电力信息安全水平评价指标

电力信息安全水平评价指标

国家标准 GB/T32351一2015 电力信息安全水平评价指标 nformationseeuritylevelevaluationindiceatorsforeleetricpowerindustry 2015-12-31发布 2016-07-01实施 国家质量监督检验检疫总局 发布 国家标准化管理委员会国家标准
GB/T32351一2015 目 次 前言 引言 范围 规范性引用文件 术语和定义 电力信息安全水平评价指标框架及量化方法 4.1评价指标框架 评价指标项描述 4.2 4.3量化方法 电力信息安全水平评价指标项 5.1 组织体系(ORG) 5.2规章制度(REG) 5.3资金保障(FUNy 5.4人员安全管理(PER) 5.5服务外包管控(OSE) 5.6关键信息资产管控(Ass 1 5.7信息系统建设安全管理(co 10 5.8安全分区防御(SDDy 1 5.9网络安全防护(NET). 12 5.10主机和设备安全防护(HEQ 13 5.11应用系统和数据安全防护(ADA) 14 5.12物理环境安全防护(PEN) 15 5.13信息系统运行安全管理(OPE) 15 5.14灾难恢复(REC) 16 5.15应急管理(EME) 1 参考文献 19
GB/T32351一2015 前 言 本标准按照GB/T1.1一2009给出的规则起草 本标准由国家能源局提出 本标准由全国电力监管标准化技术委员会(SAC/TC296)归口 本标准起草单位电力科学研究院、国家能源局信息中心、,东北能源监管局、辽宁省电力有限公 司电力科学研究院 本标准主要起草人:孙耀唯、胡红升、高昆仑、温红子、陈雪鸿、赵婷,郑晓'、苑舜、卢伟、张文艳、 徐兴坤,梁潇、王恩库、曹宇飞、李怡康
GB/T32351一2015 引 言 随着信息安全形势的不断变化和电力信息安全工作的深人开展,迫切需要一种定量化、精细化、常 态化的新型管理方法,以促进电力行业信息安全水平的持续提高 本标准依据《电力监管条例>(中华人 民共和国国务院令第432号)、《电力行业网络与信息安全监督管理暂行规定》(电监信息[2007]50号 和国家有关标准规范制定,规定了电力信息安全水平评价指标并描述了评价指标的量化方法,可用于评 价各类电力组织机构信息安全水平
GB/I32351一2015 电力信息安全水平评价指标 范围 本标准规定了电力信息安全水平评价指标,描述了评价指标量化方法 本标准适用于电力监管机构对电网,发电、电力科研及电力设计施工等电力组织机构开展信息安全 水平评价,也适用于上述电力组织机构开展信息安全水平自评价 信息安全服务提供商为电力组织机 构提供服务时也可参考使用 规范性引用文件 下列文件对于本文件的应用是必不可少的 凡是注日期的引用文件,仅注日期的版本适用于本文 件 凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件 GB/T25069-2010信息安全技术术语 术语和定义 GB/T250692010界定的下列术语和定义适用于本文件 3.1 信息安全水平指数informatiosecuritylevelindex ISL 客观反映组织机构信息安全工作整体开展情况的数值,以评价组织机构整体信息安全水平,由全部 评价指标项量化后计算获得 3.2 分类信息安全水平指数classifiedinformationseeuritylevelinde% ISL 客观反映组织机构某类信息安全工作开展情况的数值,以评价组织机构某一方面的信息安全工作 水平,由某评价指标类中的评价指标项量化后计算获得 3.3 修正信息安全水平指数correectedinformationseeurityleelindex ISL 为补偿组织机构对部分评价指标项的不适用性,以数学方法修正信息安全水平指数获得的数值 3.4 评价指标类标识符classifiedevaluationindieatoridentifier 一标识评价指标类的符号,由三个英文字符组成,此标识符也用在该评价指标类中评价指标项的 唯一 命名规则中 3.5 评价指标项标识符evaluationindieatoridentifier 一标识评价指标项的符号,由一组字符组成,前三个字符与其所属的评价指标类标识符相同,其 唯一 余字符是评价指标项在指标类中的序号
