ICS29.020 F25 中华人民共和国国家标准 GB/T32351—2015 电力信息安全水平评价指标 Informationsecuritylevelevaluationindicatorsforelectricpowerindustry 2015-12-31发布 2016-07-01实施 中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会发布 目 次 前言 Ⅰ ………………………………………………………………………………………………………… 引言 Ⅱ ………………………………………………………………………………………………………… 1 范围 1 ……………………………………………………………………………………………………… 2 规范性引用文件 1 ………………………………………………………………………………………… 3 术语和定义 1 ……………………………………………………………………………………………… 4 电力信息安全水平评价指标框架及量化方法 2 ………………………………………………………… 4.1 评价指标框架 2 ……………………………………………………………………………………… 4.2 评价指标项描述 4 …………………………………………………………………………………… 4.3 量化方法 5 …………………………………………………………………………………………… 5 电力信息安全水平评价指标项 6 ………………………………………………………………………… 5.1 组织体系(ORG) 6 …………………………………………………………………………………… 5.2 规章制度(REG) 6 …………………………………………………………………………………… 5.3 资金保障(FUN) 7 …………………………………………………………………………………… 5.4 人员安全管理(PER) 8 ……………………………………………………………………………… 5.5 服务外包管控(OSE) 9 ……………………………………………………………………………… 5.6 关键信息资产管控(ASS) 10 ………………………………………………………………………… 5.7 信息系统建设安全管理(CON) 10 …………………………………………………………………… 5.8 安全分区防御(SDD) 11 ……………………………………………………………………………… 5.9 网络安全防护(NET) 12 ……………………………………………………………………………… 5.10 主机和设备安全防护(HEQ) 13 …………………………………………………………………… 5.11 应用系统和数据安全防护(ADA) 14 ……………………………………………………………… 5.12 物理环境安全防护(PEN) 15 ……………………………………………………………………… 5.13 信息系统运行安全管理(OPE) 15 ………………………………………………………………… 5.14 灾难恢复(REC) 16 ………………………………………………………………………………… 5.15 应急管理(EME) 17 ………………………………………………………………………………… 参考文献 19 ……………………………………………………………………………………………………GB/T32351—2015 前 言 本标准按照GB/T1.1—2009给出的规则起草。 本标准由国家能源局提出。 本标准由全国电力监管标准化技术委员会(SAC/TC296)归口。 本标准起草单位:中国电力科学研究院、国家能源局信息中心、东北能源监管局、辽宁省电力有限公 司电力科学研究院。 本标准主要起草人:孙耀唯、胡红升、高昆仑、温红子、陈雪鸿、赵婷、郑晓崑、苑舜、卢伟、张文艳、 徐兴坤、梁潇、王恩库、曹宇飞、李怡康。 ⅠGB/T32351—2015 引 言 随着信息安全形势的不断变化和电力信息安全工作的深入开展,迫切需要一种定量化、精细化、常 态化的新型管理方法,以促进电力行业信息安全水平的持续提高。本标准依据《电力监管条例》(中华人 民共和国国务院令第432号)、《电力行业网络与信息安全监督管理暂行规定》(电监信息[2007]50号) 和国家有关标准规范制定,规定了电力信息安全水平评价指标并描述了评价指标的量化方法,可用于评 价各类电力组织机构信息安全水平。 ⅡGB/T32351—2015