黄波
国网江西省电力有限公司安义县供电分公司 江西省 安义县 330500
摘要:近几年,随着行业信息化建设逐步深入,伴随着OA办公自动化、ERP、卷烟生产经营决策管理和MES生产制造执行等系统相继投入使用,与生产经营息息相关的关键业务对信息系统的依赖程度越来越高,企业也逐步认识到信息安全的重要性,企业员工的安全意识也都得到逐步提高。行业也相继出台了烟草行业信息安全保障体系建设指南和各类信息安全制度,并通过这几年信息安全检查工作,促进企业的信息安全水平得到了进一步提高。
关键词:电网企业;信息安全;管理体系建设;风险管理
1导言
目前,电网企业对于信息化管理系统的依赖性时越来越强。企业信息化管理系统必须满足:可用性、稳定性、保密性、可扩展性,这个四个基本要求。可在实际的运行过程中却常常出现系统意外停机、数据错误、数据丢失,甚至还有多系统无法有效集成等诸多问题。ISO/IEC27000系列国际标准信息安全管理理念为电网企业提高了有效的解决方案和最佳实践。本文具体论述在建设信息安全管理体系的过程中,实现风险的识别、风险评估、风险监控、风险应对,从而真正实现企业信息安全。
2企业信息安全体系架构
在谈到信息安全时,大多数刚接触的人都比较疑惑,都说保障信息安全十分重要,那到底什么是信息安全呢?下面就简单介绍一下信息安全的概念以及企业的信息安全体系架构。
2.1信息
对企业来说,信息是一种无形资产,具有一定商业价值,以电子、影像、话语等多种形式存在,必须进行保护。
2.2信息安全
主要是指防止信息泄露、被篡改、被损坏或被非法辨识与控制,避免造成不良影响或者资产损失。
2.3企业信息安全体系架构
在保障企业信息安全过程中,信息安全技术是保障信息安全的重要手段。通过上文对企业信息安全现状的分析,不难看出企业信息安全体系主要分为技术、管理两个重要体系,进一步细分则涉及安全运维方面。
2.3.1信息安全技术体系作用
主要是指通过部署信息安全产品,合理制定安全策略,实现防止信息泄露、被篡改、被损坏等安全目标。信息安全产品主要是指实现信息安全的工具平台,如防火墙类产品、防攻击类产品、杀毒软件类产品和密码类产品等,而信息安全技术则是指实现信息安全产品的技术基础。
2.3.2信息安全管理体系作用
完善信息安全组织机构、制度,细化职责分工,制定执行标准,确保日常管理、检查等制度有效执行,最大程度发挥信息安全技术体系作用,确保信息安全相关保护措施有效执行。通过上文简单介绍,对信息安全以及信息安全系统有了大概了解。可以看出单纯借助技术或管理无法保障企业信息安全,因此,建立企业信息安全管理体系的重要性也就不言而喻。
3信息安全管理体系概念
3.1信息安全管理
运用技术、管理手段,做好信息安全工作整体规划、组织、协调与控制,确保实现信息安全目标。
3.2管理体系
体系是指相互关联和相互作用的一组要素,而管理体系则是建立方针和目标并实现这些目标的体系。
3.3信息安全管理体系(ISMS)
在一定组织范围内建立、完成信息安全方针和目标,采取或运用方法的体系。作为管理活动最终结果,包含方针、原则、目标、方法、过程、核查表等众多要素。
3.4建立信息安全管理体系的目的
作为企业总管理体系的一个子体系,目的是建立、实施、运行、监视、评审、保持和改进信息安全。
3.5信息安全管理体系涉及的要素
3.5.1信息安全组织机构
明确职责分工,确保信息安全工作组织与落实。
3.5.2信息安全管理体系文件
编制信息安全管理体系的方针、过程、程序和其他必需的文件等。
3.5.3资源
提供体系运转所需的资金、设备与人员等。
4信息安全的风险分析
