电力信息化:信息安全水平评价指标体系
电力信息化:信息安全水平评价指标体系
电力信息化:信息安全水平评价指标体系【摘要】信息安全水平评价工作的开展,需要科学、全面、可操作、可量化的指标体系作为基础和保障。
本文以电力组织信息安全工作水平为评价对象,结合电力系统信息安全工作实际,系统的构建出电力信息安全水平评价指标体系,并从国家和行业规范要求为出发点确定70个评价指标。
同时,文章阐明单个评价指标的量化方法和信息安全水平指数的计算方法。
1 引言近年来,电力系统内部各组织共同建立起具有行业特点的信息安全技术防护体系和管理组织体系,信息安全保障能力建设有力支撑了电力系统信息化、自动化的发展。
然而,随着信息安全工作的深入开展和电力系统内外部环境的不断变化,不同组织间信息安全工作水平存在差异的问题也逐渐显现出来。
信息安全水平评价工作依据统一标准客观评价行业内各组织的信息安全工作水平,可通过比学赶帮,不断提高电力行业信息安全管理水平,促进行业整体网络与信息安全防护能力持续提升。
信息安全水平评价工作的开展,需要科学、全面、可操作、可量化的指标体系作为基础和保障,但当前行业内外学者提出的信息安全指标[1-2]并不能满足电力信息安全水平评价工作的需要。
本文结合电力系统信息安全工作实际,系统的构建出电力信息安全水平评价指标体系,提出具体评价指标,阐明单个评价指标的量化方法和信息安全水平指数的计算方法。
2 评价指标体系框架2.1 评价指标体系构建原则为了能够客观、准确、全面的反映不同电力组织的信息安全工作水平,在确定指标体系时遵循了以下基本原则[3]:1)科学性原则从信息化及信息安全的基本理论和定义出发,选取能准确反应组织信息安全工作实际情况的指标,既要具有全面性、概括性、也应具有综合性和精确性。
2)可操作性原则在考虑具有科学性的基础上,还要使选取的指标有据可依,指标应来源于国家、电力行业近年来在信息安全方面提出的规范、要求,同时指标也应支持方便的获取准确数据,以支撑评价结果的被客观量化。
3)可比性原则水平评价的结果需要支持在横向上(电力行业不同组织间)和纵向上(同一组织的不同时期间)的比较与分析。
供电企业信息化水平评价
供电企业信息化水平评价作者:陈涛来源:《企业技术开发·中旬刊》2015年第01期摘 ;要:当今社会已经进入信息时代,我国正在走一条新型的具有中国特色的工业化道路,将信息化与工业化结合,使得信息化与工业化相互促进、共同发展。
我国是一个电力资源消耗大国,电力企业在工业体系中占据着举足轻重的地位,如何运用包括信息技术在内的各种手段对传统的电力企业进行信息化改造是我国电力企业要实现现代化必须考虑的问题。
对电力企业信息化水平的科学评价是电力企业认识自身发展现状的重要前提,只有掌握企业在信息化发展过程中所处的阶段与水平,才能制定正确的信息化战略与策略,所以对电力企业信息化的评价研究就成为信息化研究领域的重要方面。
文章选取的是襄阳供电公司,对其信息化状况和存在的问题进行了综合评价,以帮助企业找出不足。
关键词:电力信息化;信息化水平;综合评价中图分类号:TM76 ; ; 文献标识码:A ; ; ;文章编号:1006-8937(2015)02-0075-02供电行业是是国民经济的战略性基础产业,是经济社会的命脉。
目前,信息化已深刻改变了社会生产和生活的各个方面,同样也引发了供电行业方方面面的深刻变革。
国网公司和南网公司都在通过开展信息化规划来指导信息化建设,改变传统的生产和建设方式,从而提高供电行业的经济和社会效益。
由于企业性质的不同,对于信息化建设的理解不同,导致投资和规划不尽相同,伴随着集团分离、厂网分开,电力企业改革发展到现在,矛盾和问题非常突出。
因此,站在企业战略发展的角度,研究制定信息化规划,明确企业信息化体系结构及建设思路,对企业有效配置资源具有十分重要的作用。
1 ;襄阳供电公司信息化业务发的展要求襄阳供电公司(以下简称襄阳公司)坐落于素有“诸葛亮”历史文化名城的湖北省省域城市,是湖北省电力公司所属全国大型一类供电企业,担负着全市4区6县(市)的供电任务,电网覆盖面积1.97万 km2,供电人口591万,直供客户154万户。
