 引言近年来，电力系统内部各组织共同建立起具有行业特点的信息安全技术防护体系和管理组织体系，信息安全保障能力建设有力支撑了电力系统信息化、自动化的发展。

然而，随着信息安全工作的深入开展和电力系统内外部环境的不断变化，不同组织间信息安全工作水平存在差异的问题也逐渐显现出来。

信息安全水平评价工作依据统一标准客观评价行业内各组织的信息安全工作水平，可通过比学赶帮，不断提高电力行业信息安全管理水平，促进行业整体网络与信息安全防护能力持续提升。

信息安全水平评价工作的开展，需要科学、全面、可操作、可量化的指标体系作为基础和保障，但当前行业内外学者提出的信息安全指标[1-2]并不能满足电力信息安全水平评价工作的需要。

本文结合电力系统信息安全工作实际，系统的构建出电力信息安全水平评价指标体系，提出具体评价指标，阐明单个评价指标的量化方法和信息安全水平指数的计算方法。

2 评价指标体系框架2.1 评价指标体系构建原则为了能够客观、准确、全面的反映不同电力组织的信息安全工作水平，在确定指标体系时遵
循了以下基本原则[3]：
1)科学性原则从信息化及信息安全的基本理论和定义出发，选取能准确反应组织信息安全工作实际情况的指标，既要具有全面性、概括性、也应具有综合性和精确性。

2)可操作性原则在考虑具有科学性的基础上，还要使选取的指标有据可依，指标应来源于国家、电力行业近年来在信息安全方面提出的规范、要求，同时指标也应支持方便的获取准确数据，以支撑评价结果的被客观量化。

3)可比性原则水平评价的结果需要支持在横向上(电力行业不同组织间)和纵向上(同一组织的不同时期间)的比较与分析。

4)向导性原则指标体系的设置应对行业信息安全工作起到正面的引导和向导作用。

引导行业各组织重视信息安全工作，夯实信息安全工作基础，提升安全防护效果。

2.2 评价指标体系模型围绕组织体系、规章制度、资金保障、人员安全管理、服务外包管控、关键信息资产管控、信息系统建设安全管理、安全分区防御、网络安全防护、主机和设备安全防护、应用系统和数据安全防护、物理安全防护、信息系统运行安全管理、灾难恢复、应急管理，共15个方面构建电力信息安全水平评价指标体系，如图1所示。

图1 电力信息安全水平评价指标体系模型
从图1可见，电力信息安全水平评价指标体系模型包括三个部分：
1)信息安全管理基础。

组织体系、规章制度、资金保障、人员安全管理、服务外包管控、关键信息资产管控是组织信息安全工作的基础内容，
同时也为信息安全防护技术措施落实和建设运行安全管理提供基础性支持。

2)信息安全管理核心。

信息系统建设安全管理、信息系统运行安全管理、应急管理是信息组织信息安全管理的核心内容。

信息系统典型的生命周期包含规划设计、开发采购、实施交付、运行维护、废弃五个阶段，信息安全管理工作应贯穿信息系统的完整生命周期。

3)信息安全技术保障。

安全分区防御、网络安全防护、主机和设备安全防护、应用系统和数据安全防护、物理安全防护、灾难恢复是指标体系中提出的技术评价内容，与信息安全管理相一致，组织应在信息系统整个生命周期落实信息安全技术保障要求，提升组织网络和信息系统自身的安全保护能力。

在上述电力信息安全水平评价指标体系模型的建立基础上，可以分别对评价指标类细化具体评价指标，以达到对组织信息安全工作水平实施定量化、精细化、常态化评价的实践目的。

3 评价指标3.1 评价指标内容根据图1描述的评价指标体系模型，依据《电力监管条例》(中华人民共和国国务院令第432号)、《电力行业网络与信息安全监督管理暂行规定》(电监信息[2007]50号)和国家有关标准规范[4-12]，在15个信息安全评价类框架下，提出70个电力信息安全水平评价指标，共同构成信息安全水平评价指标体系。

具体评价指标如表1所示。

表1 电力信息安全水平评价指标
3.2 评价指标构成评价指标是实现信息安全水平评价的具体项目，为
支撑信息安全水平评价的可操作性、评价结果的可比性，每个评价指标需要被赋四个内涵，分别是：一个评价要求、一个指标权重、一个指标属性、一个量化方法。