GB/T32351一2015 3.6 评价指标项权重 evalwationindicatorweight 表示各评价指标项之间相对重要程度的数值,全部评价指标项的权重之和为100. 3.7 评价指标项量化值evaluationindiceatorquantificationvalue P 采用数学或统计学方法计算得出的评价指标项的量化数值,每个评价指标项量化值均在[0,1] 之间 3.8 灾难恢复disasterrecovery 为了将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态,并将其支持的业务功能从 灾难造成的不正常状态恢复到可接受状态而设计的活动和流程 [GB/T209882007] 3.9 移动终端mobileterminal 安装有操作系统,可装载相应的程序来实现相应功能的设备,如智能手机、PDA和平板电脑等 电力信息安全水平评价指标框架及量化方法 4.1评价指标框架 电力信息安全水平评价指标分为组织体系、规章制度、资金保障、人员安全管理、服务外包管控,关 键信息资产管控、信息系统建设安全管理,安全分区防御、网络安全防护、主机和设备安全防护,应用系 统和数据安全防护、物理环境安全防护、信息系统运行安全管理、灾难恢复和应急管理等15类,共70 项 表1描述了电力信息安全水平评价指标框架 表1电力信息安全水平评价指标框架 评价指标类标识符 评价指标类 评价指标项标识符 评价指标项 ORG1 第一责任人确立 ORG2 责任落实 ORG 组织体系 ORG3 专职机构及岗位设置 ORG4 安全人员配置 整体策略及总体方案制定 REG1 REG2 制度制定及体系完整性 REG REG;3 规章制度 操作规程制定 RG4 制度发布 REG5 管理体系认证 FUN 经费预算 资金保障 FUN FUN2 安全建设经费投人 安全运维经费投人 FUN3
GB/T32351一2015 表1(续 评价指标类标识符 评价指标类 评价指标项标识符 评价指标项 全员安全培训 PER PER2 全员保密协议签订 PER 人员安全管理 PER3 专业技能培训 PER4 人员审查 PER5 岗位调整管控 0SE1 外包服务协议 第三方人员访问管理 OSE2 0SE 服务外包管控 OE3 远程服务管控 SE4 现场开发管控 Ass1 资产清单 ASS2 资产管理职责 ASS 关健信息资产管控 ASS3 信息系统基础资料归档 ASS! 资产维修报废管理 上线安全测评 CON1 coN2 等级保护建设 coN3 等级保护测评开展情况 cON4 等级保护测评通过率 CON 信息系统建设安全管理 CON5 风险评估 CON6 产品采购和使用 CON7 核心产品采购测试 CON8 安全产品国产化情况 sDD1 大区间隔离 sDD2 产控制大区内部逻辑隔离 s sDD SDD3 纵向认证 安全分区防御 SDD4 跨区连接管控 SDD5 内外网隔离 NET 生产控制大区防护 NET2 管理信息大区防护 NET:3 互联网出口统一管理 NET 网络安全防护 NET4 互联网出口安全管控 NET5 无线网络安全应用 NET6 移动终端安全接人 HEQ1 补丁更新 HEQ 主机和设备安全防护 HEQ2 恶意代码防护
GB/T32351一2015 表1(续 评价指标类标识符 评价指标类 评价指标项标识符 评价指标项 HEQ3 系统安全整改加刷 HEQ4 移动存储介质管理 HEQ 主机和设备安全防护 HEQ5 办公终端管控 HEQ6 主机和设备账号口令管理 ADA1 应用系统安全功能及配置 面向互联冈服务系统安全 ADA2 监控和攻击防御 应用系统和数据安全 ADA 防护 面向互联网服务系统周期测试 ADA3 ADA4 应用系统账号口令管理 ADA5 重要数据安全保护 PEN 物理环境安全防护 PEN1 机房安全建设 OPEI 日常维护 OPE2 安全审计 OPE 信息系统运行安全管理 OPE3 补丁管理 oPE4 安全监测 REC1 硬件冗余 REC2 系统和数据备份 