信息安全的评估标准
信息安全的评估标准信息安全是当今社会中极为重要的一个议题,随着信息技术的飞速发展,信息安全问题也日益凸显。
在这样的背景下,对于信息安全的评估标准也变得尤为重要。
信息安全的评估标准主要是用来评估和检测信息系统、网络和数据等方面的安全性,以便及时发现和解决潜在的安全隐患,保障信息系统的正常运行和数据的安全性。
首先,信息安全的评估标准需要考虑到信息系统的完整性。
信息系统的完整性是指信息系统中的数据和信息没有遭到未经授权的篡改或破坏。
在评估信息安全时,需要对信息系统中的数据进行完整性检测,以确保数据没有被篡改或破坏。
这可以通过加密技术、访问控制和审计等手段来实现。
其次,评估标准还需要考虑到信息系统的可用性。
信息系统的可用性是指信息系统能够在需要时可靠地提供服务。
评估信息安全时,需要检测信息系统的可用性,以确保信息系统能够正常运行并提供服务。
这可以通过备份和恢复机制、容灾和故障转移等手段来实现。
另外,评估标准还需要考虑到信息系统的保密性。
信息系统的保密性是指信息系统中的数据和信息只能被授权的用户访问和使用。
在评估信息安全时,需要检测信息系统中的数据和信息的保密性,以确保数据和信息不会被未经授权的用户访问和使用。
这可以通过访问控制、加密技术和安全审计等手段来实现。
最后,评估标准还需要考虑到信息系统的可控性。
信息系统的可控性是指信息系统能够对用户的行为进行有效的控制和管理。
在评估信息安全时,需要检测信息系统的可控性,以确保信息系统能够对用户的行为进行有效的控制和管理。
这可以通过访问控制、权限管理和安全审计等手段来实现。
综上所述,信息安全的评估标准是一个综合性的评估体系,需要考虑到信息系统的完整性、可用性、保密性和可控性等方面。
只有通过科学合理的评估标准,才能够有效地保障信息系统的安全性,防范潜在的安全风险,确保信息系统的正常运行和数据的安全性。
因此,对于信息安全的评估标准,我们需要不断完善和提高,以适应信息技术不断发展和变化的需求。
分析电力企业安全管理能力评估指标体系
通过评估,及时发现和解决存 在的安全问题,预防事故的发
生。
有利于增强企业的竞争力,为 可持续发展提供保障。
评估范围和对象
评估范围
包括电力企业生产、经营、管理等方面的安全管理工作。
评估对象
电力企业各级管理人员、员工等,涉及生产、经营、管理等 各个环节。
CHAPTER 02
电力企业安全管理能力评估 指标构建
安全控制能力指标解析
事故防范
指电力企业为预防事故发生而采取的措施,包括危险源辨识、风 险评估、隐患排查等,以及针对不同类型事故制定的应急预案。
事故处理
指电力企业对发生的事故进行应急处理和救援的能力,包括事故 报告、抢修恢复、救援处置等。
事故分析
指电力企业对事故原因进行深入分析的能力,包括事故调查、原因 分析、责任追究等。
CHAPTER 06
电力企业安全管理能力评估 指标体系总结与展望
研究总结
安全管理能力评估指标体系涵盖了电 力企业的多个方面,包括安全生产、 安全文化、安全培训、安全制度等, 为电力企业安全管理能力的评估提供
了全面的指导。
电力企业安全管理能力评估指标体系 的研究,对于提高电力企业的安全管 理水平、预防和减少事故的发生、提 高企业的经济效益和保障员工的安全
03
根据权重结果,为电力企业提 供安全管理能力评估的建议和 指导,帮助企业识别和改进安 全管理方面的薄弱环节。
CHAPTER 05
电力企业安全管理能力评估 指标体系应用建议
加强安全管理制度建设
1 2 3
建立严格的安全管理制度
电力企业应建立一套完整的安全管理制度,明 确各项安全管理要求和责任,确保每个员工都 了解并遵守。
电力信息化都有什么指标体系
电力信息化都有什么指标体系
目前要给一个电力局做电力企业信息化的指标管理。
询问一下电力企业信息化指标管理体系都包括哪些?
