GB-T 32351-2015 電力信息安全水平評價指標(biāo)

電力信息安全水平評價指標(biāo)2015-12-31發(fā)布中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局GB/T32351—2015 I引言 Ⅱ 2規(guī)范性引用文件 13術(shù)語和定義 14電力信息安全水平評價指標(biāo)框架及量化方法 24.1評價指標(biāo)框架 24.2評價指標(biāo)項描述 44.3量化方法 55電力信息安全水平評價指標(biāo)項 65.1組織體系(ORG) 65.2規(guī)章制度(REG) 65.3資金保障(FUN) 75.4人員安全管理(PER) 85.5服務(wù)外包管控(OSE) 95.6關(guān)鍵信息資產(chǎn)管控(ASS) 5.7信息系統(tǒng)建設(shè)安全管理(CON) 5.8安全分區(qū)防御(SDD) 5.9網(wǎng)絡(luò)安全防護(hù)(NET) 5.10主機(jī)和設(shè)備安全防護(hù)(HEQ) 5.11應(yīng)用系統(tǒng)和數(shù)據(jù)安全防護(hù)(ADA) 5.12物理環(huán)境安全防護(hù)(PEN) 5.13信息系統(tǒng)運行安全管理(OPE) 5.14災(zāi)難恢復(fù)(REC) 5.15應(yīng)急管理(EME) 參考文獻(xiàn) I本標(biāo)準(zhǔn)按照GB/T.1.1—2009給出的規(guī)則起草。本標(biāo)準(zhǔn)由國家能源局提出。本標(biāo)準(zhǔn)由全國電力監(jiān)管標(biāo)準(zhǔn)化技術(shù)委員會(SAC/TC296)歸口。司電力科學(xué)研究院。Ⅱ1電力信息安全水平評價指標(biāo)GB/T25069—2010信息安全技術(shù)術(shù)語ISLISL:ISL。2Pu采用數(shù)學(xué)或統(tǒng)計學(xué)方法計算得出的評價指標(biāo)項的量化數(shù)值，每個評價指標(biāo)項量化值均在[0,1]項。表1描述了電力信息安全水平評價指標(biāo)框架。組織體系責(zé)任落實資金保障3全員安全培訓(xùn)專業(yè)技能培訓(xùn)崗位調(diào)整管控外包服務(wù)協(xié)議資產(chǎn)清單資產(chǎn)管理職責(zé)信息系統(tǒng)基礎(chǔ)資料歸檔資產(chǎn)維修報廢管理產(chǎn)品采購和使用安全分區(qū)防御大區(qū)問隔離生產(chǎn)控制大區(qū)內(nèi)部邏輯隔離內(nèi)外網(wǎng)隔離網(wǎng)絡(luò)安全防護(hù)生產(chǎn)控制大區(qū)防護(hù)管理信息大區(qū)防護(hù)無線網(wǎng)絡(luò)安全應(yīng)用主機(jī)和設(shè)備安全防護(hù)惡意代碼防護(hù)4表1(續(xù))主機(jī)和設(shè)備安全防護(hù)系統(tǒng)安全整改加固防護(hù)重要數(shù)據(jù)安全保護(hù)物理環(huán)境安全防護(hù)日常維護(hù)安全監(jiān)測項的權(quán)重按0計。54.3量化方法4.3.1評價指標(biāo)項量化方法根據(jù)組織機(jī)構(gòu)信息安全工作實際情況是否符合評價要素描述，為評價指標(biāo)項賦予量化值，表2列出了評價指標(biāo)項量化值P;,的賦值方法。表2應(yīng)用判斷法的P,賦值方法10根據(jù)組織機(jī)構(gòu)信息安全工作實際情況，依據(jù)評價要素計算得出比率或比值，并將比率或比值作為評價指標(biāo)項量化值。P;精確到小數(shù)點后2位，賦值方法如式(1)所示。P;=R (1)R——依據(jù)評價指標(biāo)項的評價要素描述計算得出的比率或比值。組織機(jī)構(gòu)依據(jù)評價要素描述，將信息安全工作實際情況與量化方法中規(guī)定的賦值要求對比確定評價指標(biāo)項量化值P,P精確到小數(shù)點后2位。4.3.2信息安全水平指數(shù)計算方法信息安全水平指數(shù)由式(2)計算求得： (2)n——評價指標(biāo)類個數(shù)；m——第i評價指標(biāo)類中評價指標(biāo)項個數(shù)。4.3.3分類信息安全水平指數(shù)計算方法分類信息安全水平指數(shù)由式(3)計算求得： (3)m——第i評價指標(biāo)類中評價指標(biāo)項個數(shù)。4.3.4修正信息安全水平指數(shù)計算方法組織機(jī)構(gòu)依據(jù)評價指標(biāo)項的評價要素描述，確定存在部分評價指標(biāo)項不適用時，可依據(jù)式(4)計算6 (4)P={(i,j)|i=1,2,…,n;j=1,2,…,m}——全部評價指標(biāo)項；Q={(i,j)|(i,j)∈P為適用評價指標(biāo)項}——某組織機(jī)構(gòu)適用的評價指標(biāo)項。5.1.4ORG4安全人員配置781)R<0.05,PFun?=0;4)R≥0.15,PFuN=1。9非控制區(qū)之間采用國產(chǎn)硬件防火墻、具有訪問控制功能的設(shè)備或相當(dāng)功能的設(shè)施進(jìn)行邏輯a)評價要素：組織機(jī)構(gòu)不存在未通過電力專用橫向單向隔離裝置將生產(chǎn)控制大區(qū)和a)評價要素：組織機(jī)構(gòu)面向互聯(lián)網(wǎng)服務(wù)系統(tǒng)中按要求進(jìn)行周期性信息安全測試的系統(tǒng)所占的a)評價要素：組織機(jī)構(gòu)應(yīng)用系統(tǒng)中經(jīng)檢測賬號口令設(shè)置符合口令管理制度要求的系統(tǒng)所占的