電力信息化:信息安全水平評價指標體系
1 引言
近年來,電力系統(tǒng)內(nèi)部各組織共同建立起具有行業(yè)特點的信息安全技術(shù)防護體系和管理組織體系,信息安全保障能力建設(shè)有力支撐了電力系統(tǒng)信息化、自動化的發(fā)展。然而,隨著信息安全工作的深入開展和電力系統(tǒng)內(nèi)外部環(huán)境的不斷變化,不同組織間信息安全工作水平存在差異的問題也逐漸顯現(xiàn)出來。信息安全水平評價工作依據(jù)統(tǒng)一標準客觀評價行業(yè)內(nèi)各組織的信息安全工作水平,可通過比學趕幫,不斷提高電力行業(yè)信息安全管理水平,促進行業(yè)整體網(wǎng)絡(luò)與信息安全防護能力持續(xù)提升。
信息安全水平評價工作的開展,需要科學、全面、可操作、可量化的指標體系作為基礎(chǔ)和保障,但當前行業(yè)內(nèi)外學者提出的信息安全指標[1-2]并不能滿足電力信息安全水平評價工作的需要。本文結(jié)合電力系統(tǒng)信息安全工作實際,系統(tǒng)的構(gòu)建出電力信息安全水平評價指標體系,提出具體評價指標,闡明單個評價指標的量化方法和信息安全水平指數(shù)的計算方法。
2 評價指標體系框架
2.1 評價指標體系構(gòu)建原則
為了能夠客觀、準確、全面的反映不同電力組織的信息安全工作水平,在確定指標體系時遵循了以下基本原則[3]:
1)科學性原則
從信息化及信息安全的基本理論和定義出發(fā),選取能準確反應組織信息安全工作實際情況的指標,既要具有全面性、概括性、也應具有綜合性和精確性。
2)可操作性原則
在考慮具有科學性的基礎(chǔ)上,還要使選取的指標有據(jù)可依,指標應來源于國家、電力行業(yè)近年來在信息安全方面提出的規(guī)范、要求,同時指標也應支持方便的獲取準確數(shù)據(jù),以支撐評價結(jié)果的被客觀量化。
3)可比性原則
水平評價的結(jié)果需要支持在橫向上(電力行業(yè)不同組織間)和縱向上(同一組織的不同時期間)的比較與分析。
4)向?qū)栽瓌t
指標體系的設(shè)置應對行業(yè)信息安全工作起到正面的引導和向?qū)ё饔谩R龑袠I(yè)各組織重視信息安全工作,夯實信息安全工作基礎(chǔ),提升安全防護效果。
2.2 評價指標體系模型圍繞組織體系、規(guī)章制度、資金保障、人員安全管理、服務(wù)外包管控、關(guān)鍵信息資產(chǎn)管控、信息系統(tǒng)建設(shè)安全管理、安全分區(qū)防御、網(wǎng)絡(luò)安全防護、主機和設(shè)備安全防護、應用系統(tǒng)和數(shù)據(jù)安全防護、物理安全防護、信息系統(tǒng)運行安全管理、災難恢復、應急管理,共15個方面構(gòu)建電力信息安全水平評價指標體系,如圖1所示。
圖1 電力信息安全水平評價指標體系模型
從圖1可見,電力信息安全水平評價指標體系模型包括三個部分:
1)信息安全管理基礎(chǔ)。組織體系、規(guī)章制度、資金保障、人員安全管理、服務(wù)外包管控、關(guān)鍵信息資產(chǎn)管控是組織信息安全工作的基礎(chǔ)內(nèi)容,同時也為信息安全防護技術(shù)措施落實和建設(shè)運行安全管理提供基礎(chǔ)性支持。
2)信息安全管理核心。信息系統(tǒng)建設(shè)安全管理、信息系統(tǒng)運行安全管理、應急管理是信息組織信息安全管理的核心內(nèi)容。信息系統(tǒng)典型的生命周期包含規(guī)劃設(shè)計、開發(fā)采購、實施交付、運行維護、廢棄五個階段,信息安全管理工作應貫穿信息系統(tǒng)的完整生命周期。
3)信息安全技術(shù)保障。安全分區(qū)防御、網(wǎng)絡(luò)安全防護、主機和設(shè)備安全防護、應用系統(tǒng)和數(shù)據(jù)安全防護、物理安全防護、災難恢復是指標體系中提出的技術(shù)評價內(nèi)容,與信息安全管理相一致,組織應在信息系統(tǒng)整個生命周期落實信息安全技術(shù)保障要求,提升組織網(wǎng)絡(luò)和信息系統(tǒng)自身的安全保護能力。