——金华市刘峰
Q博士:
电力信息化主要的指标体系层如下。
一是适应企业发展的战略层。
这里一般需要一些定性的指标来衡量信息化战略体系。
二是信息化投资本身的效率与效益层。
企业持续性的信息化设备与项目投资,可以通过定性指标与定量指标结合的方法来制订评价指标体系。
三是信息化应用效益层。
就电力企业所有相关业务部门而言,需要建立起适用于各相关部门与业务团队的应用指标体系,包括相应的业务效率评价指标、服务水平指标、企业效益指标、运营能力指标等等。
通过自身的纵向对比,可以衡量信息化应用对电力企业到底带来了哪些好处;通过与其他企业的横向对比,有助于企业通过标杆管理等方法不断提高信息化应用水平。
四是信息化服务本身效率与安全等的衡量指标体系。
计算机、网络与通信设备水平的指标可以衡量基础设施适应发展的能力,IT服务水平的指标体系可以有效提高IT服务水平,安全体系评价指标可以为企业信息化应用安全保驾护航。
电力信息安全水平评价指标
电力信息安全水平评价指标1 范围本标准规定了电力信息安全水平评价指标,描述了评价指标量化方法。
本标准适用于电力监管机构对电网、发电、电力科研及电力设计施工等电力组织机构开展信息安全水平评价,也适用于上述电力组织机构开展信息安全水平自评价。
信息安全服务提供商为电力组织机构提供服务时也可参考使用。
2 电力信息安全水平评价指标框架及量化方法2.1 评价指标框架电力信息安全水平评价指标分为组织体系、规章制度、资金保障、人员安全管理、服务外包管控、关键信息资产管控、信息系统建设安全管理、安全分区防御、网络安全防护、主机和设备安全防护、应用系统和数据安全防护、物理环境安全防护、信息系统运行安全管理、灾难恢复和应急管理等15类,共70项。
表1描述了电力信息安全水平评价指标框架。
1232.2 评价指标项描述评价指标项包含评价要素、指标权重、指标属性和量化方法四个部分,四个部分含义分别为:a) 评价要素:说明每个评价指标项的具体评价内容和要求,在定性评价指标项中描述组织机构信息安全工作应达到的水平,在定量评价指标项中描述应从组织机构信息安全工作中提取的具体量值。
b) 指标权重:每个评价指标项被赋予一个参考数值,以反映其相对于其他评价指标项的重要程度。
在水平评价实施过程中,如果部分评价指标项不适用于被评价组织机构,此部分评价指标项的权重按0计。
c) 指标属性:每个评价指标项的属性为“定性指标”和“定量指标”之一。
d) 量化方法:每个评价指标项的量化方法为“判断法”、“比率值法”和“选项赋值法”之一。
2.3 量化方法2.3.1 评价指标项量化方法 2.3.1.1 判断法根据组织机构信息安全工作实际情况是否符合评价要素描述,为评价指标项赋予量化值,表2列出了评价指标项量化值ij P 的赋值方法。
表2 应用判断法的P 2.3.1.2 比率值法根据组织机构信息安全工作实际情况,依据评价要素计算得出比率或比值,并将比率或比值作为评价指标项量化值。
信息安全风险综合评价指标体系构建和评价方法
信息安全风险综合评价指标体系构建和评价方法随着网络技术和信息化建设的快速发展,信息安全风险面临着越来越严峻的挑战。
针对当前信息安全面临的问题,构建信息安全风险综合评价指标体系非常重要。
本文着重探讨了信息安全风险综合评价指标体系的构建及评价方法。
一、引言信息安全是信息化时代面临的最大挑战之一。
信息安全风险评估是保障信息安全的基础,也是保障整个信息系统的基础。
目前,信息安全评价指标体系的构建及评估方法存在不足,需要进一步完善。
因此,针对信息安全风险评估的需要,构建一个全面的信息安全风险综合评价指标体系变得至关重要。
二、信息安全风险综合评价指标体系的构建1、信息安全维度信息安全维度是指信息安全风险评估的基本构成。
主要包括以下三个方面:(1)机密性维度:机密性是指信息只能被授权访问者使用,以保护信息免受未经授权的访问、使用或披露。
(2)完整性维度:完整性是指对信息和信息处理系统的修改、删除未经授权的防范。
