淺析地市級電網企業信息安全風險內控管理體系建設

蔣友志

（長沙電業局，湖南 長沙410015）

科技高速發展的今天，電網企業中的信息技術也在快速發展，要讓電網安全、穩定運行，信息系統起到了重要作用。但是從使用現狀來看，現在電網企業的信息安全技術雖然有了較大的提高，如防病毒系統、防火墻、入侵檢測系統等，但是這些措施并不能全方位地確保電網信息系統的安全。俗話說：三分技術七分管理，在電網信息安全管理中絕不能忽視了人為因素，還必須加強相關工作人員的安全意識、安全行為以及防范意識，構建出一套完善的安全管理體系，這才是解決電網運行安全隱患的根本措施。

1 信息安全體系建立的意義

信息安全管理體系ISMS（Inf or mation Securitr y Manage ment Systems）是指在特定的或整體范圍內組織建立信息安全的目標和方針，以及完成這些目標所要用到的方法及系統。整個體系是以業務風險方法為基礎，對組織內信息安全系統進行持續改進，主要包括建立、實施、運行、監視、評審和改進等過程。

建立完善的信息安全管理體系在企業的安全管理以及企業發展中都存在著重大的意義。首先，提高企業員工的信息安全意識需要一個完整的安全管理體系，如何提高企業信息安全管理的水平，增強企業自身抵御災難性突發事件的能力，在企業信息化完善的過程中顯得尤為重要，加強信息管理工作實現其安全性、可靠性，為企業的業務壯大及發展提供有力的保障。其次，建設信息安全管理體系，提高企業對企業信息安全的控制力，通過風險評估與等級保護相結合，更加科學有效地發揮信息安全管理的作用。最后，企業在成長為國際化的過程中，需要有完整信息安全管理體系，為企業與國際化接軌提供有力的后支撐。

2 建設該體系的依據

事實上，在20世紀末電網企業就引進了ISO9001系列的質量管理標準，通過這些標準來完善與管理電網企業的信息安全，進一步確保電網正常運行。這樣做不但提升了電網企業的管理質量標準，還增強了其質量管理體系，進而全面提升了電網企業的信息安全管理水平。

在現階段，電網企業建設信息安全管理體系ISMS首先要選好依據。目前有ISO 15408、FIPS140、COBIT、ISO／IEC 13335、ISO／IEC27001、ISO／1EC 27002（17799）等標準。參照國家電網公司最新的相關規定，適合采用ISO／IEC 27001、27002，該標準規定了為適應不同組織及其下屬部門的需要而定制的安全控制措施的實施要求，采用了“規劃（Plan）－實施（Do）－檢查（Check）－處置（Act）”（PDCA）模型（如圖1）。

圖1 PDCA模型

3 建設該體系采用的方法

ISMS的主導思想是預防控制為主，遵守國家相關信息安全法規，強調動態控制全過程，立足于控制風險平衡、控制費用的基本出發點，達到以合理安全控制方式來保護組織的關鍵信息資產，保證組織信息的可用性、完整性和保密性。

地市級電網企業按照ISO／IEC 2700l標準來建立ISMS時，需要將標準中的那些原則性建議與企業自身的實際情況相結合，進而構建出合適的ISMS。這無疑是一項具備極大挑戰性的任務。但總的來講，可以參照圖2進行。

圖2 基本建設過程和內容

主要內容包括：

（1）現狀調研：對企業信息系統安全等級、主要業務、供電服務區域等進行調研，找出現行信息安全管理體系與ISO／IEC 27001的差距，并根據差距分析結果，制定出詳盡的實施工作計劃；

（2）風險評估：參考國家及國際標準和電網企業評估規范對企業內與信息安全相關的資產進行風險評估，重點關注業務系統安全評估；

（3）風險分析：對電網企業信息安全事件導致的經濟損失、負面影響等進行分析，編制適應性文件；

（4）整合現有管理體系：對電網企業目前已有的質量體系、IT服務管理體系等進行有效整合，進而提升工作效率；

（5）體系建立與實施：根據企業實際情況，確定ISO／IEC27001：2005條文要素流程及控制要求，建立符合標準的管理體系；

（6）評審和循環改進：在規定范圍內試運行已制定體系，檢驗該體系中文件的有效性和可行性，并進行改進。在這個階段，必須對所制定的業務持續性計劃進行演練來檢驗制定體系；同時企業內部的信息安全審核工作也要同步進行；

（7）認證輔導：在達到國家電網公司要求的咨詢公司的協助下準備申請認證所需的各種材料。

4 案 例

長沙電業局是湖南省電力公司所屬地市級電網企業，目前正在開展建立基于ISO／IEC27001標準的信息安全風險內控管理體系的課題研究。在課題研究過程中發現，地市級供電企業在信息安全管理方面，與國家標準、國際化標準都相差甚遠，主要表現為以下幾個方面：

（1）理念差距。雖然我們在信息系統運行、維護、管理的過程中采取了一些安全管理措施，但有些還是參照傳統的電網安全管理，局限性非常明顯，與高標準的信息安全管理體系要求還存在著不小的差距。

（2）對象管理不全面。信息安全管理的側重點在于硬件和軟件，對于企業人員、文檔、數據、服務等無形資產的管理不夠重視，缺乏系統性、全面性，缺乏有效的措施和分析管理，其中對于外來人員的管理，在信息系統中被忽視，為企業帶來很大的安全隱患。

（3）管理制度不完備。隨著企業信息化的發展，我們也制訂了相關的信息安全管理制度和執行標準?？墒请S著信息化的發展，制度的不完善和漏洞逐漸顯現出來，形成了管理的盲區。

（4）風險評估不全面。在以往對電網企業進行信息風險評估時，缺乏相應的綜合平衡，也沒有一個側重點，造成過度保護，進而出現了管理上的死角，致使做不到事前預測和閉環管理。因此這種風險上的管理，就只能夠起到一個臨時性的防護，缺乏了系統性、持續性的改進機制。

隨著SG186工程的發展，一體化平臺和八大業務系統的相繼部署及深化應用，完備ISMS體系的建立也顯得越發重要起來。因此電網企業需要比照ISO／IEC27001：2005標準體系，把標準中提供的原則性的建議與供電企業自身的實際情況相結合，按照圖2所示的信息安全管理體系基本建設過程和內容，構建起符合自身狀況的信息安全管理體系，這樣才能夠全面確保網絡、數據庫、信息系統以及客戶資料等各種信息的安全，才能夠系統地改進電網企業的信息安全管理水平，進而確保電網企業安全、持續地將電力輸送到目的地。

［1］ 中國標準出版社第四編輯室.信息安全標準匯編：信息安全管理卷［S］.北京：中國標準出版社，2008.

［2］ 張澤虹，趙東梅.信息安全管理與風險評估［M］.北京：電子工業出版社，2010.

［3］ 向 宏，傅 鸝，詹榜華.信息安全測評與風險評估［M］.北京：電子工業出版社，2008.

［4］ Sari Ster n Greene，著.陳宗斌，等譯.安全策略與規程［M］.北京：清華大學出版社，2008.