電網企業保密與信息安全管理提升研究

1 引言

保密工作歷來是黨和國家的一項重要工作。在新的歷史時期，保密工作關系到深化改革、加快發展、維護穩定和保障民生的工作大局，是保證我國經濟社會發展持續健康發展，實現中華民族偉大復興的重要一環。隨著企業信息化建設的不斷推進，在為企業業務開展和日常運營帶來便利的同時，也使保密管理的對象、領域、內容、手段和環境等發生了很大變化：保密管理的范圍不斷擴大，涉密載體呈現多樣性，涉密活動日益頻繁，泄密渠道增多，竊密手段隱蔽性強。這些都對中央企業保密工作提出了新的更高的新要求。新形勢下，企業必須將傳統的保密工作與信息安全管理緊密結合，探索使兩者協同發揮彼此特長和優勢的有效途徑，互相支持、互為援護，共同構筑企業保密與信息安全的“鋼鐵長城”。

隨著電力企業信息化的不斷發展，保密與信息安全所面臨的各類風險也同時滲透到電力企業生產、經營的各個方面，信息安全問題已成為影響電力安全生產的重大問題之一。電網企業作為公用事業企業以及關系國民經濟命脈和國計民生的能源企業，運轉著世界上用戶規模巨大的信息系統，承擔的保密和信息安全責任十分重大，一旦出現泄密或安全事件，將嚴重影響到國家經濟社會和能源安全。特別是，隨著電網企業創新步伐的加快，電網企業的商業秘密也不斷增多，各類非密敏感信息數量迅速增長，如果對各類技術、經營信息等不予妥善保護，將嚴重影響到電網企業的核心競爭力和核心利益。

2 電網企業保密與信息安全管理存在的問題分析

目前，電網企業保密與信息安全工作存在如下主要問題：

一是保密與信息安全工作的戰略地位有待加強。目前保密工作在電網企業戰略管理中的地位與實際安全需求匹配程度不夠，保密工作的戰略地位亟待加強。信息化是一把雙刃劍，其在為企業發展帶來便利和高效的同時，也使企業面臨著前所未有的高強度泄密風險。失泄密安全事件一旦發生，不僅會對國家和電網企業造成極大的惡劣影響和損失，而且其損害后果難以挽回和彌補，具有不可逆性。這就決定了電網企業應當將保密與信息安全工作上升到戰略決策的高度，在制定和實施電網企業各項發展戰略時必須將保密與信息安全工作同時納入考慮，針對涉密事項制定完善的管理制度和周密的應對方案。

二是保密與信息安全的保護對象亟待擴張。對電網企業而言，國家秘密和商業秘密在日常生產經營中所占比重很小，而在這兩類秘密之外，還有著另外一類數量和規模更為龐大、能反映電網企業生產經營狀況的關鍵信息。這類關鍵信息雖因各種原因無法被界定為國家秘密或商業秘密，但其對電網企業的生存發展同樣具有舉足輕重的重要作用。當前，大數據等新型理念和方法的傳播，使得對數據的收集、匯總、分析變得越來越便利，而藉由數據的逆向推導，競爭對手和意圖不良者極可能輕易了解和掌握電網企業運營的全部過程和細節，無異于使電網企業完全暴露在公共視野中，其后果是十分可怕的，必須采取積極措施進行預防和應對。

三是保密與信息安全對新技術領域的管控力度不足。信息化時代，以云計算、物聯網、移動互聯網等為代表的一大批高新技術得到廣泛使用，給信息和數據的傳輸、存儲、使用、分析等各環節帶來了革命性變化。新技術的運用固然為企業發展帶來便利和助益，但如果缺乏對新技術運用的有效監管，企業面臨的失密泄密風險將會以幾何級數增長。

四是保密與信息安全與電網企業國際化戰略的整合不足。當前，電網企業正積極實行國際化戰略，通過參與國際競爭不斷提升電網企業的整體經營效益和國際影響力。就保密與信息安全工作而言，電網企業目前尚未針對海外業務形成常態化、規范性的管理制度體系，如不能很好地適應海外業務保密工作的特殊需求，將使電網企業保密工作在整體上存在缺陷和漏洞。保密與信息安全形勢是十分嚴峻的。

五是保密與信息安全的各項制度體系有待進一步完善。電網企業目前已經頒行了一系列關于保密工作的規章制度，現有保密與信息安全管理制度，尤其是針對保護范圍的擴張、海外保密與信息安全工作的開展等重要問題，尚缺乏相對應的具體管理制度，電網企業系統內也尚未形成完善的保密與信息安全管理制度、運維體系和技術體系。這些都要求電網企業在下階段工作中不斷進行深度研究和完善。