在上述電力信息安全水平評價指標體系模型的建立基礎(chǔ)上,可以分別對評價指標類細化具體評價指標,以達到對組織信息安全工作水平實施定量化、精細化、常態(tài)化評價的實踐目的。
3 評價指標3.1 評價指標內(nèi)容
根據(jù)圖1描述的評價指標體系模型,依據(jù)《電力監(jiān)管條例》(中華人民共和國國務(wù)院令第432號)、《電力行業(yè)網(wǎng)絡(luò)與信息安全監(jiān)督管理暫行規(guī)定》(電監(jiān)信息[2007]50號)和國家有關(guān)標準規(guī)范[4-12],在15個信息安全評價類框架下,提出70個電力信息安全水平評價指標,共同構(gòu)成信息安全水平評價指標體系。具體評價指標如表1所示。
表1 電力信息安全水平評價指標
| 指標類 | 指標項 | ||
| 標識 | 類名 | 項數(shù) | 項名 |
| ORG | 組織體系 | 5 | 信息安全組織建立,第一責任人確立,責任落實,專職機構(gòu)及崗位設(shè)置,安全人員配置 |
| REG | 規(guī)章制度 | 5 | 整體策略及總體方案制定,規(guī)章制度及體系完整性,操作規(guī)程制定,制度發(fā)布,管理體系認證 |
| FUN | 資金保障 | 3 | 經(jīng)費預算,安全建設(shè)經(jīng)費投入,安全運維經(jīng)費投入 |
| PER | 人員安全管理 | 5 | 全員安全培訓,全員保密協(xié)議簽訂,專業(yè)技能培訓,人員審查,崗位調(diào)整管控 |
| OSE | 服務(wù)外包管控 | 4 | 外包服務(wù)協(xié)議,第三方人員訪問管理,遠程服務(wù)管控,現(xiàn)場開發(fā)管控 |
| ASS | 關(guān)鍵信息資產(chǎn)管控 | 3 | 資產(chǎn)清單,資產(chǎn)管理職責,信息系統(tǒng)基礎(chǔ)資料歸檔 |
| CON | 信息系統(tǒng)建設(shè)安全管理 | 8 | 上線安全測評,等級保護建設(shè),等級保護測評開展情況,等級保護測評通過率,風險評估,產(chǎn)品采購和使用,核心產(chǎn)品采購測試,安全產(chǎn)品國產(chǎn)化情況 |
| SDD | 安全分區(qū)防御 | 5 | 大區(qū)間隔離,生產(chǎn)控制大區(qū)內(nèi)部邏輯隔離,縱向認證,跨區(qū)連接管控,內(nèi)外網(wǎng)隔離 |
| NET | 網(wǎng)絡(luò)安全防護 | 6 | 生產(chǎn)控制大區(qū)防護,管理信息大區(qū)防護,互聯(lián)網(wǎng)出口統(tǒng)一管理,互聯(lián)網(wǎng)出口安全管控,無線網(wǎng)絡(luò)安全應用,移動終端安全接入 |
| HEQ | 主機和設(shè)備安全防護 | 5 | 補丁更新,惡意代碼防護,系統(tǒng)加固,辦公終端管控,主機和設(shè)備賬號口令管理 |
| ADA | 應用系統(tǒng)和數(shù)據(jù)安全防護 | 5 | 應用系統(tǒng)安全功能及配置,面向互聯(lián)網(wǎng)服務(wù)系統(tǒng)安全監(jiān)控和攻擊防御,面向互聯(lián)網(wǎng)服務(wù)系統(tǒng)周期性測試,應用系統(tǒng)帳號口令管理,重要數(shù)據(jù)安全保護 |
| PEN | 物理安全防護 | 1 | 機房安全建設(shè) |
| OPE | 信息系統(tǒng)運行安全管理 | 5 | 日常維護,安全審計,補丁管理,移動介質(zhì)管理,安全監(jiān)測 |
| REC | 災難恢復 | 4 | 硬件冗余,系統(tǒng)和數(shù)據(jù)備份,異地災備,恢復測試 |
| EME | 應急管理 | 6 | 信息通報,應急預案制定,專項應急處置預案制定,應急演練,應急資源配備,事故調(diào)查 |
責任編輯:黎陽錦
