信息安全水平评价工作的开展,需要科学、全面、可操作、可量化的指标体系作为基础和保障。本文以电力组织信息安全工作水平为评价对象,结合电力系统信息安全工作实际,系统的构建出电力信息安全水平评价指标体系,并从国家和行业规范要求为出发点确定70个评价指标。同时,文章阐明单个评价指标的量化方法和信息安全水平指数的计算方法。
1 引言
近年来,电力系统内部各组织共同建立起具有行业特点的信息安全技术防护体系和管理组织体系,信息安全保障能力建设有力支撑了电力系统信息化、自动化的发展。然而,随着信息安全工作的深入开展和电力系统内外部环境的不断变化,不同组织间信息安全工作水平存在差异的问题也逐渐显现出来。信息安全水平评价工作依据统一标准客观评价行业内各组织的信息安全工作水平,可通过比学赶帮,不断提高电力行业信息安全管理水平,促进行业整体网络与信息安全防护能力持续提升。
信息安全水平评价工作的开展,需要科学、全面、可操作、可量化的指标体系作为基础和保障,但当前行业内外学者提出的信息安全指标[1-2]并不能满足电力信息安全水平评价工作的需要。本文结合电力系统信息安全工作实际,系统的构建出电力信息安全水平评价指标体系,提出具体评价指标,阐明单个评价指标的量化方法和信息安全水平指数的计算方法。
2 评价指标体系框架
2.1 评价指标体系构建原则
为了能够客观、准确、全面的反映不同电力组织的信息安全工作水平,在确定指标体系时遵循了以下基本原则[3]:
1)科学性原则
从信息化及信息安全的基本理论和定义出发,选取能准确反应组织信息安全工作实际情况的指标,既要具有全面性、概括性、也应具有综合性和精确性。
2)可操作性原则
在考虑具有科学性的基础上,还要使选取的指标有据可依,指标应来源于国家、电力行业近年来在信息安全方面提出的规范、要求,同时指标也应支持方便的获取准确数据,以支撑评价结果的被客观量化。
3)可比性原则
水平评价的结果需要支持在横向上(电力行业不同组织间)和纵向上(同一组织的不同时期间)的比较与分析。
4)向导性原则
指标体系的设置应对行业信息安全工作起到正面的引导和向导作用。引导行业各组织重视信息安全工作,夯实信息安全工作基础,提升安全防护效果。
