电力信息化：信息安全水平评价指标体系(2)

        3.2 评价指标构成

        评价指标是实现信息安全水平评价的具体项目，为支撑信息安全水平评价的可操作性、评价结果的可比性，每个评价指标需要被赋四个内涵，分别是：一个评价要求、一个指标权重、一个指标属性、一个量化方法。图2描述了评价指标的结构。

图2 评价指标描述结构

        评价指标需要包含的四个要素详述如下：

        1)评价要素：说明每个评价指标的具体评价要求，在定性指标中描述组织信息安全工作应达到的工作水平，在定量指标中描述应从组织信息安全工作中提取的具体量值。

        2)指标属性：每项评价指标属性是定性指标和定量指标之一。

        3)指标权重：应用专家咨询法与层次化分析方法结合确定的，表示评价指标在评价指标体系中所起作用的相对数值。

        4)量化方法：每个评价指标项量化评分方法选取“符合/不符合判断法”、“比率值法”、“选项赋值法”之一。

        4.1 评价指标量化方法

        对于电力信息安全水平评价指标体系中包含的70个评价指标，根据其指标属性的不同，分别确定了“符合/不符合判断法”、“比率值法”、“选项赋值法”三种评价指标量化方法。其中定性指标应用“符合/不符合判断法”，定量指标可依据指标特性选取“比率值法”或“选项赋值法”。

        1、符合/不符合判定法

        根据组织信息安全工作实际情况是否符合指标评价要素中描述的基本要求，为评价指标赋予量化值，表2列出了 的赋值方法。

                                                              表2 应用符合/不符合判定法的 的赋值方法

          4.2 信息安全水平指数计算方法

          5 结束语

        本文以电力组织信息安全工作水平为研究对象，从组织体系、规章制度、资金保障、人员安全管理、服务外包管控、关键信息资产管控、信息系统建设安全管理、安全分区防御、网络安全防护、主机和设备安全防护、应用系统和数据安全防护、物理安全防护、信息系统运行安全管理、灾难恢复、应急管理等15个方面出发建立了一套指标体系。同时从国家和行业的要求、规范为出发点确定了70个具体评价指标，并提出了具体评价指标的量化方法和组织信息安全水平指数的计算方法。本文提出的电力信息安全水平评价指标体系在电力行业十八大信息安全检查工作中得以应用，从应用结果来看客观、精细、量化的反映了电力组织当前信息安全工作水平。电力信息安全水平评价指标的构建和量化统计方法的确定，为当前电力行业信息安全监管和电力组织对信息安全工作开展情况的自评价提供了必要的技术支持。为保证评价指标的科学性和适用性，电力系统信息安全研究人员还需要根据信息安全工作内容和信息安全防护技术的发展，不断的调整和优化评价指标，保障电力系统信息安全。