电力信息化：信息安全水平评价指标体系

        1 引言

        近年来，电力系统内部各组织共同建立起具有行业特点的信息安全技术防护体系和管理组织体系，信息安全保障能力建设有力支撑了电力系统信息化、自动化的发展。然而，随着信息安全工作的深入开展和电力系统内外部环境的不断变化，不同组织间信息安全工作水平存在差异的问题也逐渐显现出来。信息安全水平评价工作依据统一标准客观评价行业内各组织的信息安全工作水平，可通过比学赶帮，不断提高电力行业信息安全管理水平，促进行业整体网络与信息安全防护能力持续提升。

        信息安全水平评价工作的开展，需要科学、全面、可操作、可量化的指标体系作为基础和保障，但当前行业内外学者提出的信息安全指标[1-2]并不能满足电力信息安全水平评价工作的需要。本文结合电力系统信息安全工作实际，系统的构建出电力信息安全水平评价指标体系，提出具体评价指标，阐明单个评价指标的量化方法和信息安全水平指数的计算方法。

        2 评价指标体系框架

        2.1 评价指标体系构建原则

        为了能够客观、准确、全面的反映不同电力组织的信息安全工作水平，在确定指标体系时遵循了以下基本原则[3]：

        1)科学性原则

        从信息化及信息安全的基本理论和定义出发，选取能准确反应组织信息安全工作实际情况的指标，既要具有全面性、概括性、也应具有综合性和精确性。

        2)可操作性原则

        在考虑具有科学性的基础上，还要使选取的指标有据可依，指标应来源于国家、电力行业近年来在信息安全方面提出的规范、要求，同时指标也应支持方便的获取准确数据，以支撑评价结果的被客观量化。

        3)可比性原则

        水平评价的结果需要支持在横向上(电力行业不同组织间)和纵向上(同一组织的不同时期间)的比较与分析。

        4)向导性原则

        指标体系的设置应对行业信息安全工作起到正面的引导和向导作用。引导行业各组织重视信息安全工作，夯实信息安全工作基础，提升安全防护效果。

        围绕组织体系、规章制度、资金保障、人员安全管理、服务外包管控、关键信息资产管控、信息系统建设安全管理、安全分区防御、网络安全防护、主机和设备安全防护、应用系统和数据安全防护、物理安全防护、信息系统运行安全管理、灾难恢复、应急管理，共15个方面构建电力信息安全水平评价指标体系，如图1所示。

图1 电力信息安全水平评价指标体系模型

        从图1可见，电力信息安全水平评价指标体系模型包括三个部分：

        1)信息安全管理基础。组织体系、规章制度、资金保障、人员安全管理、服务外包管控、关键信息资产管控是组织信息安全工作的基础内容，同时也为信息安全防护技术措施落实和建设运行安全管理提供基础性支持。

        2)信息安全管理核心。信息系统建设安全管理、信息系统运行安全管理、应急管理是信息组织信息安全管理的核心内容。信息系统典型的生命周期包含规划设计、开发采购、实施交付、运行维护、废弃五个阶段，信息安全管理工作应贯穿信息系统的完整生命周期。

        3)信息安全技术保障。安全分区防御、网络安全防护、主机和设备安全防护、应用系统和数据安全防护、物理安全防护、灾难恢复是指标体系中提出的技术评价内容，与信息安全管理相一致，组织应在信息系统整个生命周期落实信息安全技术保障要求，提升组织网络和信息系统自身的安全保护能力。

        在上述电力信息安全水平评价指标体系模型的建立基础上，可以分别对评价指标类细化具体评价指标，以达到对组织信息安全工作水平实施定量化、精细化、常态化评价的实践目的。