創(chuàng)新信息安全管理

創(chuàng)新信息安全管理

上世紀90年代以來，嘉興電力局逐步建立了辦公自動化(oa)、sap系統(tǒng)、營銷管理、95598客戶服務、負荷管理、pi數(shù)據庫等諸多信息系統(tǒng)，企業(yè)信息化在安全生產、經營管理、優(yōu)質服務中發(fā)揮了極其重要的作用。與此同時，信息安全的籬笆墻也越扎越緊，有效地防范了外部的攻擊和內部管理失控帶來的種種威脅。因此嘉興電力局先后被中電聯(lián)授予“信息化先進單位”、“信息化標桿企業(yè)”等光榮稱號。2006年貫徹iso／iec27001：2005信息安全管理標準，獲得了挪威船級社dnv公司認證證書。

運用系統(tǒng)的思想和方法，查找信息安全管理的“短板”

管理思想和方法落后。過去基本上是參照電網安全管理的一些傳統(tǒng)做法，沒有體現(xiàn)信息化特點和要求，這樣就越來越不適應信息系統(tǒng)的快速發(fā)展和變革。

管理對象不夠全面。以往只考慮硬件、軟件，忽視了人、數(shù)據和文檔、服務、無形資產等重要對象，對外來人員也缺乏有效的識別管理。

管理制度不夠系統(tǒng)。以前雖然制訂了不少制度和標準，但隨著信息化的發(fā)展，這些制度逐漸變得與現(xiàn)實要求不相適應。就事論事的管理方式必然會產生安全管理的盲區(qū)，有些制度內容重復、交叉、不一致，有些制度不切合實際，往往束之高閣。

風險評估不夠科學。以往的信息風險評估就事論事，不夠系統(tǒng)，主觀性過強，缺乏綜合平衡，抓不住重點，易過度保護，或產生管理死角，事后控制多，事前預控少，不能涵蓋信息系統(tǒng)的生命周期。

上述情形是企業(yè)在信息化建設中普遍感覺到比較迷茫的問題，隨著科學技術的進步，企業(yè)信息運行管理模式也發(fā)生了巨大的變化，為企業(yè)采用先進管理方式、建立信息安全管理體系打下了扎實的基礎。為此，嘉興電力局根據國際上信息安全管理的最佳實踐，結合供電企業(yè)的實際，從信息安全風險評估管理人手，貫徹iso／iec27001：2005信息安全管理標準，建立了信息安全管理體系。通過體系有效運作，達到了供電企業(yè)信息安全管理“預控、能控、可控、在控”的目的。

從資產識別入手，搞好信息安全風險評估

嘉興電力局按《信息安全風險評估控制程序》，對所有的資產進行了列表識別，并識別了資產的所有者。這些資產包括硬件與設施、軟件與系統(tǒng)、數(shù)據與文檔、服務及人力資源。對每一項資產按自身價值、信息分類、保密性、完整性、法律法規(guī)符合性要求進行了量化賦值。在風險評估中，共識別資產2810項，其中確定的重要資產總數(shù)為312項，形成了《重要資產清單》。

圖1重要信息資產按部門分布圖

對重要的信息資產，由資產的所有者(歸口管理部門)對其可能遭受的威脅及自身的薄弱點進行識別，并對威脅利用薄弱點發(fā)生安全事件的可能性以及潛在影響進行了賦值分析，確定風險等級和可接受程度，形成了《重要資產風險評估表》。針對每一項威脅、薄弱點，對資產造成的影響，考慮現(xiàn)有的控制措施，判定措施失效發(fā)生的可能性，計算風險等級，判斷風險為可接受的還是需要處理的。根據風險評估的結果，形成風險處理計劃。對于信息安全風險，應考慮控制措施與費用的平衡原則，選用適當?shù)拇胧_定是接受風險、避免風險，還是轉移風險。

嘉興電力局經過風險評估，確定了不可接受風險84項，其中硬件和設施52項，軟件和系統(tǒng)0項，文檔和數(shù)據8項，服務0項，人力資源24項。

圖2各類不可接受風險按系統(tǒng)分布圖

根據風險評估的結果，對可接受風險，保持原有的控制措施，同時按iso／iec17799：2005《信息技術—安全技術—信息安全管理實施細則》和系統(tǒng)應用的要求，對控制措施進行完善。針對不可接受風險，由各部門制定相應的安全控制措施。制定控制措施需要考慮風險評估的結果、管理與技術上的可行性、法律法規(guī)的要求，以期達到風險降低的目的?？刂拼胧┑膶嵤谋苊怙L險、降低風險、轉移風險等方面，將風險降低到可接受的水平。

