耿家明
内蒙古电力(集团)有限责任公司巴彦淖尔电业局 内蒙古 巴彦淖尔 015000
摘要:企业信息化管理系统必须满足:可用性、稳定性、保密性、可扩展性,这个四个基本要求。可在实际的运行过程中却常常出现系统意外停机、数据错误、数据丢失,甚至还有多系统无法有效集成等诸多问题。ISO/IEC27000系列国际标准信息安全管理理念为电网企业提高了有效的解决方案和最佳实践。本文具体论述在建设信息安全管理体系的过程中,实现风险的识别、风险评估、风险监控、风险应对,从而真正实现企业信息安全。
关键词:电网企业;信息安全;风险管理
引言
信息安全管理问题主要体现在制度和技术方面,信息安全管理工作具有较强的专业性,需要基于信息安全的视角,探究问题的根源,并采取针对性的措施,切实强化信息安全管理工作的开展。
1概述
信息安全风险管理是从满足信息系统对可用性、稳定性、保密性、可扩展性的需求出发,系统地分析网络与信息系统所面临的风险及其存在的薄弱点,评估安全事件可能造成的危害程度,提出防护对策和控制措施,防范和化解信息安全风险,或将风险控制在可接受的水平,为确定和调整信息安全管理体系的范围和边界,选择信息安全控制目表,制定适用性标准,提供依据。在组织实施信息风险管理的时候,首先要找出机构当中的信息系统所存在的漏洞,通过选择适当的步骤以明确整个机构的信息系统当中所组成的部分,有机整合与分析其有效性、完整性和机密性。风险管理首先要对自己内部的信息系统详细熟知,对存在的风险问题要进行主动识别和检查。其次要了解和分析来自于外部的风险威胁。
2电网企业信息安全管理现存问题
2.1网络信息安全基础薄弱
我国的信息化进程起步于20世纪80年代初,晚于西方国家,但发展速度却极快。信息化高速发展,信息技术不断深入并应用于各领域各行业之中。由于缺乏与之相匹配的科学技术和创新能力,再加上部分设备须引入国外技术,技术基础薄弱。
另外,企业的信息数据库建设不健全,安全网络不发达,物质基础也不够深厚,这就导致我国企业的信息安全基础脆弱,不堪重击。
2.2缺乏管理信息的安全技术人员
“三集五大”体系建设施行,电力企业不断发展,主营业务信息系统推广到了县级子公司。硬件设施配备齐全了,新的问题又随之出现。县级供电企业缺乏管理信息的安全技术人员,根本无法保护强大的网络信息系统。
2.3缺乏法律规范的强有力支持
新中国成立以来,针对企业信息安全管理,国家颁布了诸多法律,其中包括《中华人民共和国保守国家秘密法实施办法》、《中华人民共和国计算机信息系统安全保护条例》、《中国公用计算机互联网国际联网管理办法》、《中华人民共和国计算机信息网络国际联网暂行规定》、《中华人民共和国商用密码管理条例》等,但关于供电企业信息安全管理方面的法律却少之又少。供电企业发展一旦出现问题,会无章可循,进而陷入混乱的境地。
3信息安全的风险分析
3.1实施定量风险分析
实施定量风险分析是将已识别的风险和其他可能会对整体建设目标造成影响的不确定性来源进行定量分析的过程。这个过程的主要作用是,量化整体风险的敞口,并且提供额外的定量风险信息,用于支持后续的风险应对措施。执行定量风险分析通常会用到专业的风险分析工具,以及建立风险模型和计算风险影响的专业知识;另外这个过程还需要投入额外的时间和成本。所以这个定量分析一般是用于大型、复杂的系统,或者是对于企业具有战略价值的信息化系统。由于这种分析会将单个风险和其他不确定影响因素进行模型推演和统筹评估,是评估系统整体风险的惟一可靠方法,是降低后期风险的必要步骤。
3.2信息安全的风险监控
