亚洲an日韩专区在线-亚洲an天堂an在线观看-亚洲a区视频-亚洲a图-免费黄网大全-免费黄网在线

電力信息化:信息安全水平評(píng)價(jià)指標(biāo)體系

2013-11-05 16:12:41 大云網(wǎng)  點(diǎn)擊量: 評(píng)論 (0)
【摘 要】信息安全水平評(píng)價(jià)工作的開展,需要科學(xué)、全面、可操作、可量化的指標(biāo)體系作為基礎(chǔ)和保障。本文以電力組織信息安全工作水平為評(píng)價(jià)對(duì)象,結(jié)合電力系統(tǒng)信息安全工作實(shí)際,系統(tǒng)的構(gòu)建出電力信息安全水平評(píng)
【摘 要】信息安全水平評(píng)價(jià)工作的開展,需要科學(xué)、全面、可操作、可量化的指標(biāo)體系作為基礎(chǔ)和保障。本文以電力組織信息安全工作水平為評(píng)價(jià)對(duì)象,結(jié)合電力系統(tǒng)信息安全工作實(shí)際,系統(tǒng)的構(gòu)建出電力信息安全水平評(píng)價(jià)指標(biāo)體系,并從國家和行業(yè)規(guī)范要求為出發(fā)點(diǎn)確定70個(gè)評(píng)價(jià)指標(biāo)。同時(shí),文章闡明單個(gè)評(píng)價(jià)指標(biāo)的量化方法和信息安全水平指數(shù)的計(jì)算方法。
 
1 引言
 
近年來,電力系統(tǒng)內(nèi)部各組織共同建立起具有行業(yè)特點(diǎn)的信息安全技術(shù)防護(hù)體系和管理組織體系,信息安全保障能力建設(shè)有力支撐了電力系統(tǒng)信息化、自動(dòng)化的發(fā)展。然而,隨著信息安全工作的深入開展和電力系統(tǒng)內(nèi)外部環(huán)境的不斷變化,不同組織間信息安全工作水平存在差異的問題也逐漸顯現(xiàn)出來。信息安全水平評(píng)價(jià)工作依據(jù)統(tǒng)一標(biāo)準(zhǔn)客觀評(píng)價(jià)行業(yè)內(nèi)各組織的信息安全工作水平,可通過比學(xué)趕幫,不斷提高電力行業(yè)信息安全管理水平,促進(jìn)行業(yè)整體網(wǎng)絡(luò)與信息安全防護(hù)能力持續(xù)提升。
 
信息安全水平評(píng)價(jià)工作的開展,需要科學(xué)、全面、可操作、可量化的指標(biāo)體系作為基礎(chǔ)和保障,但當(dāng)前行業(yè)內(nèi)外學(xué)者提出的信息安全指標(biāo)[1-2]并不能滿足電力信息安全水平評(píng)價(jià)工作的需要。本文結(jié)合電力系統(tǒng)信息安全工作實(shí)際,系統(tǒng)的構(gòu)建出電力信息安全水平評(píng)價(jià)指標(biāo)體系,提出具體評(píng)價(jià)指標(biāo),闡明單個(gè)評(píng)價(jià)指標(biāo)的量化方法和信息安全水平指數(shù)的計(jì)算方法。
 
2 評(píng)價(jià)指標(biāo)體系框架
 
2.1 評(píng)價(jià)指標(biāo)體系構(gòu)建原則
 
為了能夠客觀、準(zhǔn)確、全面的反映不同電力組織的信息安全工作水平,在確定指標(biāo)體系時(shí)遵循了以下基本原則[3]:
 
1)科學(xué)性原則
 
從信息化及信息安全的基本理論和定義出發(fā),選取能準(zhǔn)確反應(yīng)組織信息安全工作實(shí)際情況的指標(biāo),既要具有全面性、概括性、也應(yīng)具有綜合性和精確性。
 
2)可操作性原則
 
在考慮具有科學(xué)性的基礎(chǔ)上,還要使選取的指標(biāo)有據(jù)可依,指標(biāo)應(yīng)來源于國家、電力行業(yè)近年來在信息安全方面提出的規(guī)范、要求,同時(shí)指標(biāo)也應(yīng)支持方便的獲取準(zhǔn)確數(shù)據(jù),以支撐評(píng)價(jià)結(jié)果的被客觀量化。
 