REC 灾难恢复 RC3 异地灾备 恢复测试 REC4 信息通报 EME1 EME2 应急预案制定 EME: 专项应急处置预案制定 EME 应急管理 EME4 应急演练 应急资源配备 EME5 EME6 事故调查 4.2评价指标项描述 评价指标项包含评价要素、指标权重、指标属性和量化方法四个部分,四个部分含义分别为 评价要素;说明每个评价指标项的具体评价内容和要求,在定性评价指标项中描述组织机构信 息安全工作应达到的水平,在定量评价指标项中描述应从组织机构信息安全工作中提取的具 体量值 b指标权重;每个评价指标项被赋予一个参考数值,以反映其相对于其他评价指标项的重要程 度 在水平评价实施过程中,如果部分评价指标项不适用于被评价组织机构,此部分评价指标 项的权重按0计 指标属性:每个评价指标项的属性为“定性指标”和“定量指标”之一
GB/T32351一2015 d)量化方法;每个评价指标项的量化方法为“判断法”“比率值法”和“选项法”之一 4.3量化方法 4.3.1评价指标项量化方法 4.3.1.1判断法 根据组织机构信息安全工作实际情况是否符合评价要素描述,为评价指标项赋予量化值,表2列出 了评价指标项量化值尸,的赋值方法 表2应用判断法的P赋值方法 组织机构工作实际与评价要素描述对比情况 P 符合 不符合 0 4.3.1.2比率值法 根据组织机构信息安全工作实际情况,依据评价要素计算得出比率或比值,并将比率或比值作为评 价指标项量化值 P精确到小数点后2位,赋值方法如式(1)所示 P=R 式中: -依据评价指标项的评价要素描述计算得出的比率或比值 R 4.3.1.3选项法 组织机构依据评价要素描述,将信息安全工作实际情况与量化方法中规定的赋值要求对比确定评 价指标项量化值P,P精确到小数点后2位 4.3.2信息安全水平指数计算方法 信息安全水平指数由式(2)计算求得 ISL= 2 W月) 式中: 评价指标类个数 第i评价指标类中评价指标项个数 n 4.3.3分类信息安全水平指数计算方法 分类信息安全水平指数由式(3)计算求得 Vv,P ISL (3 式中: 1 第i评价指标类中评价指标项个数 4.3.4修正信息安全水平指数计算方法 组织机构依据评价指标项的评价要素描述,确定存在部分评价指标项不适用时,可依据式(4)计算
GB/T32351一2015 修正信息安全水平指数 iE！ 1sL =1sL× V - 式中: 全部评价指标项; P=(i,li=1,2,,n;i=1,2,,mn" Q=(i,jl(i.j)EP为适用评价指标项 某组织机构适用的评价指标项 电力信息安全水平评价指标项 5.1组织体系(oRG) 5.1.1oRG1第一责任人确立 a)评价要素;组织机构主要负责人是本组织机构信息安全第一责任人 b 指标权重;Vo=1 e)指标属性;定性指标 d 量化方法;判断法 5.1.2oRG2责任落实 a)评价要素;组织机构信息安全职责明确到责任部门、责任人员,并以正式文件形式发布 b)指标权重;V=2 e)指标属性;定性指标 d)量化方法:判断法 5.1.3oG3专职机构及岗位设置 a)评价要素;组织机构中信息安全部门及岗位设置符合所述要求 电力企业集团公司总部设置信息安全专职管理机构; 1 2 电力企业集团公司二级单位设置信息安全管理和技术岗位 电力企业基层单位设置信息安全岗位 37 b指标权重:VoRa=2 c)指标属性;定性指标 d 量化方法:判断法 5.1.4oRG4安全人员配置 评价要素;组织机构中专职信息安全工作人员数量与组织机构信息安全岗位总数的比值 a 指标权重:Vo=2 b) e)指标属性;定量指标 d 量化方法;比率值法 5.2规章制度(REG) 5.2.1REG1整体策略及总体方案制定 评价要素:组织机构制定符合国家及行业政策要求的信息安全工作整体策略和总体方案,说明 信息安全工作总体目标、范围、防护框架和防护措施
GB/T32351一2015 指标权重:VR1一 b 3 指标属性:;定性指标 c d量化方法;判断法 5.2.2REG2制度制定及体系完整性 评价要素;组织机构针对信息安全工作制定基本安全管理制度,并以此为基础形成涵盖人员管 理、资产管理,介质管理、建设安全管理,运行维护管理,外包服务管理,培训教育等方面的制度 体系 b指标权重;Ve;=2 e)指标属性;定性指标 d)量化方法;选项法 1无制度,P尸R8=0; 2)制定基本制度,0

