GB-T 32351-2015 电力信息安全水平评价指标

电力信息安全水平评价指标2015-12-31发布中华人民共和国国家质量监督检验检疫总局GB/T32351—2015 I引言 Ⅱ 2规范性引用文件 13术语和定义 14电力信息安全水平评价指标框架及量化方法 24.1评价指标框架 24.2评价指标项描述 44.3量化方法 55电力信息安全水平评价指标项 65.1组织体系(ORG) 65.2规章制度(REG) 65.3资金保障(FUN) 75.4人员安全管理(PER) 85.5服务外包管控(OSE) 95.6关键信息资产管控(ASS) 5.7信息系统建设安全管理(CON) 5.8安全分区防御(SDD) 5.9网络安全防护(NET) 5.10主机和设备安全防护(HEQ) 5.11应用系统和数据安全防护(ADA) 5.12物理环境安全防护(PEN) 5.13信息系统运行安全管理(OPE) 5.14灾难恢复(REC) 5.15应急管理(EME) 参考文献 I本标准按照GB/T.1.1—2009给出的规则起草。本标准由国家能源局提出。本标准由全国电力监管标准化技术委员会(SAC/TC296)归口。司电力科学研究院。Ⅱ1电力信息安全水平评价指标GB/T25069—2010信息安全技术术语ISLISL:ISL。2Pu采用数学或统计学方法计算得出的评价指标项的量化数值，每个评价指标项量化值均在[0,1]项。表1描述了电力信息安全水平评价指标框架。组织体系责任落实资金保障3全员安全培训专业技能培训岗位调整管控外包服务协议资产清单资产管理职责信息系统基础资料归档资产维修报废管理产品采购和使用安全分区防御大区问隔离生产控制大区内部逻辑隔离内外网隔离网络安全防护生产控制大区防护管理信息大区防护无线网络安全应用主机和设备安全防护恶意代码防护4表1(续)主机和设备安全防护系统安全整改加固防护重要数据安全保护物理环境安全防护日常维护安全监测项的权重按0计。54.3量化方法4.3.1评价指标项量化方法根据组织机构信息安全工作实际情况是否符合评价要素描述，为评价指标项赋予量化值，表2列出了评价指标项量化值P;,的赋值方法。表2应用判断法的P,赋值方法10根据组织机构信息安全工作实际情况，依据评价要素计算得出比率或比值，并将比率或比值作为评价指标项量化值。P;精确到小数点后2位，赋值方法如式(1)所示。P;=R (1)R——依据评价指标项的评价要素描述计算得出的比率或比值。组织机构依据评价要素描述，将信息安全工作实际情况与量化方法中规定的赋值要求对比确定评价指标项量化值P,P精确到小数点后2位。4.3.2信息安全水平指数计算方法信息安全水平指数由式(2)计算求得： (2)n——评价指标类个数；m——第i评价指标类中评价指标项个数。4.3.3分类信息安全水平指数计算方法分类信息安全水平指数由式(3)计算求得： (3)m——第i评价指标类中评价指标项个数。4.3.4修正信息安全水平指数计算方法组织机构依据评价指标项的评价要素描述，确定存在部分评价指标项不适用时，可依据式(4)计算6 (4)P={(i,j)|i=1,2,…,n;j=1,2,…,m}——全部评价指标项；Q={(i,j)|(i,j)∈P为适用评价指标项}——某组织机构适用的评价指标项。5.1.4ORG4安全人员配置781)R<0.05,PFun₃=0;4)R≥0.15,PFuN=1。9非控制区之间采用国产硬件防火墙、具有访问控制功能的设备或相当功能的设施进行逻辑a)评价要素：组织机构不存在未通过电力专用横向单向隔离装置将生产控制大区和a)评价要素：组织机构面向互联网服务系统中按要求进行周期性信息安全测试的系统所占的a)评价要素：组织机构应用系统中经检测账号口令设置符合口令管理制度要求的系统所占的