3)可比性原則
 
水平評(píng)價(jià)的結(jié)果需要支持在橫向上(電力行業(yè)不同組織間)和縱向上(同一組織的不同時(shí)期間)的比較與分析。
 
4)向?qū)栽瓌t
 
指標(biāo)體系的設(shè)置應(yīng)對(duì)行業(yè)信息安全工作起到正面的引導(dǎo)和向?qū)ё饔?。引?dǎo)行業(yè)各組織重視信息安全工作,夯實(shí)信息安全工作基礎(chǔ),提升安全防護(hù)效果。
 
2.2 評(píng)價(jià)指標(biāo)體系模型
 
圍繞組織體系、規(guī)章制度、資金保障、人員安全管理、服務(wù)外包管控、關(guān)鍵信息資產(chǎn)管控、信息系統(tǒng)建設(shè)安全管理、安全分區(qū)防御、網(wǎng)絡(luò)安全防護(hù)、主機(jī)和設(shè)備安全防護(hù)、應(yīng)用系統(tǒng)和數(shù)據(jù)安全防護(hù)、物理安全防護(hù)、信息系統(tǒng)運(yùn)行安全管理、災(zāi)難恢復(fù)、應(yīng)急管理,共15個(gè)方面構(gòu)建電力信息安全水平評(píng)價(jià)指標(biāo)體系,如圖1所示。
 
 
圖1 電力信息安全水平評(píng)價(jià)指標(biāo)體系模型
 
從圖1可見,電力信息安全水平評(píng)價(jià)指標(biāo)體系模型包括三個(gè)部分:
 
1)信息安全管理基礎(chǔ)。組織體系、規(guī)章制度、資金保障、人員安全管理、服務(wù)外包管控、關(guān)鍵信息資產(chǎn)管控是組織信息安全工作的基礎(chǔ)內(nèi)容,同時(shí)也為信息安全防護(hù)技術(shù)措施落實(shí)和建設(shè)運(yùn)行安全管理提供基礎(chǔ)性支持。
 
2)信息安全管理核心。信息系統(tǒng)建設(shè)安全管理、信息系統(tǒng)運(yùn)行安全管理、應(yīng)急管理是信息組織信息安全管理的核心內(nèi)容。信息系統(tǒng)典型的生命周期包含規(guī)劃設(shè)計(jì)、開發(fā)采購、實(shí)施交付、運(yùn)行維護(hù)、廢棄五個(gè)階段,信息安全管理工作應(yīng)貫穿信息系統(tǒng)的完整生命周期。
 
3)信息安全技術(shù)保障。安全分區(qū)防御、網(wǎng)絡(luò)安全防護(hù)、主機(jī)和設(shè)備安全防護(hù)、應(yīng)用系統(tǒng)和數(shù)據(jù)安全防護(hù)、物理安全防護(hù)、災(zāi)難恢復(fù)是指標(biāo)體系中提出的技術(shù)評(píng)價(jià)內(nèi)容,與信息安全管理相一致,組織應(yīng)在信息系統(tǒng)整個(gè)生命周期落實(shí)信息安全技術(shù)保障要求,提升組織網(wǎng)絡(luò)和信息系統(tǒng)自身的安全保護(hù)能力。
 
在上述電力信息安全水平評(píng)價(jià)指標(biāo)體系模型的建立基礎(chǔ)上,可以分別對(duì)評(píng)價(jià)指標(biāo)類細(xì)化具體評(píng)價(jià)指標(biāo),以達(dá)到對(duì)組織信息安全工作水平實(shí)施定量化、精細(xì)化、常態(tài)化評(píng)價(jià)的實(shí)踐目的。
 
3 評(píng)價(jià)指標(biāo)
 
3.1 評(píng)價(jià)指標(biāo)內(nèi)容
 
根據(jù)圖1描述的評(píng)價(jià)指標(biāo)體系模型,依據(jù)《電力監(jiān)管條例》(中華人民共和國國務(wù)院令第432號(hào))、《電力行業(yè)網(wǎng)絡(luò)與信息安全監(jiān)督管理暫行規(guī)定》(電監(jiān)信息[2007]50號(hào))和國家有關(guān)標(biāo)準(zhǔn)規(guī)范[4-12],在15個(gè)信息安全評(píng)價(jià)類框架下,提出70個(gè)電力信息安全水平評(píng)價(jià)指標(biāo),共同構(gòu)成信息安全水平評(píng)價(jià)指標(biāo)體系。具體評(píng)價(jià)指標(biāo)如表1所示。
 