GB/T32351一2015 5.3.2FUN2安全建设经费投入 a 评价要素;组织机构用于信息安全建设的经费占年度信息化建设总投人的比率(取当年值或近 两年平均值) b 指标权重:Vre=2. c)指标属性:定量指标 d)量化方法;选项法 R<0.05,Pt一 1 0 2)0.05r=0.7; R0.15,PFUN=1 5.3.3FUN3安全运维经费投入 评价要素;组织机构用于信息安全运行维护的经费占整个信息系统运行维护总投人的比率 (取当年值或近两年平均值) =2 b)指标权重:VE= 指标属性;定量指标 c D 量化方法:选项法 1) R<0.05,尸Ns= =0; 2)0.050.15,P=1 5.4人员安全管理(ER 5.4.1PE1全员安全培训 a)评价要素;组织机构全体员工中参加年度信息安全培训的员工所占的比率 b)指标权重:V的=1 e)指标属性;定量指标 d)量化方法;比率值法 5.4.2PER2全员保密协议签订 a)评价要素;组织机构全体员工中签署保密协议的员工所占的比率 指标权重Ve=1. b 指标属性;定量指标 c) 量化方法比率值法 d 5.4.3PER3专业技能培训 评价要素;组织机构信息安全工作人员中获得国家、行业信息安全专业培训证书的人员所占的 a 比率 b)指标权重;VK=2 指标属性:;定量指标 c d)量化方法:比率值法
GB/T32351一2015 5.4.4PER4人员审查 a)评价要素:组织机构对信息安全岗位人员和其他敏感岗位人员实施身份、背景和资质审查 b 指标权重:VeeR=1 指标属性:;定性指标 c d 量化方法:判断法 5.4.5PER5岗位调整管控 评价要素;组织机构在信息安全岗位人员及其他敏感岗位人员离岗时执行权限回收和离岗承 a 诺书签署 指标权重V部 b rER=l 指标属性;定性指标 c 量化方法;判断法 d 5.5服务外包管控(osE 5.5.1oSE1外包服务协议 a)评价要素;组织机构与合约方签订的外包服务协议中具有信息安全管控和保密条款 b)指标权重;V=1 e)指标属性;定性指标 量化方法;判断法 d 5.5.2oS2第三方人员访问管理 a)评价要素;组织机构对第三方人员访问机房等受控区域采取书面审批、人员陪同,进出记录等 管控措施 b指标权重;V=1 c)指标属性:定性指标 d)量化方法;判断法 5.5.3oSE3远程服务管控 评价要素;组织机构针对远程服务访问采取书面审批、访问控制在线监测、日志审计等管控 ? 措施 b指标权重;Vt =2 c)指标属性:定性指标 d) 量化方法;判断法 5.5.4OsE4现场开发管控 a 评价要素:组织机构采取技术措施实现开发测试环境与实际生产运行环境物理分离,并对开发 人员的活动范围和行为实施管控 b 指标权重:VE=1 指标属性;定性指标 c d 量化方法;判断法
GB/T32351一2015 5.6关键信息资产管控(ASs) 5.6.1ASS1资产清单 评价要素;组织机构识别所有与信息系统相关的资产并编制有准确资产清单 a b 指标权重:V=1 e指标属性;定性指标 量化方法:判断法 d) 5.6.2ASs2资产管理职责 a)评价要素:组织机构对每项资产明确管理责任人及其职责 指标权重:V=1 b e) 指标属性;定性指标 d 量化方法;判断法 5.6.3ASS3信息系统基础资料归档 评价要素;组织机构信息系统中完成源代码、设计方案,建设实施方案等基础资料归档的系统 a 所占的比率 b 指标权重:VA=2 e)指标属性;定量指标 d 量化方法:比率值法 5.6.4AsS4资产维修报废管理 评价要素;组织机构在系统、设备维修或报废时,选取了可信服务机构并对数据采取了备份、清 a 除等有效保护措施 b)指标权重:V ，l 指标属性;定性指标 c) d量化方法;判断法 5.7信息系统建设安全管理(coN) 5.7.1coN1上线安全测评 a)评价要素;组织机构信息系统中在上线前通过信息安全测评的系统所占的比率 b指标权重:VcoNI=1 e)指标属性;定量指标 d)量化方法:比率值法 5.7.2coN2等级保护建设 a)评价要素;组织机构信息系统中按要求开展等级保护建设的系统所占的比率 指标权重.Vo8一1 b e)指标属性;定量指标 量化方法;比率值法 d 5.7.3coN3等级保护测评开展情况 评价要素;组织机构信息系统中按要求开展等级保护测评的系统所占的比率 a 10o
