电力企业信息安全管理体系分析研究

1、电力企业信息平安管理体系分析研究 1引言在如今的信息化社会中，信息通过共享传递实现其价值。在信息交换的过程中，人们肯定会担忧自己的信息泄露，所以信息平安备受关注，企业的信息平安就更为重要了。但是网络是一个开放互联的环境，接入网络的方式多样，再加上技术存在的漏洞或者人们可能的操作失误等，信息平安问题一刻不容无视。尤其是电力，是国家规定的重要信息平安领域。所以电力企业要把信息平安管理体系的建设，作为重要的一环纳入到整个企业管理体系中去。2电力企业信息管理体系建设的依据关于企业的平安管理体系方面的标准有很多。英国BSI/DISC的BDD信息管理委员会制定的平安管理体系主要包含两个局部内容：信息平安管

2、理实施规那么和信息平安管理体系标准。信息平安管理实施规那么是一个根底性指导文件，里面有10大管理项、36个执行的目标和127种控制的方法，可以作为开发人员在信息平安管理体系开发过程中的一个参考文档。信息平安管理体系标准那么详细描述了在建立、施工和维护信息平安管理体系过程的要求，并提出了一些具体操作的建议。国际标准化组织也发布了很多关于信息平安技术的标准，如ISOx系列、ISO/IECx系列等。我国也制定了一系列的信息平安标准，如GB158511995。关于企业信息平安管理体系方面的标准众多，如何针对企业自身实际情况选择适宜的参考标准很重要，尤其是电力企业有着与其他企业不同的一些特殊性质，选择信

3、息平安体系建设的参考标准更要谨慎。我国电力企业已经引入了一些国际化标准作为建立和维护企业运转的保证，关于信息平安体系的标准也应纳入到保证企业运转的一系列参考中去。电力企业总体应有一致的平安信息管理体系参考标准，但是具体地区的公司又有着本身自己的特殊环境，所以在总体一致的信息平安标准的情况下，也应该根据企业自身地区、人文、政策等的不同制定一些企业内部自己信息平安标准作为建立、实施和维护信息平安管理体系的依据。信息平安管理体系顾全大局又要有所侧重的表达电力企业平安标准的要求。3信息平安管理体系里的重要环节信息平安管理体系并没有特别要求添加什么特别的设备，只是对企业用到的设备做一些要求。电力企业一般

4、采用内外网结合的方式，内外网设备要尽量进行物理隔离。企业每个员工根本都有自己的移动设备，如 等，为了增加信息平安的系数，企业可以限制公司设备的无线网络拓展。另外，实时监控系统也应该覆盖企业的重要设备，监控硬件设备的平安。在企业设备主要是计算机上部署相关软件环境是信息平安管理体系中最重要的局部。比方防病毒软件的部署、桌面系统弱口令监控软件的部署等，以此防止网络攻击或者提高平安系数。另外，企业设备所用系统的平安漏洞修复、数据的加密解密、数据的备份恢复及数据传输通道的加密解密等问题，都在信息平安管理体系设计的考虑范畴。尽管现在一直倡导智能化，但是企业内进行设备等操作的主体还是员工。不管是对设备终端操

5、作来进行信息的首发，还是对企业软硬件系统进行维护工作，都是有员工来进行的。所以，对企业内部员工进行信息平安培训，提高员工的信息平安防范意识，让员工掌握一定的信息平安防范与处理手段是非常重要的事情。针对不同的职位，在员工上岗前应该进行相关的信息平安方面的培训，然后对培训结果进行考核，不合格的人员不准上岗。在岗的人员也要定期进行培训与考核。另外，如果有条件的话，企业应该定期例如每年进行一次信息平安的相关演习。另外，电力企业有些工程是外包给其他相应公司的，这时候会有施工人员和驻场人员在电力企业，对这些人员也应该进行电力企业信息平安的培训。风险评估在信息平安管理体系中是确定企业信息平安需求的一个重要途

6、径，它是对企业的信息资产所面临的威胁、存在的弱点、造成的影响，以及三者综合作用下所带来的风险可能性的评测。风险评估的主要任务是：检测评估对象所面临的各种风险，估计风险的概率和可能带来的负面影响的程度，确定信息平安管理体系承受风险的能力，确定不同风险发生后消减和控制的优先级，对消除风险提出建议。在信息平安管理体系的风险系数评估过程中，形成?风险系数评估报告?、?风险处理方案?等文档，作为对信息平安管理体系进行调整的参考。风险系数的评估要尽可能全面的反映企业的信息平安管理体系，除了常规手段，也可以使用一些相应的软件工具的结果作为参考。另外很值得注意的是企业的员工对风险的理解，企业员工对他们所操作的

7、对象有比拟深刻的理解，对其中可能存在的缺乏也有自己的见解，在风险系数评估的过程中，可以进行一些员工的问卷调查等，把员工对风险的认识纳入风险评估的考虑范畴。企业的设备会老旧更换，员工也会更换，所以企业的信息平安是动态的，因此风险评估工作也要视具体情况定期进行，针对当前情况作评估报告，然后制定相应的风险处理方案。还有，之所以要建立信息平安管理体系，其中很重要的一点就是体系内各个模块的结合，信息平安管理体系的风险评估与关键内容的实时监控就应该结合起来。为了降低信息平安管理体系的风险系数，提升信息平安等级，要做的工作很多。渗透测试就是其中很有必要的一项工作。渗透测试是测试人员通过模拟恶意攻击者的攻击方式，来评估企业计算机网络系统平安的一种评测方法。这个测试过程会对系统的可知的所有弱点、技术方面的缺陷或者漏洞等