中华人民共和国国家标准
GB/T32351-2015
Information security level evaluation indicators for electric power industry
中国国家标准化管理委员会 中华人民共和国国家质量监督检验检疫总局 发布
目 次
前言引言1范围 规范性引用文件3术语和定义4电力信息安全水平评价指标框架及量化方法4.1评价指标框架4.2评价指标项描述4.3量化方法5电力信息安全水平评价指标项5.1组织体系(ORG) 5.2规章制度(REG)5.3资金保障(FUN).5.4 人员安全管理(PER) 85 5 服务外包管控(OSE)5.6 5.7 关键信息资产管控(ASS) 信息系统建设安全管理(CON) 10 105.8 安全分区防御(SDD) 115.9 网络安全防护(NET) 125.10 主机和设备安全防护(HEQ) 应用系统和数据安全防护(ADA) 135.12 5.11 物理环境安全防护(PEN) 15 145.13 信息系统运行安全管理(OPE) 155.14 灾难恢复(REC) 165.15 应急管理(EME) 17参考文献
前言
本标准按照GB/T1.1-2009给出的规则起草.
本标准由国家能源局提出.
本标准由全国电力监管标准化技术委员会(SAC/TC296)归口.
本标准起草单位:中国电力科学研究院、国家能源局信息中心、东北能源监管局、辽宁省电力有限公司电力科学研究院.
徐兴坤、梁潇、王恩库、曹宇飞、李怡康. 本标准主要起草人:孙耀唯、胡红升、高昆仑、温红子、陈雪鸿、赵婷、郑晓岚、苑舜、卢伟、张文艳、
引言
随着信息安全形势的不断变化和电力信息安全工作的深人开展,迫切需要一种定量化、精细化、常民共和国国务院令第432号)、(电力行业网络与信息安全监督管理暂行规定》(电监信息[2007]50号) 态化的新型管理方法,以促进电力行业信息安全水平的持续提高.本标准依据(电力监管条例(中华人和国家有关标准规范制定,规定了电力信息安全水平评价指标并描述了评价指标的量化方法,可用于评价各类电力组织机构信息安全水平.
电力信息安全水平评价指标
1范围
本标准规定了电力信息安全水平评价指标,描述了评价指标量化方法.
本标准适用于电力监管机构对电网、发电、电力科研及电力设计施工等电力组织机构开展信息安全水平评价,也适用于上述电力组织机构开展信息安全水平自评价,信息安全服务提供商为电力组织机构提供服务时也可参考使用.
下列文件对于本文件的应用是必不可少的.凡是注日期的引用文件,仅注日期的版本适用于本文件.凡是不注日期的引用文件,其最新版本(包括的修改单)适用于本文件.
GB/T25069-2010信息安全技术术语
3术语和定义
GB/T25069一2010界定的下列术语和定义适用于本文件.
3.1
信息安全水平指数information security level index
ISL
客观反映组织机构信息安全工作整体开展情况的数值,以评价组织机构整体信息安全水平,由全部评价指标项量化后计算获得.
3.2
分类信息安全水平指数classified information security level index
ISL:
客观反映组织机构某类信息安全工作开展情况的数值,以评价组织机构某一方面的信息安全工作水平,由某评价指标类中的评价指标项量化后计算获得.
修正信息安全水平指数corrected information security level index
为补偿组织机构对部分评价指标项的不适用性,以数学方法修正信息安全水平指数获得的数值.
评价指标类标识符classifiedevaluationindicator identifier
唯一标识评价指标类的符号,由三个英文字符组成,此标识符也用在该评价指标类中评价指标项的命名规则中.
3.5
评价指标项标识符evaluationindicator identifier
唯一标识评价指标项的符号,由一组字符组成,前三个字符与其所属的评价指标类标识符相同,其余字符是评价指标项在指标类中的序号.