表1 電力信息安全水平評(píng)價(jià)指標(biāo)
 
指標(biāo)類 指標(biāo)項(xiàng)
標(biāo)識(shí) 類名 項(xiàng)數(shù) 項(xiàng)名
ORG 組織體系 5 信息安全組織建立,第一責(zé)任人確立,責(zé)任落實(shí),專職機(jī)構(gòu)及崗位設(shè)置,安全人員配置
REG 規(guī)章制度 5 整體策略及總體方案制定,規(guī)章制度及體系完整性,操作規(guī)程制定,制度發(fā)布,管理體系認(rèn)證
FUN 資金保障 3 經(jīng)費(fèi)預(yù)算,安全建設(shè)經(jīng)費(fèi)投入,安全運(yùn)維經(jīng)費(fèi)投入
PER 人員安全管理 5 全員安全培訓(xùn),全員保密協(xié)議簽訂,專業(yè)技能培訓(xùn),人員審查,崗位調(diào)整管控
OSE 服務(wù)外包管控 4 外包服務(wù)協(xié)議,第三方人員訪問管理,遠(yuǎn)程服務(wù)管控,現(xiàn)場(chǎng)開發(fā)管控
ASS 關(guān)鍵信息資產(chǎn)管控 3 資產(chǎn)清單,資產(chǎn)管理職責(zé),信息系統(tǒng)基礎(chǔ)資料歸檔
CON 信息系統(tǒng)建設(shè)安全管理 8 上線安全測(cè)評(píng),等級(jí)保護(hù)建設(shè),等級(jí)保護(hù)測(cè)評(píng)開展情況,等級(jí)保護(hù)測(cè)評(píng)通過率,風(fēng)險(xiǎn)評(píng)估,產(chǎn)品采購和使用,核心產(chǎn)品采購測(cè)試,安全產(chǎn)品國產(chǎn)化情況
SDD 安全分區(qū)防御 5 大區(qū)間隔離,生產(chǎn)控制大區(qū)內(nèi)部邏輯隔離,縱向認(rèn)證,跨區(qū)連接管控,內(nèi)外網(wǎng)隔離
NET 網(wǎng)絡(luò)安全防護(hù) 6 生產(chǎn)控制大區(qū)防護(hù),管理信息大區(qū)防護(hù),互聯(lián)網(wǎng)出口統(tǒng)一管理,互聯(lián)網(wǎng)出口安全管控,無線網(wǎng)絡(luò)安全應(yīng)用,移動(dòng)終端安全接入
HEQ 主機(jī)和設(shè)備安全防護(hù) 5 補(bǔ)丁更新,惡意代碼防護(hù),系統(tǒng)加固,辦公終端管控,主機(jī)和設(shè)備賬號(hào)口令管理
ADA 應(yīng)用系統(tǒng)和數(shù)據(jù)安全防護(hù) 5 應(yīng)用系統(tǒng)安全功能及配置,面向互聯(lián)網(wǎng)服務(wù)系統(tǒng)安全監(jiān)控和攻擊防御,面向互聯(lián)網(wǎng)服務(wù)系統(tǒng)周期性測(cè)試,應(yīng)用系統(tǒng)帳號(hào)口令管理,重要數(shù)據(jù)安全保護(hù)
PEN 物理安全防護(hù) 1 機(jī)房安全建設(shè)
OPE 信息系統(tǒng)運(yùn)行安全管理 5 日常維護(hù),安全審計(jì),補(bǔ)丁管理,移動(dòng)介質(zhì)管理,安全監(jiān)測(cè)
REC 災(zāi)難恢復(fù) 4 硬件冗余,系統(tǒng)和數(shù)據(jù)備份,異地災(zāi)備,恢復(fù)測(cè)試
EME 應(yīng)急管理 6 信息通報(bào),應(yīng)急預(yù)案制定,專項(xiàng)應(yīng)急處置預(yù)案制定,應(yīng)急演練,應(yīng)急資源配備,事故調(diào)查
 
3.2 評(píng)價(jià)指標(biāo)構(gòu)成
 
評(píng)價(jià)指標(biāo)是實(shí)現(xiàn)信息安全水平評(píng)價(jià)的具體項(xiàng)目,為支撐信息安全水平評(píng)價(jià)的可操作性、評(píng)價(jià)結(jié)果的可比性,每個(gè)評(píng)價(jià)指標(biāo)需要被賦四個(gè)內(nèi)涵,分別是:一個(gè)評(píng)價(jià)要求、一個(gè)指標(biāo)權(quán)重、一個(gè)指標(biāo)屬性、一個(gè)量化方法。圖2描述了評(píng)價(jià)指標(biāo)的結(jié)構(gòu)。
 