图2描述了评价指标的结构。

图2 评价指标描述结构
评价指标需要包含的四个要素详述如下：1)评价要素：说明每个评价指标的具体评价要求，在定性指标中描述组织信息安全工作应达到的工作水平，在定量指标中描述应从组织信息安全工作中提取的具体量值。

2)指标属性：每项评价指标属性是定性指标和定量指标之一。

3)指标权重：应用专家咨询法与层次化分析方法结合确定的，表示评价指标在评价指标体系中所起作用的相对数值[13]。

4)量化方法：每个评价指标项量化评分方法选取“符合/不符合判断法”、“比率值法”、“选项赋值法”之一。

4 量化统计方法4.1 评价指标量化方法对于电力信息安全水平评价指标体系中包含的70个评价指标，根据其指标属性的不同，分别确定了“符合/不符合判断法”、“比率值法”、“选项赋值法”三种评价指标量化方法。

其中定性指标应用“符合/不符合判断法”，定量指标可依据指标特性选取“比率值法”或“选项赋值法”。

1、符合/不符合判定法根据组织信息安全工作实际情况是否符合指标评价要素中描述的基本要求，为评价指标赋予量化值，表2列出了的赋值方法。

表2 应用符合/不符合判定法的的赋值方法
4.2 信息安全水平指数计算方法
5 结束语
本文以电力组织信息安全工作水平为研究对象，从组织体系、规章制度、资金保障、人员安全管理、服务外包管控、关键信息资产管控、信息系统建设安全管理、安全分区防御、网络安全防护、主机和设备安全防护、应用系统和数据安全防护、物理安全防护、信息系统运行安全管理、灾难恢复、应急管理等15
个
方面出发建立了一套指标体系。

同时从国家和行业的要求、规范为出发点确定了70个具体评价指标，并提出了具体评价指标的量化方法和组织信息安全水平指数的计算方法。

本文提出的电力信息安全水平评价指标体系在电力行业十八大信息安全检查工作中得以应用，从应用结果来看客观、精细、量化的反映了电力组织当前信息安全工作水平。

电力信息安全水平评价指标的构建和量化统计方法的确定，为当前电力行业信息安全监管和电力组织对信息安全工作开展情况的自评价提供了必要的技术支持。

为保证评价指标的科学性和适用性，电力系统信息安全研究人员还需要根据信息安全工作内容和信息安全防护技术的发展，不断的调整和优化评价指标，保障电力系统信息安全。

参考文献1.张静,陈冠直,赵玉洁等. 石油石化信息安全态势评估指标体系研究. 信息网络安全. 2012,3.19-24.
2.杨海鹰, 余建坤, 谢健等. 信息系统安全评价指标体系的评价因素
集研究. 全国商情:经济理论研究. 2011,12. 32-35.
3.工业和信息化部信息化推进司，国家统计局统计科学研究所.中国信
息化发展指数统计监测年度报告2011[M].北京:中国发展出版社，2011.
4.中华人民共和国国家质量监督检验检疫总局. GB/T 20271-2006 信息安全技术信息系统通用安全技术要求[S].2006.
5.中华人民共和国国家质量监督检验检疫总局. GB/T 22239-2008 信息安全技术信息安全等级保护基本要求[S].2008
6.中华人民共和国国家质量监督检验检疫总局. GB/T 22081-2008 信息技术安全技术信息安全实用规则[S].2008.
7.中华人民共和国国家质量监督检验检疫总局. GB/T 20274.1-2008 信息安全技术信息系统安全保障评估框架第1部分：简介和一般模型[S].2008.
8.中华人民共和国国家质量监督检验检疫总局. GB/T 20274.3-2008 信息安全技术信息系统安全保障评估框架第3部分：管理保障[S].2008.
9.中华人民共和国国家质量监督检验检疫总局. GB/T 24363-2009 信息安全技术信息安全应急响应计划规范[S].2009.
10.中华人民共和国国家质量监督检验检疫总局. GB/T 20988-2007 信息安
全技术信息系统灾难恢复规范[S].2007.
11.中华人民共和国国务院. 第432号令电力监管条例[S].2005. 12.国家电力监管委员会. 5号令电力二次系统安全防护规定[S].2006. 13.程崯, 王宇, 余轩等. 电力变压器运行状态综合评判指标的权重确定. 中国电力, 2011, 44(4),26-30.。