GB/T32351一2015 指标权重:Veo=1 b 指标属性:定量指标 c d 量化方法;比率值法 5.7.4CON4等级保护测评通过率 评价要素;组织机构信息系统中等级保护测评结论为符合或基本符合的系统所占的比率 a 指标权重Vaw b =1 e)指标属性;定量指标 d 量化方法;比率值法 5.7.5coN5风险评估 a)评价要素:组织机构信息系统按要求开展信息安全风险评估并完成隐患整改 b指标权重:Vco=1 c)指标属性;定性指标 d)量化方法;选项法 未按要求开展风险评估,P 1) o6=0; 2)按要求开展风险评估,未整改,P coNs=0.3; 3)按要求开展风险评估,完成部分隐患整改,0.3GB/T32351一2015 大区,并在生产控制大区与管理信息大区之间设置经国家指定部门检测认证的电力专用横向 单向安全隔离装置 b)指标权重;Vsi=2 指标属性:;定性指标 c d 量化方法;判断法 5.8.2SDD2生产控制大区内部逻辑隔离 评价要素:组织机构按照《电力二次系统安全防护规定》等要求,在生产控制大区内部控制区与 a 非控制区之间采用国产硬件防火墙、具有访问控制功能的设备或相当功能的设施进行逻辑 隔离 =2 b)指标权重:Vs一 指标属性;定性指标 c 量化方法;判断法 d 5.8.3SDD3纵向认证 评价要素;组织机构按照《电力二次系统安全防护规定》等要求,在生产控制大区与广域网的纵 a 向交接处设置经过国家指定部门检测认证的电力专用纵向加密认证装置或加密认证网关 指标权重:Vn=2. b e)指标属性;定性指标 d 量化方法;判断法 5.8.4sDD4跨区连接管控 a)评价要素;组织机构不存在未通过电力专用横向单向隔离装置将生产控制大区和管理信息大 区网络直接连接的情况 b指标权重;Vs=1 指标属性;定性指标 d)量化方法;判断法 5.8.5sDD5内外网隔离 a)评价要素;组织机构应用独立的网络和终端处理敏感信息,且未与互联网连接 指标权重;Vs=2 D e指标属性;定性指标 d) 量化方法;判断法 5.9网络安全防护(NET 5.9.1NEr1生产控制大区防护 a 评价要素;组织机构在生产控制大区内部采取人侵检测、ARP防范,非授权网络接人管控等技 术措施实施安全防护 b 指标权重:VsEn=2 指标属性;定性指标 c d 量化方法;判断法 12
GB/T32351一2015 5.9.2NEI2管理信息大区防护 a 评价要素组织机构在管理信息大区内部采取人侵防御、ARP防范,非授权网络接人管控,集 中运维操作审计等技术措施实施安全防护 b)指标权重;VNErg=2 指标属性:定性指标 c d)量化方法;判断法 5.9.3NET3互联网出口统一管理 评价要素:组织机构中基层单位管理信息大区的互联网出口数量不多于1个 a 指标权重V b NE:T3=！ 指标属性;定性指标 c 量化方法;判断法 d 5.9.4NEr4互联网出口安全管控 评价要素;组织机构互联网出口中采取访问控制、人侵防御、上网行为管理等必要安全防护措 施且访问控制粒度达到端口级的出口所占的比率 b)指标权重;Vr=2. e)指标属性;定量指标 d 量化方法;比率值法 5.9.5NEI5无线网络安全应用 a)评价要素;组织机构应用无线网络承载业务的信息系统中采取身份认证、,完整性保护,机密性 保护等必要安全防护措施的系统所占的比率 b)指标权重;VE=1 e)指标属性;定量指标 d 量化方法;比率值法 5.9.6NEI6移动终端安全接入 a)评价要素;组织机构针对移动终端接人管理信息大区采取了安全性检测,书面审批、统一接人 管控、访问控制、在线监测、日志审计等管控措施 b 指标权重;VNEr=1 e指标属性;定性指标 d 量化方法;判断法 5.10主机和设备安全防护(HEQ) 5.10.1IEQ1补丁更新 a)评价要素;组织机构按照补丁管理制度要求进行可更新补丁的更新 b 指标权重Vo=1 指标属性:;定性指标 c d)量化方法;判断法 13