 
圖2 評(píng)價(jià)指標(biāo)描述結(jié)構(gòu)
 
評(píng)價(jià)指標(biāo)需要包含的四個(gè)要素詳述如下:
 
1)評(píng)價(jià)要素:說明每個(gè)評(píng)價(jià)指標(biāo)的具體評(píng)價(jià)要求,在定性指標(biāo)中描述組織信息安全工作應(yīng)達(dá)到的工作水平,在定量指標(biāo)中描述應(yīng)從組織信息安全工作中提取的具體量值。
 
2)指標(biāo)屬性:每項(xiàng)評(píng)價(jià)指標(biāo)屬性是定性指標(biāo)和定量指標(biāo)之一。
 
3)指標(biāo)權(quán)重:應(yīng)用專家咨詢法與層次化分析方法結(jié)合確定的,表示評(píng)價(jià)指標(biāo)在評(píng)價(jià)指標(biāo)體系中所起作用的相對(duì)數(shù)值[13]。
 
4)量化方法:每個(gè)評(píng)價(jià)指標(biāo)項(xiàng)量化評(píng)分方法選取“符合/不符合判斷法”、“比率值法”、“選項(xiàng)賦值法”之一。
 
4 量化統(tǒng)計(jì)方法
 
4.1 評(píng)價(jià)指標(biāo)量化方法
 
對(duì)于電力信息安全水平評(píng)價(jià)指標(biāo)體系中包含的70個(gè)評(píng)價(jià)指標(biāo),根據(jù)其指標(biāo)屬性的不同,分別確定了“符合/不符合判斷法”、“比率值法”、“選項(xiàng)賦值法”三種評(píng)價(jià)指標(biāo)量化方法。其中定性指標(biāo)應(yīng)用“符合/不符合判斷法”,定量指標(biāo)可依據(jù)指標(biāo)特性選取“比率值法”或“選項(xiàng)賦值法”。
 
1、符合/不符合判定法
 
根據(jù)組織信息安全工作實(shí)際情況是否符合指標(biāo)評(píng)價(jià)要素中描述的基本要求,為評(píng)價(jià)指標(biāo)賦予量化值,表2列出了 的賦值方法。
 
表2 應(yīng)用符合/不符合判定法的 的賦值方法
 
4.2 信息安全水平指數(shù)計(jì)算方法
 
 
5 結(jié)束語
 
本文以電力組織信息安全工作水平為研究對(duì)象,從組織體系、規(guī)章制度、資金保障、人員安全管理、服務(wù)外包管控、關(guān)鍵信息資產(chǎn)管控、信息系統(tǒng)建設(shè)安全管理、安全分區(qū)防御、網(wǎng)絡(luò)安全防護(hù)、主機(jī)和設(shè)備安全防護(hù)、應(yīng)用系統(tǒng)和數(shù)據(jù)安全防護(hù)、物理安全防護(hù)、信息系統(tǒng)運(yùn)行安全管理、災(zāi)難恢復(fù)、應(yīng)急管理等15個(gè)方面出發(fā)建立了一套指標(biāo)體系。同時(shí)從國家和行業(yè)的要求、規(guī)范為出發(fā)點(diǎn)確定了70個(gè)具體評(píng)價(jià)指標(biāo),并提出了具體評(píng)價(jià)指標(biāo)的量化方法和組織信息安全水平指數(shù)的計(jì)算方法。本文提出的電力信息安全水平評(píng)價(jià)指標(biāo)體系在電力行業(yè)十八大信息安全檢查工作中得以應(yīng)用,從應(yīng)用結(jié)果來看客觀、精細(xì)、量化的反映了電力組織當(dāng)前信息安全工作水平。電力信息安全水平評(píng)價(jià)指標(biāo)的構(gòu)建和量化統(tǒng)計(jì)方法的確定,為當(dāng)前電力行業(yè)信息安全監(jiān)管和電力組織對(duì)信息安全工作開展情況的自評(píng)價(jià)提供了必要的技術(shù)支持。為保證評(píng)價(jià)指標(biāo)的科學(xué)性和適用性,電力系統(tǒng)信息安全研究人員還需要根據(jù)信息安全工作內(nèi)容和信息安全防護(hù)技術(shù)的發(fā)展,不斷的調(diào)整和優(yōu)化評(píng)價(jià)指標(biāo),保障電力系統(tǒng)信息安全。
 
參考文獻(xiàn)
 
1.張靜,陳冠直,趙玉潔等. 石油石化信息安全態(tài)勢(shì)評(píng)估指標(biāo)體系研究. 信息網(wǎng)絡(luò)安全. 2012,3.19-24.
 
