创新信息安全管理

1、 创新信息安全管理 上世纪90年月以来，嘉兴电力局逐步建立了办公自动化(OA)、SAP系统、营销管理、95598客户服务、负荷管理、PI数据库等诸多信息系统，企业信息化在平安生产、经营管理、优质服务中发挥了极其重要的作用。与此同时，信息平安的篱笆墙也越扎越紧，有效地防范了外部的攻击和内部管理失控带来的种种威逼。因此嘉兴电力局先后被中电联授予“信息化先进单位”、“信息化标杆企业”等光荣称号。2021年贯彻ISOIEC27001：2021信息平安管理标准，获得了挪威船级社DNV公司认证证书。 运用系统的思想和方法，查找信息平安管理的“短板”管理思想和方法落后。过去基本上是参照电网平安管理的一些传统

2、做法，没有体现信息化特点和要求，这样就越来越不适应信息系统的快速进展和变革。管理对象不够全面。以往只考虑硬件、软件，忽视了人、数据和文档、服务、无形资产等重要对象，对外来人员也缺乏有效的识别管理。管理制度不够系统。以前虽然制订了不少制度和标准，但随着信息化的进展，这些制度渐渐变得与现实要求不相适应。就事论事的管理方式必定会产生平安管理的盲区，有些制度内容重复、交叉、不全都，有些制度不切合实际，往往束之高阁。风险评估不够科学。以往的信息风险评估就事论事，不够系统，主观性过强，缺乏综合平衡，抓不住重点，易过度爱护，或产生管理死角，事后掌握多，事前预控少，不能涵盖信息系统的生命周期。上述情形是企业在

3、信息化建设中普遍感觉到比较迷茫的问题，随着科学技术的进步，企业信息运行管理模式也发生了巨大的变化，为企业采纳先进管理方式、建立信息平安管理体系打下了扎实的基础。为此，嘉兴电力局依据国际上信息平安管理的最佳实践，结合供电企业的实际，从信息平安风险评估管理人手，贯彻ISOIEC27001：2021信息平安管理标准，建立了信息平安管理体系。通过体系有效运作，达到了供电企业信息平安管理“预控、能控、可控、在控”的目的。从资产识别入手，搞好信息平安风险评估嘉兴电力局按信息平安风险评估掌握程序，对全部的资产进行了列表识别，并识别了资产的全部者。这些资产包括硬件与设施、软件与系统、数据与文档、服务及人力资源

4、。对每一项资产按自身价值、信息分类、保密性、完整性、法律法规符合性要求进行了量化赋值。在风险评估中，共识别资产2810项，其中确定的重要资产总数为312项，形成了重要资产清单。 图1重要信息资产按部门分布图 对重要的信息资产，由资产的全部者(归口管理部门)对其可能患病的威逼及自身的薄弱点进行识别，并对威逼利用薄弱点发生平安大事的可能性以及潜在影响进行了赋值分析，确定风险等级和可接受程度，形成了重要资产风险评估表。针对每一项威逼、薄弱点，对资产造成的影响，考虑现有的掌握措施，判定措施失效发生的可能性，计算风险等级，推断风险为可接受的还是需要处理的。依据风险评估的结果，形成风险处理方案。对于信息平

5、安风险，应考虑掌握措施与费用的平衡原则，选用适当的措施，确定是接受风险、避开风险，还是转移风险。嘉兴电力局经过风险评估，确定了不行接受风险84项，其中硬件和设施52项，软件和系统0项，文档和数据8项，服务0项，人力资源24项。 图2各类不行接受风险按系统分布图 依据风险评估的结果，对可接受风险，保持原有的掌握措施，同时按ISOIEC17799：2021信息技术平安技术信息平安管理实施细则和系统应用的要求，对掌握措施进行完善。针对不行接受风险，由各部门制定相应的平安掌握措施。制定掌握措施需要考虑风险评估的结果、管理与技术上的可行性、法律法规的要求，以期达到风险降低的目的。掌握措施的实施将从避开风

6、险、降低风险、转移风险等方面，将风险降低到可接受的水平。根据ISO标准要求，建立信息平安管理体系嘉兴电力局在涉及生产、经营、服务和日常管理活动的信息系统，按ISOIEC27001：2021信息技术平安技术信息平安管理体系要求规定，参照ISOIECl7799：2021信息技术·平安技术信息平安管理实施细则，建立信息平安管理体系，简称ISMS。确定信息平安管理体系掩盖范围，主要是依据业务特征、组织结构、地理位置、资产分布状况，涉及电力生产、营销、服务和日常管理的40个重要信息系统。信息平安管理的方针是：“全面、完整、务实、有效”。为实现信息平安管理体系方针，该局承诺：在各层次建立完整的信

7、息平安管理组织机构，确定信息平安目标和掌握措施，明确信息平安的管理职责，识别并满意适用法律、法规和相关方信息平安要求；定期进行信息平安风险评估，实行订正预防措施，保证体系的持续有效性，采纳先进有效的设施和技术，处理、传递、储存和爱护各类信息，实现信息共享；对全体员工进行持续的信息平安训练和培训，不断增加员工的信息平安意识和力量；制定并保持完善的业务连续性方案，实现可持续进展。根据信息平安管理方针的要求，制定的信息平安管理目标是：2级以上信息平安大事为零，不发生信息系统的中断、数据的丢失、敏感信息的泄密；不发生导致供电中断的信息事故；削减涉密有关的法律风险。嘉兴电力局依据风险评估的结果、企业的系

8、统现状和管理现状，根据ISOIEC27001：2021标准要求，整合原有的企业信息平安管理标准、规章制度，形成了科学、严密的信息平安管理体系文件框架，包括信息平安管理手册；信息平安风险评估管理程序、业务持续性管理程序等53个程序文件，制定了16个支撑性作业文件。运用过程方法，实施信息平安管理体系在信息平安管理过程中，重点是抓好人员平安、风险评估、信息平安大事、保持业务持续性等重要环节，实行明确职责、动态检查、严格考核等措施，使信息平安走上常态管理之路。 图3信息平安管理体系实施过程 重视信息系统平安管理。由于信息系统支撑着企业的各项业务，信息平安管理体系实施涵盖信息系统的生命周期，表现在信息系

9、统的软(硬)件购置、设备安装、软件开发和系统测试、上线、系统(权限)变更等方面，严格执行体系的相关掌握程序。 强化人员平安管理。在劳动合同、岗位说明书中，明确员工信息平安职责。特别岗位的人员规定特殊的平安责任，对信息关键岗位实行备案制度。对岗位调动或离职人员，准时调整平安职责和权限。定期对员工进行信息平安训练和技能培训、比武、考试。重视相关方管理。对软硬件供应商、服务商、保卫、消防、保洁等人员，明确平安要求和平安职责。签订保密协议、办理入网申请、进行入网训练等。识别客户、合作方、相关方、法律法规对信息平安的要求，实行措施，保证满意平安要求。建立信息平安的常态管理机制。对企业技术、业务目标和过程、已识别的威逼、实施掌握的有效性、外部大事变更状况应准时进行风险