ICS29.020 F25 中华人民共和国国家标准 GB/T32351—2015 电力信息安全水平评价指标 Informationsecuritylevelevaluationindicatorsforelectricpowerindustry 2015-12-31发布 2016-07-01实施 中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会发布目 次 前言 Ⅰ ………………………………………………………………………………………………………… 引言 Ⅱ ………………………………………………………………………………………………………… 1 范围 1 ……………………………………………………………………………………………………… 2 规范性引用文件 1 ………………………………………………………………………………………… 3 术语和定义 1 ……………………………………………………………………………………………… 4 电力信息安全水平评价指标框架及量化方法 2 ………………………………………………………… 4.1 评价指标框架 2 ……………………………………………………………………………………… 4.2 评价指标项描述 4 …………………………………………………………………………………… 4.3 量化方法 5 …………………………………………………………………………………………… 5 电力信息安全水平评价指标项 6 ………………………………………………………………………… 5.1 组织体系(ORG) 6 …………………………………………………………………………………… 5.2 规章制度(REG) 6 …………………………………………………………………………………… 5.3 资金保障(FUN) 7 …………………………………………………………………………………… 5.4 人员安全管理(PER) 8 ……………………………………………………………………………… 5.5 服务外包管控(OSE) 9 ……………………………………………………………………………… 5.6 关键信息资产管控(ASS) 10 ………………………………………………………………………… 5.7 信息系统建设安全管理(CON) 10 …………………………………………………………………… 5.8 安全分区防御(SDD) 11 ……………………………………………………………………………… 5.9 网络安全防护(NET) 12 ……………………………………………………………………………… 5.10 主机和设备安全防护(HEQ) 13 …………………………………………………………………… 5.11 应用系统和数据安全防护(ADA) 14 ……………………………………………………………… 5.12 物理环境安全防护(PEN) 15 ……………………………………………………………………… 5.13 信息系统运行安全管理(OPE) 15 ………………………………………………………………… 5.14 灾难恢复(REC) 16 ………………………………………………………………………………… 5.15 应急管理(EME) 17 ………………………………………………………………………………… 参考文献 19 ……………………………………………………………………………………………………GB/T32351—2015 前 言 本标准按照GB/T1.1—2009给出的规则起草。 本标准由国家能源局提出。 本标准由全国电力监管标准化技术委员会(SAC/TC296)归口。 本标准起草单位:中国电力科学研究院、国家能源局信息中心、东北能源监管局、辽宁省电力有限公 司电力科学研究院。 本标准主要起草人:孙耀唯、胡红升、高昆仑、温红子、陈雪鸿、赵婷、郑晓崑、苑舜、卢伟、张文艳、 徐兴坤、梁潇、王恩库、曹宇飞、李怡康。 ⅠGB/T32351—2015 引 言 随着信息安全形势的不断变化和电力信息安全工作的深入开展,迫切需要一种定量化、精细化、常 态化的新型管理方法,以促进电力行业信息安全水平的持续提高。本标准依据《电力监管条例》(中华人 民共和国国务院令第432号)、《电力行业网络与信息安全监督管理暂行规定》(电监信息[2007]50号) 和国家有关标准规范制定,规定了电力信息安全水平评价指标并描述了评价指标的量化方法,可用于评 价各类电力组织机构信息安全水平。 ⅡGB/T32351—2015 电力信息安全水平评价指标 1 范围 本标准规定了电力信息安全水平评价指标,描述了评价指标量化方法。 