风险监控是在整个体系建设周期里,监控已制定好的风险应对计划的实施情况,对已识别的风险进行跟踪、确认是否有新的风险进行识别和风险,以及评估风险管理有效性的过程。
这个过程的主要作用是确定风险应对策略是否都是基于整体风险敞口,并未出现明显偏差。这个过程伴随着信息管理系统建设的整个周期,会一直反复地进行开展。
4信息安全的风险应对
4.1在信息安全管理设施上加大投入力度
在确保信息安全管理制度得到规范的基础上,还应配备专业的信息安全管理设施,以确保硬件正常运行。只有确保信息安全管理所需的硬件设施得到保护,并采取针对性的辅助措施,比如加强屏蔽电磁干扰信号和电力供应保障以及确保线路畅通等方面,加大对其的投入和完善,才能更好地确保数据信息存储介质变得更加安全。与此同时,还要做好数据信息安全备份,确保数据可恢复能力得到保障,尤其是一些机密文件,还要切实做好对其的加密管理。
4.2全面定位,搭建科学的安全管理平台
安全管理是企业生产管理的重要组成部分,与企业其他管理密切相关。搞好安全管理,对于改进企业管理,全面推进企业各方面工作意义非凡。究竟如何做好企业安全管理?企业可采取如下措施:
4.2.1管理方式技术化
管理过程中,企业可利用大数据技术,促进自身高速发展。但在大数据的使用上,一定要注意防范其中存在的安全风险,及时发现安全漏洞,迅速解决,提升信息安全性。
4.2.2管理措施细致化
企业安全管理涉及方方面面,管理者应多方面探寻发展运营中可能存在的安全问题,并根据自身的具体状况制定安全管理措施。
4.2.3评价流程标准化
企业应根据实际问题制定安全标准,并详细记录发展过程中存在的危害信息安全事件,根据事件的不同性质完善补充原定流程。
4.3加强培训,提高员工信息安全防范意识
4.3.1加强员工技能培训
现实生活中,员工操作不当造成企业信息泄露的事件时有发生,所以员工技能的高低,间接影响着企业信息管理。为推动企业信息安全建设,加强员工技能培训必不可少。为此,供电企业可投资建设多媒体教室,与市级省级供电企业合作,加强技术交流。也可邀请专家授课,集中播放优秀企业的录播课程,以此来造就一批精通专业知识的高科技人才。员工技能提高促进安全管理,对企业来说是一举两得的好事。
4.3.2加强员工信息安全意识培训
员工安全意识不足,造成企业损失的,根据情节严重程度,可能会触犯到《中华人民共和国网络安全法》、《个人金融信息保护技术规范》等法律法规。无论对于企业还是个人,安全意识都是重中之重。所以企业要发展,人员素质及安全意识一定得跟上。企业可结合员工技能培训,不定期组织员工观看信息安全管理方面的教育片,邀请业内知名人士来公司做安全报告,提高员工对信息安全的认识。另外,企业可以将员工安全意识列入考核范围,直接和薪资补贴挂钩,增强员工遵守信息安全制度的自觉性。
结语
在电网企业信息安全管理体系建立过程中,必须抓住风险管理这个核心,科学的、系统地分析网络与信息系统所面临的风险,有针对性地制定风险控制策略和风险控制措施,以便建立起完整的信息安全管理体系。通过采取合理的安全控制措施,以尽可能的降低漏洞被利用的可能性。从而可以保证信息系统的可用性、稳定性、保密性、可扩展性;更重要的是通过这种安全管理体系来持续地对信息安全管理进行优化和改进,实现信息系统的自我完善和与时俱进。
参考文献
[1]王志强,李建刚,吴国庆,等.电网企业信息安全管理体系建设[J].电信息化,2008,(3):26-29.
[2]陈贺,宫俊峰.浅析信息安全体系如何建立[J].中国管理信息化,2014,(1):74-75,76.
[3]董鑫,安文强.大数据时代企业信息安全管理体系分析[J].商讯,2020,(8):98-99.