GB/T32351一2015 5.10.2HEQ2恶意代码防护 a 评价要素;组织机构按照恶意代码管理制度要求进行恶意代码检测程序和可更新恶意代码库 的更新 b 指标权重;VHw=2. c)指标属性:定性指标 d 量化方法;判断法 5.10.3H03系统安全整改加固 a)评价要素;组织机构主机和设备中对等级保护测评,风险评估、信息安全检查等工作中发现的 问题完成安全整改加固的主机和设备所占的比率 b指标权重;Vo=2 e)指标属性;定量指标 量化方法;比率值法 dD 5.10.4 o4移动存储介质管理 评价要素;组织机构在主机和办公终端中设置限制和管理移动存储介质使用的技术措施,并对 a 移动存储介质的分发、注册、使用、存放、销毁实施管理 b)指标权重;Vuo=1 c)指标属性:定性指标 d 量化方法;判断法 5.10.5EQ5办公终端管控 评价要素;组织机构办公终端中实施了安全管控(安全管理,接人管理等)并统一安装防病毒软 a 件的终端所占的比率 b 指标权重;Vua=2 e)指标属性;定量指标 d 量化方法;比率值法 5.10.6HEQ6主机和设备账号口令管理 a)评价要素;组织机构主机和设备中经检测账号口令设置符合口令管理制度要求的主机和设备 所占的比率 b)指标权重;V =2 HEo6 e)指标属性;定量指标 量化方法;比率值法 d 5.11应用系统和数据安全防护(ADA 5.11.1ADA1应用系统安全功能及配置 评价要素;组织机构应用系统中在等级保护测评、风险评估、信息安全检查等工作中未发现安 a 全功能及配置方面存在问题的系统所占的比率 b指标权重;VD=1 c)指标属性:定量指标 14
GB/T32351一2015 d 量化方法:比率值法 5.11.2ADA2面向互联网服务系统安全监控和攻击防御 评价要素;组织机构面向互联网服务的信息系统中采取安全监控和攻击防御等措施的系统所 a 占的比率 b 指标权重:VADe=2 c 指标属性:;定量指标 d 量化方法:比率值法 5.11.3ADA3面向互联网服务系统周期测试 评价要素;组织机构面向互联网服务系统中按要求进行周期性信息安全测试的系统所占的 a 比率 指标权重V b ADa=I e)指标属性;定量指标 d)量化方法;比率值法 5.11.4ADA4应用系统账号口令管理 评价要素;组织机构应用系统中经检测账号口令设置符合口令管理制度要求的系统所占的 比率 b)指标权重;V=1 e)指标属性;定量指标 d 量化方法;比率值法 5.11.5ADA5重要数据安全保护 a)评价要素;组织机构采用加密或其他有效措施实现对系统管理数据鉴别信息和重要业务数据 的完整性和机密性保护 b 指标权重;VAD=1 e指标属性;定性指标 d 量化方法;判断法 5.12物理环境安全防护(PEN) 5.12.1PEN1机房安全建设 a)评价要素:组织机构机房中按照等级保护要求落实物理安全防护的机房所占的比率 b)指标权重:V=2 指标属性;定量指标 d)量化方法:比率值法 5.13信息系统运行安全管理(oPE 5.13.1oPE1日常维护 评价要素;组织机构按照制定的规章制度,运维流程,操作规程等执行信息系统日常维护并有 a 详尽记录 b指标权重:VoE=2 15
GB/T32351一2015 指标属性;定性指标 d 量化方法;判断法 5.13.2OPE2安全审计 评价要素:组织机构对网络运行日志、操作系统日志、数据库访问日志、业务应用系统运行日 a 志、安全设备和系统运行日志等进行集中收集、定期分析 b指标权重;Vog=1 指标属性;定性指标 c) d)量化方法;选项法 未开启日志审计功能,P=0 1 2) 开启日志审计功能,0GB/T32351一2015 地,四级信息系统实现业务应用实时无缝切换 b 指标权重:Vec=1 e指标属性;定性指标 d 量化方法;判断法 5.14.4Rc4恢复测试 评价要素;组织机构按照恢复测试要求,定期实施恢复测试演习,并检查和测试备份介质的有 ? 