本标准适用于电力监管机构对电网、发电、电力科研及电力设计施工等电力组织机构开展信息安全 水平评价,也适用于上述电力组织机构开展信息安全水平自评价。信息安全服务提供商为电力组织机 构提供服务时也可参考使用。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T25069—2010 信息安全技术 术语 3 术语和定义 GB/T25069—2010界定的下列术语和定义适用于本文件。 3.1 信息安全水平指数 informationsecuritylevelindex ISL 客观反映组织机构信息安全工作整体开展情况的数值,以评价组织机构整体信息安全水平,由全部 评价指标项量化后计算获得。 3.2 分类信息安全水平指数 classifiedinformationsecuritylevelindex ISLi 客观反映组织机构某类信息安全工作开展情况的数值,以评价组织机构某一方面的信息安全工作 水平,由某评价指标类中的评价指标项量化后计算获得。 3.3 修正信息安全水平指数 correctedinformationsecuritylevelindex ISLc 为补偿组织机构对部分评价指标项的不适用性,以数学方法修正信息安全水平指数获得的数值。 3.4 评价指标类标识符 classifiedevaluationindicatoridentifier 唯一标识评价指标类的符号,由三个英文字符组成,此标识符也用在该评价指标类中评价指标项的 命名规则中。 3.5 评价指标项标识符 evaluationindicatoridentifier 唯一标识评价指标项的符号,由一组字符组成,前三个字符与其所属的评价指标类标识符相同,其 余字符是评价指标项在指标类中的序号。 1GB/T32351—2015 3.6 评价指标项权重 evaluationindicatorweight Vij 表示各评价指标项之间相对重要程度的数值,全部评价指标项的权重之和为100。 3.7 评价指标项量化值 evaluationindicatorquantificationvalue Pij 采用数学或统计学方法计算得出的评价指标项的量化数值,每个评价指标项量化值均在[0,1] 之间。 3.8 灾难恢复 disasterrecovery 为了将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态,并将其支持的业务功能从 灾难造成的不正常状态恢复到可接受状态而设计的活动和流程。 [GB/T20988—2007] 3.9 移动终端 mobileterminal 安装有操作系统,可装载相应的程序来实现相应功能的设备,如智能手机、PDA和平板电脑等。 4 电力信息安全水平评价指标框架及量化方法 4.1 评价指标框架 电力信息安全水平评价指标分为组织体系、规章制度、资金保障、人员安全管理、服务外包管控、关 键信息资产管控、信息系统建设安全管理、安全分区防御、网络安全防护、主机和设备安全防护、应用系 统和数据安全防护、物理环境安全防护、信息系统运行安全管理、灾难恢复和应急管理等15类,共70 项。表1描述了电力信息安全水平评价指标框架。 表1 电力信息安全水平评价指标框架 评价指标类标识符 评价指标类 评价指标项标识符 评价指标项 ORG 组织体系ORG1 第一责任人确立 ORG2 责任落实 ORG3 专职机构及岗位设置 ORG4 安全人员配置 REG 规章制度REG1 整体策略及总体方案制定 REG2 制度制定及体系完整性 REG3 操作规程制定 REG4 制度发布 REG5 管理体系认证 FUN 资金保障FUN1 经费预算 FUN2 安全建设经费投入 FUN3 安全运维经费投入 2GB/T32351—2015 表1(续) 评价指标类标识符 评价指标类 评价指标项标识符 评价指标项 PER 人员安全管理PER1 全员安全培训 PER2 全员保密协议签订 PER3 专业技能培训 PER4 人员审查 PER5 岗位调整管控 OSE 服务外包管控OSE1 外包服务协议 OSE2 第三方人员访问管理 OSE3 远程服务管控 OSE4 现场开发管控 ASS 关键信息资产管控ASS1 资产清单 ASS2 资产管理职责 ASS3 信息系统基础资料归档 ASS4 资产维修报废管理 CON 信息系统建设安全管理CON1 上线安全测评 CON2 等级保护建设 CON3 等级保护测评开展情况 CON4 等级保护测评通过率 CON5 风险评估 CON6 产品采购和使用 CON7 核心产品采购测试 CON8 安全产品国产化情况 SDD 安全分区防御SDD1 大区间隔离 SDD2 生产控制大区内部逻辑隔离 SDD3 纵向认