【摘 要】信息安全水平評價工作的開展，需要科學、全面、可操作、可量化的指標體系作為基礎和保障。本文以電力組織信息安全工作水平為評價對象，結合電力系統信息安全工作實際，系統的構建出電力信息安全水平評價指標體系，并從國家和行業規范要求為出發點確定70個評價指標。同時，文章闡明單個評價指標的量化方法和信息安全水平指數的計算方法。

        1 引言

        近年來，電力系統內部各組織共同建立起具有行業特點的信息安全技術防護體系和管理組織體系，信息安全保障能力建設有力支撐了電力系統信息化、自動化的發展。然而，隨著信息安全工作的深入開展和電力系統內外部環境的不斷變化，不同組織間信息安全工作水平存在差異的問題也逐漸顯現出來。信息安全水平評價工作依據統一標準客觀評價行業內各組織的信息安全工作水平，可通過比學趕幫，不斷提高電力行業信息安全管理水平，促進行業整體網絡與信息安全防護能力持續提升。

        信息安全水平評價工作的開展，需要科學、全面、可操作、可量化的指標體系作為基礎和保障，但當前行業內外學者提出的信息安全指標[1-2]并不能滿足電力信息安全水平評價工作的需要。本文結合電力系統信息安全工作實際，系統的構建出電力信息安全水平評價指標體系，提出具體評價指標，闡明單個評價指標的量化方法和信息安全水平指數的計算方法。

        2 評價指標體系框架

        2.1 評價指標體系構建原則

        為了能夠客觀、準確、全面的反映不同電力組織的信息安全工作水平，在確定指標體系時遵循了以下基本原則[3]：

        1)科學性原則

        從信息化及信息安全的基本理論和定義出發，選取能準確反應組織信息安全工作實際情況的指標，既要具有全面性、概括性、也應具有綜合性和精確性。

        2)可操作性原則

        在考慮具有科學性的基礎上，還要使選取的指標有據可依，指標應來源于國家、電力行業近年來在信息安全方面提出的規范、要求，同時指標也應支持方便的獲取準確數據，以支撐評價結果的被客觀量化。

        3)可比性原則

        水平評價的結果需要支持在橫向上(電力行業不同組織間)和縱向上(同一組織的不同時期間)的比較與分析。

        4)向導性原則

        指標體系的設置應對行業信息安全工作起到正面的引導和向導作用。引導行業各組織重視信息安全工作，夯實信息安全工作基礎，提升安全防護效果。

        2.2 評價指標體系模型

        圍繞組織體系、規章制度、資金保障、人員安全管理、服務外包管控、關鍵信息資產管控、信息系統建設安全管理、安全分區防御、網絡安全防護、主機和設備安全防護、應用系統和數據安全防護、物理安全防護、信息系統運行安全管理、災難恢復、應急管理，共15個方面構建電力信息安全水平評價指標體系，如圖1所示。

 

圖1 電力信息安全水平評價指標體系模型

        從圖1可見，電力信息安全水平評價指標體系模型包括三個部分：

        1)信息安全管理基礎。組織體系、規章制度、資金保障、人員安全管理、服務外包管控、關鍵信息資產管控是組織信息安全工作的基礎內容，同時也為信息安全防護技術措施落實和建設運行安全管理提供基礎性支持。

        2)信息安全管理核心。信息系統建設安全管理、信息系統運行安全管理、應急管理是信息組織信息安全管理的核心內容。信息系統典型的生命周期包含規劃設計、開發采購、實施交付、運行維護、廢棄五個階段，信息安全管理工作應貫穿信息系統的完整生命周期。

        3)信息安全技術保障。安全分區防御、網絡安全防護、主機和設備安全防護、應用系統和數據安全防護、物理安全防護、災難恢復是指標體系中提出的技術評價內容，與信息安全管理相一致，組織應在信息系統整個生命周期落實信息安全技術保障要求，提升組織網絡和信息系統自身的安全保護能力。

        在上述電力信息安全水平評價指標體系模型的建立基礎上，可以分別對評價指標類細化具體評價指標，以達到對組織信息安全工作水平實施定量化、精細化、常態化評價的實踐目的。

        3 評價指標

        3.1 評價指標內容

        根據圖1描述的評價指標體系模型，依據《電力監管條例》(中華人民共和國國務院令第432號)、《電力行業網絡與信息安全監督管理暫行規定》(電監信息[2007]50號)和國家有關標準規范[4-12]，在15個信息安全評價類框架下，提出70個電力信息安全水平評價指標，共同構成信息安全水平評價指標體系。具體評價指標如表1所示。
表1 電力信息安全水平評價指標

指標類		指標項
標識	類名	項數	項名
ORG	組織體系	5	信息安全組織建立，第一責任人確立，責任落實，專職機構及崗位設置，安全人員配置
REG	規章制度	5	整體策略及總體方案制定，規章制度及體系完整性，操作規程制定，制度發布，管理體系認證
FUN	資金保障	3	經費預算，安全建設經費投入，安全運維經費投入
PER	人員安全管理	5	全員安全培訓，全員保密協議簽訂，專業技能培訓，人員審查，崗位調整管控
OSE	服務外包管控	4	外包服務協議，第三方人員訪問管理，遠程服務管控，現場開發管控
ASS	關鍵信息資產管控	3	資產清單，資產管理職責，信息系統基礎資料歸檔
CON	信息系統建設安全管理	8	上線安全測評，等級保護建設，等級保護測評開展情況，等級保護測評通過率，風險評估，產品采購和使用，核心產品采購測試，安全產品國產化情況
SDD	安全分區防御	5	大區間隔離，生產控制大區內部邏輯隔離，縱向認證，跨區連接管控，內外網隔離
NET	網絡安全防護	6	生產控制大區防護，管理信息大區防護，互聯網出口統一管理，互聯網出口安全管控，無線網絡安全應用，移動終端安全接入
HEQ	主機和設備安全防護	5	補丁更新，惡意代碼防護，系統加固，辦公終端管控，主機和設備賬號口令管理
ADA	應用系統和數據安全防護	5	應用系統安全功能及配置，面向互聯網服務系統安全監控和攻擊防御，面向互聯網服務系統周期性測試，應用系統帳號口令管理，重要數據安全保護
PEN	物理安全防護	1	機房安全建設
OPE	信息系統運行安全管理	5	日常維護，安全審計，補丁管理，移動介質管理，安全監測
REC	災難恢復	4	硬件冗余，系統和數據備份，異地災備，恢復測試
EME	應急管理	6	信息通報，應急預案制定，專項應急處置預案制定，應急演練，應急資源配備，事故調查