3 電網企業保密與信息安全工作的提升策略

電網企業保密與信息安全工作的完善在不同階段的工作重點各有所側重。從總體上看，保密工作重在建體系、布網絡、抓關鍵、常檢查、嚴考核。因此，為實現保密與信息安全管理的戰略目標，構建一體化管理體系，有必要做好如下幾方面重點工作。

一是提升電網企業保密與信息安全管理工作的戰略地位。在電網企業發展新階段，電網企業保密與信息安全工作也要邁上新臺階。在繼續發揮好保密工作對電網企業發展的“服務和保障”作用的同時，應當根據內外部形勢發展，從全局高度重新審視保密與信息安全工作，將其作為電網企業戰略體系的重要組成部分。由此，實現與其他重大業務在戰略層面的融合對接，從而為各項具體工作的開展、制度的落實奠定堅實基礎。

二是構建保密與信息安全一體化管理體系。借鑒資產全壽命周期理論和信息安全管理體系（ISMS），從主動預防、閉環管理、保密與信息安全緊密結合的基本原則出發，電網企業應當構建“橫向到底、縱向到邊”的一體化管理體系，形成安全網絡，將電網企業核心資源、核心業務以及日常運營的全過程均納入該體系的管控中。以現有組織體系和制度體系為基礎和依托，建立起包括安全管理制度、安全運維、安全技術三大模塊在內的電網企業保密與信息安全管理框架，落實“人防、物防、技防”的基本要求。對電網企業現有保密與信息安全管理機制進行梳理整合，做到分工合理、責任清晰、周延無縫。加強考核監督，定期或不定期開展保密與信息安全檢查，及時發現問題、查找漏洞、彌補缺陷，同時進一步完善考核激勵機制，更為注重通過獎懲結合的方式實現對人員行為的規范。探索將保密管理與單位和人員的績效考核相掛鉤的合理途徑。

三是拓展保密與信息安全保護對象范圍。要強化對關鍵和重要數據的全生命周期監管，從其產生伊始就采用技術手段進行跟蹤保護，制定相應制度規范數據的獲取、分析、存儲等行為，嚴格保證對數據的接觸和使用在適當范圍內進行。要有效防范不當泄露電網企業重要數據的行為，除傳統的涉密崗位和涉密人員外，凡因正當工作原因獲得電網企業關鍵或重要信息的人員，均因此而負有保密義務，必須遵守相應制度和守則，嚴禁泄密。

四是加強對新技術領域的保密與信息安全管理。云計算、云存儲、物聯網等各類新型信息技術的使用是大勢所趨，在享受其帶來的便利的同時，更要針對其特點加強保密與信息安全管理。電網企業在采購新技術服務時必須嚴格審查供應商背景及其提供的保密與信息安全方案，審慎選擇外包服務商，明確服務等級責任(SLA)，簽訂數據保密協議，不盲目信賴供應商，確保新技術服務風險可控[3]。在使用新技術服務時要加強監管，既要確保使用者的使用行為符合規范，也要確保技術服務本身的運行不會產生失密、泄密等情況。嚴格規范對云技術服務的使用，凡涉及國家秘密、商業秘密以及電網企業關鍵或重要數據等，一律禁止在系統外部云端進行存儲或處理。四是，積極開發電網企業自主的云端技術產品，尤其是私有云的建設，以更好地滿足電網企業運營需求、提升服務安全性。

五是強化國際及金融業務領域的保密與信息安全工作。要制定電網企業層面海外業務保密與信息安全的基本管理規定，就該項工作面臨的共性問題進行統一規范。應根據不同海外業務類別制定相應的具體管理規定，明確各項業務開展前和開展過程中就保密與信息安全所應采取的措施和方案。而在開展具體業務時，則應當嚴格按照有關規定評估海外業務保密與信息安全風險，制定相應的海外安全管理制度和事故應對方案，并對各項安全制度的執行情況進行定期檢查和嚴格監督。重點要對駐外機構、人員及業務流程進行嚴格監管，對機構選址、建設、維護，人員選派、聘用，業務交流、合作等各環節，都要制定細致、嚴格、系統的管理制度和行為守則，輔之以必要的技術手段，同時定期或不定期開展海外業務保密安全檢查，及時發現問題、查找漏洞、彌補缺陷，時時繃緊反泄密、竊密這根弦。

4 主要結論

在保密與信息安全結合日趨緊密的大趨勢下，必須充分發揮兩項傳統工作各自優勢，互為支撐、互相協調，探索保密與信息安全管理的新途徑。電網企業保密與信息安全管理工作應當與企業整體發展戰略和管理體系相協調。為使其在業務體系中更好地發揮作用，電網企業應當積極探索保密與信息安全一體化管理模式，將兩項職能進行充分整合，以強化工作力度、提升工作效率。