(3)可用性维度:可用性是指保证信息和 IT 资源能够在需要时按照需求进行访问。
2、信息安全评估指标的体系(1)评估目标:评估和量化评估对象的各个方面。
(2)评估维度:主要包括安全策略、数据安全、系统安全、应用安全和运营安全等。
(3)评估对象:主要包括系统、网络设备、应用、数据、人员等,进行分级管理。
(4)评估内容:包括评估输入、评估流程、评估输出、评估标准等。
3、信息安全综合评价指标信息安全综合评价指标体系可以综合考虑信息的机密性、完整性、可用性、安全策略等多个方面,在整个信息安全评估过程中起到重要作用。
信息安全综合评价指标包括以下几个方面:(1)安全策略指标:包括安全管理体系、安全、安全意识等。
(2)数据安全指标:包括数据完整性、数据保密性、数据可用性。
(3)系统安全指标:包括系统可靠性、系统完整性、系统可用性、系统性能等。
(4)应用安全指标:包括应用程序安全、应用数据安全、应用功能安全等。
(5)运营安全指标:包括操作管理安全、设备管理安全、网络安全等。
DL/T 2014—2019 电力信息化项目后评价
自
主 可 控 率
资
源 利 用 率
技
术 先 进 性
管
理 先 进 性
项 目 运
维 管 理 规 范 性
信 息 系 统 运 行
水 平
信 息 系 统 安
全
系
统 应 用 率
关 键 业 务 数 据 增
长 率
信 息 系 统 支 持
度
用 户 满 意 度
投
入 产 出 比
图 1 电力信息化项目后评价体系模型示意图
评价体系计算方法见式(1)。 i − CORE = CQ × K1 + OL × K2 + AE × K3 + EB × K4 ………………………………(1)
GB/Z 20986—2007 信息安全技术 信息安全事件分类分级指南 GB/T 22239—2008 信息安全技术 信息系统安全等级保护基本要求
3 术语和定义
下列术语和定义适用于本文件。 1 3.1
信息化项目 informatization project 以计算机、通信技术及其他现代信息技术为主要手段的信息传递、信息安全、信息存储、信息应 用系统等新建、扩建或者改建的项目。 2 3.2 后评价 post project evaluation 在项目竣工验收完成并运行一段时间后,对项目的目的、执行过程、安全、效益、作用和影响进 行系统的、客观的分析和总结的一种技术经济活动。 3 3.3 建设质量 construction quality 从信息技术产品本身的角度出发,评估信息化项目在建设阶段的管理和技术水平。 4 3.4 运维水平 operation and maintenance level 从信息系统投入运行后在一定周期内呈现出的状态角度出发,评估信息系统在运行和维护阶段的 管理和运行情况。 5 3.5 应用成效 application effectiveness 从信息系统用户的角度出发,评估信息系统在应用过程中对实际业务的支撑效果。 6 3.6 经济效益 economic benefit 从信息系统产生的直接、间接经济效益和投入的资金出发,评估信息系统的投入产出比。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
【摘要】信息安全水平评价工作的开展,需要科学、全面、可操作、可量化的指标体系作为基础和保障。
本文以电力组织信息安全工作水平为评价对象,结合电力系统信息安全工作实际,系统的构建出电力信息安全水平评价指标体系,并从国家和行业规范要求为出发点确定70个评价指标。
同时,文章阐明单个评价指标的量化方法和信息安全水平指数的计算方法。
1 引言
近年来,电力系统内部各组织共同建立起具有行业特点的信息安全技术防护体系和管理组织体系,信息安全保障能力建设有力支撑了电力系统信息化、自动化的发展。
然而,随着信息安全工作的深入开展和电力系统内外部环境的不断变化,不同组织间信息安全工作水平存在差异的问题也逐渐显现出来。