2.楊海鷹, 余建坤, 謝健等. 信息系統(tǒng)安全評(píng)價(jià)指標(biāo)體系的評(píng)價(jià)因素集研究. 全國商情:經(jīng)濟(jì)理論研究. 2011,12. 32-35.
 
3.工業(yè)和信息化部信息化推進(jìn)司,國家統(tǒng)計(jì)局統(tǒng)計(jì)科學(xué)研究所.中國信息化發(fā)展指數(shù)統(tǒng)計(jì)監(jiān)測(cè)年度報(bào)告2011[M].北京:中國發(fā)展出版社,2011.
 
4.中華人民共和國國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局. GB/T 20271-2006 信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求[S].2006.
 
5.中華人民共和國國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局. GB/T 22239-2008 信息安全技術(shù) 信息安全等級(jí)保護(hù)基本要求[S].2008
 
6.中華人民共和國國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局. GB/T 22081-2008 信息技術(shù) 安全技術(shù) 信息安全實(shí)用規(guī)則[S].2008.
 
7.中華人民共和國國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局. GB/T 20274.1-2008 信息安全技術(shù) 信息系統(tǒng)安全保障評(píng)估框架 第1部分:簡(jiǎn)介和一般模型[S].2008.
 
8.中華人民共和國國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局. GB/T 20274.3-2008 信息安全技術(shù) 信息系統(tǒng)安全保障評(píng)估框架 第3部分:管理保障[S].2008.
 
9.中華人民共和國國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局. GB/T 24363-2009 信息安全技術(shù) 信息安全應(yīng)急響應(yīng)計(jì)劃規(guī)范[S].2009.
 
10.中華人民共和國國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局. GB/T 20988-2007 信息安全技術(shù) 信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范[S].2007.
 
11.中華人民共和國國務(wù)院. 第432號(hào)令 電力監(jiān)管條例[S].2005.
 
12.國家電力監(jiān)管委員會(huì). 5號(hào)令 電力二次系統(tǒng)安全防護(hù)規(guī)定[S].2006.
 
13.程崯, 王宇, 余軒等. 電力變壓器運(yùn)行狀態(tài)綜合評(píng)判指標(biāo)的權(quán)重確定. 中國電力, 2011, 44(4),26-30.
 
大云網(wǎng)官方微信售電那點(diǎn)事兒

責(zé)任編輯:葉雨田

免責(zé)聲明:本文僅代表作者個(gè)人觀點(diǎn),與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí),對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾,請(qǐng)讀者僅作參考,并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。
我要收藏
個(gè)贊
?
主站蜘蛛池模板: 一区二区三区视频免费观看 | 超级乱淫视频aⅴ播放视频 超级碰碰碰在线观看 | 亚洲国产成人久久精品影视 | a免费视频 | 久久国产精品二国产精品 | www.av日韩| 日韩在线亚洲 | 新版天堂资源中文8在线 | 日本护士一级毛片在线播放 | 牛人盗摄一区二区三区视频 | 久久精品视频免费看 | 中文字幕在线观看一区二区 | 九九草在线观看 | 亚洲男人天堂网站 | 青青爽国产手机在线观看免费 | 久久久久久久久久免观看 | 欧美成人性毛片免费版 | 日韩色在线 | 免费观看欧美一级高清 | 97在线免费视频观看 | 一级毛片免费观看不卡视频 | 亚洲国产成人久久一区www | 久久99国产精品免费观看 | 在线免费看一级片 | 日本不卡一二三区 | 天堂素人搭讪系列嫩模在线观看 | 三级网站国产 | 久草在线中文最新视频 | av免费网站在线观看 | 欧美真人毛片动作视频 | 91欧美一区二区三区综合在线 | 欧美日韩一级大片 | 拍拍拍又黄又爽无挡视频免费 | 成人在线观看午夜 | 久久99精品热在线观看15 | 欧美手机在线视频 | 波多野结衣视频在线 | 欧美一级片手机在线观看 | 毛片中文字幕 | 九草在线观看 | 99国产在线 |