按照iso標準要求，建立信息安全管理體系

嘉興電力局在涉及生產、經營、服務和日常管理活動的信息系統(tǒng)，按iso／iec27001：2005《信息技術—安全技術—信息安全管理體系要求》規(guī)定，參照iso／iecl7799：2005《信息技術·安全技術—信息安全管理實施細則》，建立信息安全管理體系，簡稱isms。

確定信息安全管理體系覆蓋范圍，主要是根據業(yè)務特征、組織結構、地理位置、資產分布情況，涉及電力生產、營銷、服務和日常管理的40個重要信息系統(tǒng)。信息安全管理的方針是：“全面、完整、務實、有效”。

為實現(xiàn)信息安全管理體系方針，該局承諾：在各層次建立完整的信息安全管理組織機構，確定信息安全目標和控制措施，明確信息安全的管理職責，識別并滿足適用法律、法規(guī)和相關方信息安全要求；定期進行信息安全風險評估，采取糾正預防措施，保證體系的持續(xù)有效性，采用先進有效的設施和技術，處理、傳遞、儲存和保護各類信息，實現(xiàn)信息共享；對全體員工進行持續(xù)的信息安全教育和培訓，不斷增強員工的信息安全意識和能力；制定并保持完善的業(yè)務連續(xù)性計劃，實現(xiàn)可持續(xù)發(fā)展。按照信息安全管理方針的要求，制定的信息安全管理目標是：2級以上信息安全事件為零，不發(fā)生信息系統(tǒng)的中斷、數(shù)據的丟失、敏感信息的泄密；不發(fā)生導致供電中斷的信息事故；減少涉密有關的法律風險。

嘉興電力局根據風險評估的結果、企業(yè)的系統(tǒng)現(xiàn)狀和管理現(xiàn)狀，按照iso／iec27001：2005標準要求，整合原有的企業(yè)信息安全管理標準、規(guī)章制度，形成了科學、嚴密的信息安全管理體系文件框架，包括信息安全管理手冊；《信息安全風險評估管理程序》、《業(yè)務持續(xù)性管理程序》等53個程序文件，制定了16個支撐性作業(yè)文件。

運用過程方法，實施信息安全管理體系

在信息安全管理過程中，重點是抓好人員安全、風險評估、信息安全事件、保持業(yè)務持續(xù)性等重要環(huán)節(jié)，采取明確職責、動態(tài)檢查、嚴格考核等措施，使信息安全走上常態(tài)管理之路。

圖3信息安全管理體系實施過程

重視信息系統(tǒng)安全管理。因為信息系統(tǒng)支撐著企業(yè)的各項業(yè)務，信息安全管理體系實施涵蓋信息系統(tǒng)的生命周期，表現(xiàn)在信息系統(tǒng)的軟(硬)件購置、設備安裝、軟件開發(fā)和系統(tǒng)測試、上線、系統(tǒng)(權限)變更等方面，嚴格執(zhí)行體系的相關控制程序。

強化人員安全管理。在勞動合同、崗位說明書中，明確員工信息安全職責。特殊崗位的人員規(guī)定特別的安全責任，對信息關鍵崗位實行備案制度。對崗位調動或離職人員，及時調整安全職責和權限。定期對員工進行信息安全教育和技能培訓、比武、考試。

重視相關方管理。對軟硬件供應商、服務商、保衛(wèi)、消防、保潔等人員，明確安全要求和安全職責。簽訂保密協(xié)議、辦理入網申請、進行入網教育等。識別客戶、合作方、相關方、法律法規(guī)對信息安全的要求，采取措施，保證滿足安全要求。

建立信息安全的常態(tài)管理機制。對企業(yè)技術、業(yè)務目標和過程、已識別的威脅、實施控制的有效性、外部事件變更情況應及時進行風險評估。定期對信息安全進行定期或不定期的監(jiān)督檢查，包括日常檢查、專項檢查、技術性檢查、內部審核等。嘉興電力局2006年內審發(fā)現(xiàn)了57個不符合項，及時進行糾正，解決了用戶權限、a／b崗、第三方訪問、機房管理等一些重點問題，從而保證了信息安全管理的質量，有效地防范了信息安全事件和事故的發(fā)生。