在组织实施信息安全风险应对的过程当中,第一要坚持自主的原则。要组织企业内部的信息化管理人员展开信息安全风险评估,对内部存在的安全隐患快速排检,提出针对化的解决方案,以有效规避信息安全。第二要始终坚持适应量度的原则,一个灵活的评估过程可以适应不断变化的技术和进展。既不会因为受到当前威胁源的限制而导致模型出现不适应现象,也不会因为受到限制而导致最终的信息安全风险评估存在落实困难现象。第三,对已定义的过程展开信息安全评估,详细的描述信息安全评估程序依赖于已定义的标准化评估规程的需要。第四,连续过程的基础原则。机构必须实施基于实践安全策略和计划,以逐渐的改进自身信息系统的安全状态。
4.1实施定性风险分析
实施定性风险分析就是通过分析单个风险可能发生的次数、可能会造成的影响以及其他的特征或者因素,将这些已经识别的风险根据优先级、重要性或者其他评判指标进行排序,为后面的分析或者制定应对计划提供理论基础的一个过程。这个过程的主要重用是将这些优先级高、重要性高的风险进行重点关注,确定后期风险应对工作的重心。因为实施定性风险分析,是分析单个风险可能发生的次数、可能会对体系建设目标造成的影响以及其他的特征或者因素,来确定风险优先级的,所以这个分析方式会很强的主观性。为了确保定性分析的有效,就需要充分了解和管理好本过程的关键参与者对已识别风险所所持有的态度。风险的感知很可能会导致在分析风险时出现偏差,所以要注意找出这些偏见并且加以改正。另外,分析单个风险时所依据的信息质量,也可以帮助我们去澄清风险的优先级和重要性。
4.2实施定量风险分析
实施定量风险分析是将已识别的风险和其他可能会对整体建设目标造成影响的不确定性来源进行定量分析的过程。这个过程的主要作用是,量化整体风险的敞口,并且提供额外的定量风险信息,用于支持后续的风险应对措施。执行定量风险分析通常会用到专业的风险分析工具,以及建立风险模型和计算风险影响的专业知识;另外这个过程还需要投入额外的时间和成本。所以这个定量分析一般是用于大型、复杂的系统,或者是对于企业具有战略价值的信息化系统。由于这种分析会将单个风险和其他不确定影响因素进行模型推演和统筹评估,是评估系统整体风险的惟一可靠方法,是降低后期风险的必要步骤。
4.3信息安全的风险监控
风险监控是在整个体系建设周期里,监控已制定好的风险应对计划的实施情况,对已识别的风险进行跟踪、确认是否有新的风险进行识别和风险,以及评估风险管理有效性的过程。这个过程的主要作用是确定风险应对策略是否都是基于整体风险敞口,并未出现明显偏差。这个过程伴随着信息管理系统建设的整个周期,会一直反复地进行开展。
5结语
在电网企业信息安全管理体系建立过程中,必须抓住风险管理这个核心,科学的、系统地分析网络与信息系统所面临的风险,有针对性地制定风险控制策略和风险控制措施,以便建立起完整的信息安全管理体系。通过采取合理的安全控制措施,以尽可能的降低漏洞被利用的可能性。从而可以保证信息系统的可用性、稳定性、保密性、可扩展性;更重要的是通过这种安全管理体系来持续地对信息安全管理进行优化和改进,实现信息系统的自我完善和与时俱进。
参考文献
[1]常波.县级供电企业电网建设安全管理体系研究[D].华北电力大学(北京),2016.
[2]葛元鹏,蔡晓明,周晟,黄泰宁.电网企业信息安全防护体系建设[J].电子科技,2015,28(07):186-188.
[3]杨敏.企业信息安全管理体系建设的探讨[J].电子技术与软件工程,2013(24):238-239.
[4]柳少华,孙华,文勃.论企业信息安全管理体系建设[J].无线互联科技,2013(06):99-100.