创新信息安全管理

创新信息安全管理创新信息安全管理 上世纪 90 年代以来 嘉兴电力局逐步建立了办公自动化 oa sap 系统 营销管理 95598 客户服务 负荷管理 pi 数据库等 诸多信息系统 企业信息化在安全生产 经营管理 优质服务 中发挥了极其重要的作用 与此同时 信息安全的篱笆墙也越 扎越紧 有效地防范了外部的攻击和内部管理失控带来的种种 威胁 因此嘉兴电力局先后被中电联授予 信息化先进单位 信息化标杆企业 等光荣称号 2006 年贯彻 iso iec27001 2005 信息安全管理标准 获得了挪威船级社 dnv 公司认证证书 运用系统的思想和方法 查找信息安全管理的运用系统的思想和方法 查找信息安全管理的 短板短板 管理思想和方法落后 过去基本上是参照电网安全管理的一些 传统做法 没有体现信息化特点和要求 这样就越来越不适应 信息系统的快速发展和变革 管理对象不够全面 以往只考虑硬件 软件 忽视了人 数据 和文档 服务 无形资产等重要对象 对外来人员也缺乏有效 的识别管理 管理制度不够系统 以前虽然制订了不少制度和标准 但随着 信息化的发展 这些制度逐渐变得与现实要求不相适应 就事 论事的管理方式必然会产生安全管理的盲区 有些制度内容重 复 交叉 不一致 有些制度不切合实际 往往束之高阁 风险评估不够科学 以往的信息风险评估就事论事 不够系统 主观性过强 缺乏综合平衡 抓不住重点 易过度保护 或产 生管理死角 事后控制多 事前预控少 不能涵盖信息系统的 生命周期 上述情形是企业在信息化建设中普遍感觉到比较迷茫的问题 随着科学技术的进步 企业信息运行管理模式也发生了巨大的 变化 为企业采用先进管理方式 建立信息安全管理体系打下 了扎实的基础 为此 嘉兴电力局根据国际上信息安全管理的 最佳实践 结合供电企业的实际 从信息安全风险评估管理人 手 贯彻 iso iec27001 2005 信息安全管理标准 建立了信 息安全管理体系 通过体系有效运作 达到了供电企业信息安 全管理 预控 能控 可控 在控 的目的 从资产识别入手 搞好信息安全风险评估从资产识别入手 搞好信息安全风险评估 嘉兴电力局按 信息安全风险评估控制程序 对所有的资产 进行了列表识别 并识别了资产的所有者 这些资产包括硬件 与设施 软件与系统 数据与文档 服务及人力资源 对每一 项资产按自身价值 信息分类 保密性 完整性 法律法规符 合性要求进行了量化赋值 在风险评估中 共识别资产 2810 项 其中确定的重要资产总数为 312 项 形成了 重要资产清单 图图 1 重要信息资产按部门分布图重要信息资产按部门分布图 对重要的信息资产 由资产的所有者 归口管理部门 对其可能遭 受的威胁及自身的薄弱点进行识别 并对威胁利用薄弱点发生 安全事件的可能性以及潜在影响进行了赋值分析 确定风险等 级和可接受程度 形成了 重要资产风险评估表 针对每一 项威胁 薄弱点 对资产造成的影响 考虑现有的控制措施 判定措施失效发生的可能性 计算风险等级 判断风险为可接 受的还是需要处理的 根据风险评估的结果 形成风险处理计 划 对于信息安全风险 应考虑控制措施与费用的平衡原则 选用适当的措施 确定是接受风险 避免风险 还是转移风险 嘉兴电力局经过风险评估 确定了不可接受风险 84 项 其中硬 件和设施 52 项 软件和系统 0 项 文档和数据 8 项 服务 0 项 人力资源 24 项 图图 2 各类不可接受风险按系统分布图各类不可接受风险按系统分布图 根据风险评估的结果 对可接受风险 保持原有的控制措施 同时按 iso iec17799 2005 信息技术 安全技术 信息安全 管理实施细则 和系统应用的要求 对控制措施进行完善 针 对不可接受风险 由各部门制定相应的安全控制措施 制定控 制措施需要考虑风险评估的结果 管理与技术上的可行性 法 律法规的要求 以期达到风险降低的目的 控制措施的实施将 从避免风险 降低风险 转移风险等方面 将风险降低到可接 受的水平 按照按照 iso 标准要求 建立信息安全管理体系标准要求 建立信息安全管理体系 嘉兴电力局在涉及生产 经营 服务和日常管理活动的信息系 统 按 iso iec27001 2005 信息技术 安全技术 信息安全 管理体系要求 规定 参照 iso iecl7799 2005 信息技术 安 全技术 信息安全管理实施细则 建立信息安全管理体系 简称 isms 确定信息安全管理体系覆盖范围 主要是根据业务特征 组织 结构 地理位置 资产分布情况 涉及电力生产 营销 服务 和日常管理的 40 个重要信息系统 信息安全管理的方针是 全面 完整 务实 有效 为实现信息安全管理体系方针 该局承诺 在各层次建立完整 的信息安全管理组织机构 确定信息安全目标和控制措施 明 确信息安全的管理职责 识别并满足适用法律 法规和相关方 信息安全要求 定期进行信息安全风险评估 采取纠正预防措 施 保证体系的持续有效性 采用先进有效的设施和技术 处 理 传递 储存和保护各类信息 实现信息共享 对全体员工 进行持续的信息安全教育和培训 不断增强员工的信息安全意 识和能力 制定并保持完善的业务连续性计划 实现可持续发 展 按照信息安全管理方针的要求 制定的信息安全管理目标 是 2 级以上信息安全事件为零 不发生信息系统的中断 数 据的丢失 敏感信息的泄密 不发生导致供电中断的信息事故 减少涉密有关的法律风险 嘉兴电力局根据风险评估的结果 企业的系统现状和管理现状 按照 iso iec27001 2005 标准要求 整合原有的企业信息安 全管理标准 规章制度 形成了科学 严密的信息安全管理体 系文件框架 包括信息安全管理手册 信息安全风险评估管 理程序 业务持续性管理程序 等 53 个程序文件 制定了 16 个支撑性作业文件 运用过程方法 实施信息安全管理体系运用过程方法 实施信息安全管理体系 在信息安全管理过程中 重点是抓好人员安全 风险评估 信 息安全事件 保持业务持续性等重要环节 采取明确职责 动 态检查 严格考核等措施 使信息安全走上常态管理之路 图图 3 信息安全管理体系实施过程信息安全管理体系实施过程 重视信息系统安全管理 因为信息系统支撑着企业的各项业务 信息安全管理体系实施涵盖信息系统的生命周期 表现在信息 系统的软 硬 件购置 设备安装 软件开发和系统测试 上线 系统 权限 变更等方面 严格执行体系的相关控制程序 强化人员安全管理 在劳动合同 岗位说明书中 明确员工信 息安全职责 特殊岗位的人员规定特别的安全责任 对信息关 键岗位实行备案制度 对岗位调动或离职人员 及时调整安全 职责和权限 定期对员工进行信息安全教育和技能培训 比武 考试 重视相关方管理 对软硬件供应商 服务商 保卫 消防 保 洁等人员 明确安全要求和安全职责 签订保密协议 办理入 网申请 进行入网教育等 识别客户 合作方 相关方 法律 法规对信息安全的要求 采取措施 保证满足安全要求 建立信息安全的常态管理机制 对企业技术 业务目标和过程 已识别的威胁 实施控制的有效性 外部事件变更情况应及