3.2 評(píng)價(jià)指標(biāo)構(gòu)成

        評(píng)價(jià)指標(biāo)是實(shí)現(xiàn)信息安全水平評(píng)價(jià)的具體項(xiàng)目，為支撐信息安全水平評(píng)價(jià)的可操作性、評(píng)價(jià)結(jié)果的可比性，每個(gè)評(píng)價(jià)指標(biāo)需要被賦四個(gè)內(nèi)涵，分別是：一個(gè)評(píng)價(jià)要求、一個(gè)指標(biāo)權(quán)重、一個(gè)指標(biāo)屬性、一個(gè)量化方法。圖2描述了評(píng)價(jià)指標(biāo)的結(jié)構(gòu)。

圖2 評(píng)價(jià)指標(biāo)描述結(jié)構(gòu)

        評(píng)價(jià)指標(biāo)需要包含的四個(gè)要素詳述如下：

        1)評(píng)價(jià)要素：說明每個(gè)評(píng)價(jià)指標(biāo)的具體評(píng)價(jià)要求，在定性指標(biāo)中描述組織信息安全工作應(yīng)達(dá)到的工作水平，在定量指標(biāo)中描述應(yīng)從組織信息安全工作中提取的具體量值。

        2)指標(biāo)屬性：每項(xiàng)評(píng)價(jià)指標(biāo)屬性是定性指標(biāo)和定量指標(biāo)之一。

        3)指標(biāo)權(quán)重：應(yīng)用專家咨詢法與層次化分析方法結(jié)合確定的，表示評(píng)價(jià)指標(biāo)在評(píng)價(jià)指標(biāo)體系中所起作用的相對(duì)數(shù)值。

        4)量化方法：每個(gè)評(píng)價(jià)指標(biāo)項(xiàng)量化評(píng)分方法選取“符合/不符合判斷法”、“比率值法”、“選項(xiàng)賦值法”之一。

        4.1 評(píng)價(jià)指標(biāo)量化方法

        對(duì)于電力信息安全水平評(píng)價(jià)指標(biāo)體系中包含的70個(gè)評(píng)價(jià)指標(biāo)，根據(jù)其指標(biāo)屬性的不同，分別確定了“符合/不符合判斷法”、“比率值法”、“選項(xiàng)賦值法”三種評(píng)價(jià)指標(biāo)量化方法。其中定性指標(biāo)應(yīng)用“符合/不符合判斷法”，定量指標(biāo)可依據(jù)指標(biāo)特性選取“比率值法”或“選項(xiàng)賦值法”。

        1、符合/不符合判定法

        根據(jù)組織信息安全工作實(shí)際情況是否符合指標(biāo)評(píng)價(jià)要素中描述的基本要求，為評(píng)價(jià)指標(biāo)賦予量化值，表2列出了 的賦值方法。

                                                              表2 應(yīng)用符合/不符合判定法的 的賦值方法

          4.2 信息安全水平指數(shù)計(jì)算方法

          5 結(jié)束語

        本文以電力組織信息安全工作水平為研究對(duì)象，從組織體系、規(guī)章制度、資金保障、人員安全管理、服務(wù)外包管控、關(guān)鍵信息資產(chǎn)管控、信息系統(tǒng)建設(shè)安全管理、安全分區(qū)防御、網(wǎng)絡(luò)安全防護(hù)、主機(jī)和設(shè)備安全防護(hù)、應(yīng)用系統(tǒng)和數(shù)據(jù)安全防護(hù)、物理安全防護(hù)、信息系統(tǒng)運(yùn)行安全管理、災(zāi)難恢復(fù)、應(yīng)急管理等15個(gè)方面出發(fā)建立了一套指標(biāo)體系。同時(shí)從國家和行業(yè)的要求、規(guī)范為出發(fā)點(diǎn)確定了70個(gè)具體評(píng)價(jià)指標(biāo)，并提出了具體評(píng)價(jià)指標(biāo)的量化方法和組織信息安全水平指數(shù)的計(jì)算方法。本文提出的電力信息安全水平評(píng)價(jià)指標(biāo)體系在電力行業(yè)十八大信息安全檢查工作中得以應(yīng)用，從應(yīng)用結(jié)果來看客觀、精細(xì)、量化的反映了電力組織當(dāng)前信息安全工作水平。電力信息安全水平評(píng)價(jià)指標(biāo)的構(gòu)建和量化統(tǒng)計(jì)方法的確定，為當(dāng)前電力行業(yè)信息安全監(jiān)管和電力組織對(duì)信息安全工作開展情況的自評(píng)價(jià)提供了必要的技術(shù)支持。為保證評(píng)價(jià)指標(biāo)的科學(xué)性和適用性，電力系統(tǒng)信息安全研究人員還需要根據(jù)信息安全工作內(nèi)容和信息安全防護(hù)技術(shù)的發(fā)展，不斷的調(diào)整和優(yōu)化評(píng)價(jià)指標(biāo)，保障電力系統(tǒng)信息安全。