1、创新信息平安调研报告 上世纪九十年代以来,嘉兴电力局逐步建立了办公自动化(oa)、sap系统、营销管理、95598客户效劳、负荷管理、pi数据库等诸多信息系统,企业信息化在平安生产、经营管理、优质效劳中发挥了极其重要的作用。与此同时,信息平安的篱笆墙也越扎越紧,有效地防范了外部的攻击和内部管理失控带来的种种威胁。嘉兴电力局先后被中电联授予“信息化先进单位、“信息化标杆企业等荣耀称号。xx年贯彻iso/iec27001:xx信息平安管理标准,获得了挪威船级社dnv公司认证证书。 一、运用系统的思想和方法,查找信息平安管理的“短扳 随着企业信息化的快速开展,信息平安管理工作显得相对滞后。管理思想和
2、方法落后。过去根本上是参照电网平安管理一些传统做法,没有表达信息化特点和要求,越来越不适应信息系统的快速开展和变革;管理不够全面。以往只考虑硬件、软件,无视了人、数据和文档、效劳、无形资产等重要对象,对外来人员也缺乏有效的识别管理;管理制度不够系统。以前虽然制订了较多的制度和标准,当信息化开展到一定程度,这些制度就显得很薄弱,就事论事的管理方式必然会产生平安管理的盲区,有些制度内容重复、交叉、不一致,有些制度不切实际,往往束之高阁;风险评估不够科学。以往的信息风险评估不够系统,主观性过强,缺乏综合平衡,抓不住重点,或过度保护,或产生管理死角,事后控制多,事前预控少,不能涵盖信息系统的生命周期。
3、 上述情形是企业在信息化建设中普遍感觉到的问题。随着科学技术的进步,企业信息运行管理模式也发生了巨大的变化,为企业采用先进管理方式、建立信息平安管理体系打下了扎实的根底。为此,嘉兴电力局根据国际上信息平安管理的最正确实践,结合供电企业的实际,从信息平安风险评估管理入手,贯彻iso/iec27001:xx信息平安管理标准,建立了信息平安管理体系。通过体系有效运作,到达了供电企业信息平安管理“预控、能控、可控、在控的目的。 二、从资产识别入手,搞好信息平安风险评估 按信息平安风险评估控制程序,对所有的资产进行了列表识别,并识别了资产的所有者。这些资产包括硬件与设施、软件与系统、数据与文档、效劳及人
4、力资源。对每一项资产按自身价值、信息分类、保密性、完整性、法律法规符合性要求进行了量化赋值。在风险评估中,共识别资产282023项,其中确定的重要资产总数为312项,形成了重要资产清单。 图1.重要信息资产按部门分布图 对重要的信息资产,由资产的所有者(归口管理部门)对其可能遭受的威胁及自身的薄弱点进行识别,并对威胁利用薄弱点发生平安事件的可能性以及潜在影响进行了赋值分析,确定风险等级和可接受程度,形成了重要资产风险评估表。针对每一项威胁、薄弱点,对资产造成的影响,考虑现有的控制措施,判定措施失效发生的可能性,计算风险等级,判断风险为可接受的还是需要处理的。根据风险评估的结果,形成风险处理方案
5、。对于信息平安风险,应考虑控制措施与费用的平衡原那么,选用适当的措施,确定是接受风险、防止风险,还是转移风险。 嘉兴电力局经过风险评估,确定了不可接受风险84项,其中硬件和设施52项,软件和系统0项,文档和数据8项,效劳0项,人力资源24项。 根据风险评估的结果,对可接受风险,保持原有的控制措施,同时按iso/iec17799:xx信息技术-平安技术-信息平安管理实施细那么和系统应用的要求,对控制措施进行完善。针对不可接受风险,由各部门制定了相应的平安控制措施。制订控制措施主要考虑了风险评估的结果、管理与技术上的可行性、法律法规的要求,以期到达风险降低的目的。控制措施的实施将从防止风险、降低风
6、险、转移风险等方面,将风险降低到可接受的水平。 图2.各类不可接受风险按系统分布图。 三、按照iso标准要求,建立信息平安管理体系 嘉兴电力局在涉及生产、经营、效劳和日常管理活动的信息系统,按iso/iec27001:xx信息技术-平安技术-信息平安管理体系要求规定,参照iso/iec17799:xx信息技术-平安技术-信息平安管理实施细那么,建立信息平安管理体系,简称isms。确定信息平安管理体系覆盖范围,主要是根据业务特征、组织结构、地理位置、资产分布情况,涉及电力生产、营销、效劳和日常管理的40个重要信息系统。信息平安管理的方针是:“全面、完整、务实、有效。 为实现信息平安管理体系方针,
7、嘉兴电力局在各层次建立完整的信息平安管理组织机构,确定信息平安目标和控制措施,明确信息平安的管理职责;识别并满足适用法律、法规和相关方信息平安要求;定期进行信息平安风险评估,采取纠正预防措施,保证体系的持续有效性;采用先进有效的设施和技术,处理、传递、储存和保护各类信息,实现信息共享;对全体员工进行持续的信息平安教育和培训,不断增强员工的信息平安意识和能力;制定并保持完善的业务连续性方案,实现可持续开展。按照信息平安管理方针的要求,制订的信息平安管理目标是:2级以上信息平安事件为0;不发生信息系统的中断、数据的丧失、敏感信息的泄密;不发生导致供电中断的信息事故;减少涉密有关的法律风险。 嘉兴电
8、力局根据风险评估的结果、企业的系统现状和管理现状,按照iso/iec27001:xx标准要求,整合原有的企业信息平安管理标准、规章制度,形成了科学、严密的信息平安管理体系文件框架,包括信息平安管理手册;信息平安风险评估管理程序、业务持续性管理程序等53个程序文件,制定了16个支撑性作业文件。 四、运用过程方法,实施信息平安管理体系 在信息平安管理过程中,重点是抓好人员平安、风险评估、信息平安事件、保持业务持续性等重要环节,采取明确职责、动态检查、严格考核等措施,使信息平安走上常态管理之路。 图3:信息平安管理体系实施过程 重视信息系统平安管理。因为信息系统支撑着企业的各项业务,信息平安管理体系
9、实施涵盖信息系统的生命周期,表现在信息系统的软(硬)件购置、设备安装、软件开发和系统测试、上线、系统(权限)变更等方面,严格执行体系的相关控制程序。 强化人员平安管理。在劳动合同、岗位说明书中,明确员工信息平安职责。特殊岗位的人员规定特别的平安责任,对信息关键岗位实行备案制度。对岗位调动或离职人员,及时调整平安职责和权限。定期对员工进行信息平安教育和技能培训、比武、考试。 重视相关方管理。对软硬件供应商、效劳商、保卫、消防、保洁等人员,明确平安要求和平安职责。签订保密协议、办理入网申请、进行入网教育等。识别客户、合作方、相关方、法律法规对信息平安的要求,采取措施,保证满足平安要求。 建立信息平安的常态管理机制。对企业技术、业务目标和过程、已识别的威胁、实施控制的有效性、外部事件变更情况应及时进行风险评估。定期对信息平安进行定期或不定期的监督检查,包括日常检查、专项检查、技术性检查、内部审核等。xx年内审发现了57个不符合工程,及时进行纠正,解决了用户权限、a/b岗、第三方访问、机房管理等一些重点问题,从而保证了信息平安管理的质量,有效地防范了信息平安事件和事故的发生。