效性 b指标权重;Ve=1 e)指标属性;定性指标 d 量化方法;判断法 5.15应急管理(EME 5.15.1EIE1信息通报 a)评价要素:组织机构建立网络与信息安全信息通报机制,按要求向电力监管机构通报网络和信 息系统安全状况 b 指标权重Vw=1 e)指标属性;定性指标 量化方法;判断法 dD 5.15.2EMIE2应急预案制定 评价要素;组织机构按照电力行业网络与信息安全应急预案,制定本组织网络与信息安全应急 a 预案 b)指标权重;V2=1 指标属性:定性指标 c d 量化方法;判断法 5.15.3EMIE3专项应急处置预案制定 a 评价要素;组织机构网络和重要信息系统中具有专项应急处置预案的网络和系统所占的比率 b 指标权重;VeME=1 e指标属性;定量指标 d 量化方法:比率值法 5.15.4EME4应急演练 a)评价要素;组织机构实施年度应急演练,有演练脚本和演练实施记录文档 b指标权重;VeE=1 e)指标属性;定性指标 d)量化方法;判断法 5.15.5EME5应急资源配备 a)评价要素;组织机构根据信息安全工作需求,配置应急支援技术队伍并储备备机备件 b)指标权重:VE EMEs=l 17
GB/T32351一2015 指标属性;定性指标 d量化方法;判断法 5.15.6EMIE6事故调查 a)评价要素;组织机构按照行业及本单位应急预案要求,配合或组织开展事故调查 b指标权重:VeE体=1 指标属性:;定性指标 c d)量化方法:判断法 18
GB/I32351一2015 参 考 文 献 ]GB/T20271一2006信息安全技术信息系统通用安全技术要求 [2]GB/T22239一2008信息安全技术信息安全等级保护基本要求 [幻 GB/T22081一2008信息技术安全技术信息安全实用规则 [[门 GB/T20274.1一2006信息安全技术信息系统安全保障评估框架第1部分:简介和一 般模型 [b GB/T20274.3一2008信息安全技术信息系统安全保障评估框架第3部分;管理保障 [7 GB/T209882007 信息安全技术信息系统灾难恢复规范 in GB/T24363一2009信息安全技术信息安全应急响应计划规范 《信息安全等级保护管理办法》,公通气2w们13号 7 《电力监管条例》,国务院令第432 号 I0]《电力二次系统安全防护规定>,电监会百号令 C《电力行业网络与信息安全信息通报暂行办法》,电监信息[C2们]23g [12]《电力行业网络与信息安全应急预案》电监信息[2007]36号 13]《电力行业网络与信息安全监督管理暂行规定),电监信息[2007]50号 [14]《关于加强信息安全管理体系认证安全管理的通知》,工信部联协[2010]394号

电力信息安全水平评价指标GB/T32351-2015

随着信息化时代的来临，电力行业对信息安全的需求也越来越迫切。针对此需求，GB/T32351-2015《电力信息安全水平评价指标》应运而生，该指标为电力企业的信息安全建设提供了科学可靠的评价体系。 该指标主要分为三方面进行评价：信息安全管理、信息安全技术和信息安全服务。其中，信息安全管理包括组织机构、资产管理、人员管理、访问控制、物理环境及设备管理等六个方面；信息安全技术包括网络安全、系统安全、数据安全、应用安全、密码技术及安全管理系统等六个方面；信息安全服务则包括安全保密、安全监测、事件管理、应急响应及安全培训等五个方面。 相较于其他信息安全评价指标，GB/T32351-2015更加注重电力企业信息安全管理的全面性和系统性，准确地反映了电力企业信息安全建设的现状和发展趋势。同时，该指标在评价体系的设置、评价方法的选择等方面也有着自己独特的优势。 在实际应用中，GB/T32351-2015能够帮助电力企业全面提升信息安全水平，规范信息安全管理行为，有效防范和控制信息安全风险，保证电力生产安全和信息资产安全。因此，推广和应用该指标对于保障电力行业信息安全具有重要的意义和价值。 总之，GB/T32351-2015《电力信息安全水平评价指标》在电力信息安全领域中具有不可替代的作用。在电力企业的信息安全建设中，应该充分认识到该指标的重要性，并积极推广和应用。

电力信息安全水平评价指标的相关资料

和电力信息安全水平评价指标类似的标准