信息安全水平评价工作依据统一标准客观评价行业内各组织的信息安全工作水平,可通过比学赶帮,不断提高电力行业信息安全管理水平,促进行业整体网络与信息安全防护能力持续提升。
信息安全水平评价工作的开展,需要科学、全面、可操作、可量化的指标体系作为基础和保障,但当前行业内外学者提出的信息安全指标[1-2]并不能满足电力信息安全水平评价工作的需要。
本文结合电力系统信息安全工作实际,系统的构建出电力信息安全水平评价指标体系,提出具体评价指标,阐明单个评价指标的量化方法和信息安全水平指数的计算方法。
2 评价指标体系框架
2.1 评价指标体系构建原则
为了能够客观、准确、全面的反映不同电力组织的信息安全工作水平,在确定指标体系时遵循了以下基本原则[3]:
1)科学性原则
从信息化及信息安全的基本理论和定义出发,选取能准确反应组织信息安全工作实际情况的指标,既要具有全面性、概括性、也应具有综合性和精确性。
2)可操作性原则
在考虑具有科学性的基础上,还要使选取的指标有据可依,指标应来源于国家、电力行业近年来在信息安全方面提出的规范、要求,同时指标也应支持方便的获取准确数据,以支撑评价结果的被客观量化。
3)可比性原则
水平评价的结果需要支持在横向上(电力行业不同组织间)和纵向上(同一组织的不同时期间)的比较与分析。
4)向导性原则
指标体系的设置应对行业信息安全工作起到正面的引导和向导作用。
引导行业各组织重视信息安全工作,夯实信息安全工作基础,提升安全防护效果。
2.2 评价指标体系模型
围绕组织体系、规章制度、资金保障、人员安全管理、服务外包管控、关键信息资产管控、信息系统建设安全管理、安全分区防御、网络安全防护、主机和设备安全防护、应用系统和数据安全防护、物理安全防护、信息系统运行安全管理、灾难恢复、应急管理,共15个方面构建电力信息安全水平评价指标体系,如图1所示。
图1 电力信息安全水平评价指标体系模型
从图1可见,电力信息安全水平评价指标体系模型包括三个部分:
1)信息安全管理基础。
组织体系、规章制度、资金保障、人员安全管理、服务外包管控、关键信息资产管控是组织信息安全工作的基础内容,同时也为信息安全防护技术措施落实和建设运行安全管理提供基础性支持。
2)信息安全管理核心。
信息系统建设安全管理、信息系统运行安全管理、应急管理是信息组织信息安全管理的核心内容。
信息系统典型的生命周期包含规划设计、开发采购、实施交付、运行维护、废弃五个阶段,信息安全管理工作应贯穿信息系统的完整生命周期。
3)信息安全技术保障。
安全分区防御、网络安全防护、主机和设备安全防护、应用系统和数据安全防护、物理安全防护、灾难恢复是指标体系中提出的技术评价内容,与信息安全管理相一致,组织应在信息系统整个生命周期落实信息安全技术保障要求,提升组织网络和信息系统自身的安全保护能力。
在上述电力信息安全水平评价指标体系模型的建立基础上,可以分别对评价指标类细化具体评价指标,以达到对组织信息安全工作水平实施定量化、精细化、常态化评价的实践目的。
3 评价指标
3.1 评价指标内容
根据图1描述的评价指标体系模型,依据《电力监管条例》(中华人民共和国国务院令第432号)、《电力行业网络与信息安全监督管理暂行规定》(电监信息[2007]50号)和国家有关标准规范[4-12],在15个信息安全评价类框架下,提出70个电力信息安全水平评价指标,共同构成信息安全水平评价指标体系。
具体评价指标如表1所示。
表1 电力信息安全水平评价指标
3.2 评价指标构成
评价指标是实现信息安全水平评价的具体项目,为支撑信息安全水平评价的可操作性、评价结果的可比性,每个评价指标需要被赋四个内涵,分别是:一个评价要求、一个指标权重、一个指标属性、一个量化方法。
图2描述了评价指标的结构。
图2 评价指标描述结构
评价指标需要包含的四个要素详述如下:
1)评价要素:说明每个评价指标的具体评价要求,在定性指标中描述组织信息安全工作应达到的工作水平,在定量指标中描述应从组织信息安全工作中提取的具体量值。
2)指标属性:每项评价指标属性是定性指标和定量指标之一。
3)指标权重:应用专家咨询法与层次化分析方法结合确定的,表示评价指标在评价指标体系中所起作用的相对数值[13]。
4)量化方法:每个评价指标项量化评分方法选取“符合/不符合判断法”、“比率值法”、“选项赋值法”之一。
4 量化统计方法
4.1 评价指标量化方法
对于电力信息安全水平评价指标体系中包含的70个评价指标,根据其指标属性的不同,分别确定了“符合/不符合判断法”、“比率值法”、“选项赋值法”三种评价指标量化方法。
其中定性指标应用“符合/不符合判断法”,定量指标可依据指标特性选取“比率值法”或“选项赋值法”。
1、符合/不符合判定法
根据组织信息安全工作实际情况是否符合指标评价要素中描述的基本要求,为评价指标赋予量化值,表2列出了的赋值方法。
表2 应用符合/不符合判定法的的赋值方法
4.2 信息安全水平指数计算方法
5 结束语
本文以电力组织信息安全工作水平为研究对象,从组织体系、规章制度、资金保障、人员安全管理、服务外包管控、关键信息资产管控、信息系统建设安全管理、安全分区防御、网络安全防护、主机和设备安全防护、应用系统和数据安全防护、物理安全防护、信息系统运行安全管理、灾难恢复、应急管理等15个
方面出发建立了一套指标体系。
同时从国家和行业的要求、规范为出发点确定了70个具体评价指标,并提出了具体评价指标的量化方法和组织信息安全水平指数的计算方法。
本文提出的电力信息安全水平评价指标体系在电力行业十八大信息安全检查工作中得以应用,从应用结果来看客观、精细、量化的反映了电力组织当前信息安全工作水平。
电力信息安全水平评价指标的构建和量化统计方法的确定,为当前电力行业信息安全监管和电力组织对信息安全工作开展情况的自评价提供了必要的技术支持。
为保证评价指标的科学性和适用性,电力系统信息安全研究人员还需要根据信息安全工作内容和信息安全防护技术的发展,不断的调整和优化评价指标,保障电力系统信息安全。
参考文献
1.张静,陈冠直,赵玉洁等. 石油石化信息安全态势评估指标体系研究. 信息网络安全. 2012,3.19-24.
2.杨海鹰, 余建坤, 谢健等. 信息系统安全评价指标体系的评价因素集研究. 全国商情:经济理论研究. 2011,12. 32-35.
3.工业和信息化部信息化推进司,国家统计局统计科学研究所.中国信息化发展指数统计监测年度报告2011[M].北京:中国发展出版社,2011.
4.中华人民共和国国家质量监督检验检疫总局. GB/T 20271-2006 信息安全技术信息系统通用安全技术要求[S].2006.
5.中华人民共和国国家质量监督检验检疫总局. GB/T 22239-2008 信息安全技术信息安全等级保护基本要求[S].2008
6.中华人民共和国国家质量监督检验检疫总局. GB/T 22081-2008 信息技术安全技术信息安全实用规则[S].2008.
7.中华人民共和国国家质量监督检验检疫总局. GB/T 20274.1-2008 信息安全技术信息系统安全保障评估框架第1部分:简介和一般模型[S].2008.
8.中华人民共和国国家质量监督检验检疫总局. GB/T 20274.3-2008 信息安全技术信息系统安全保障评估框架第3部分:管理保障[S].2008.
9.中华人民共和国国家质量监督检验检疫总局. GB/T 24363-2009 信息安全技术信息安全应急响应计划规范[S].2009.
10.中华人民共和国国家质量监督检验检疫总局. GB/T 20988-2007 信息安
全技术信息系统灾难恢复规范[S].2007.
11.中华人民共和国国务院. 第432号令电力监管条例[S].2005.
12.国家电力监管委员会. 5号令电力二次系统安全防护规定[S].2006.
13.程崯, 王宇, 余轩等. 电力变压器运行状态综合评判指标的权重确定. 中国电力, 2011, 44(4),26-30.。