电力企业信息安全管理体系分析研究.docVIP

电力企业信息安全管理体系分析研究 　　【 摘 要 】 电力企业里的人员众多，设备众多，为了保障企业的正常运转，就需要系统化的管理。而在整个企业的管理系统中非常重要的一环就是信息安全管理体系。论文主要对信息安全管理体系建设中的重要环节、重要技术等进行分析，并特别介绍了信息安全管理体系中防病毒软件的部署，来加深对信息安全管理体系的认识。 中国论文网 /8/view-7178064.htm 　　【 关键词 】 信息安全；电力企业；风险评估；管理模式 　　1 引言 　　在如今的信息化社会中，信息通过共享传递实现其价值。在信息交换的过程中，人们肯定会担心自己的信息泄露，所以信息安全备受关注，企业的信息安全就更为重要了。但是网络是一个开放互联的环境，接入网络的方式多样，再加上技术存在的漏洞或者人们可能的操作失误等，信息安全问题一刻不容忽视。尤其是电力，是国家规定的重要信息安全领域。所以电力企业要把信息安全管理体系的建设，作为重要的一环纳入到整个企业管理体系中去。 　　2 电力企业信息管理体系建设的依据 　　关于企业的安全管理体系方面的标准有很多。英国BSI/DISC的BDD信息管理委员会制定的安全管理体系主要包含两个部分内容：信息安全管理实施规则和信息安全管理体系规范。信息安全管理实施规则是一个基础性指导文件，里面有10大管理项、36个执行的目标和127种控制的方法，可以作为开发人员在信息安全管理体系开发过程中的一个参考文档。信息安全管理体系规范则详细描述了在建立、施工和维护信息安全管理体系过程的要求，并提出了一些具体操作的建议。 　　国际标准化组织也发布了很多关于信息安全技术的标准，如ISO x系列、ISO/IEC x系列等。我国也制定了一系列的信息安全标准，如GB 15851―1995。 　　关于企业信息安全管理体系方面的标准众多，如何针对企业自身实际情况选择合适的参考标准很重要，尤其是电力企业有着与其他企业不同的一些特殊性质，选择信息安全体系建设的参考标准更要谨慎。我国电力企业已经引入了一些国际化标准作为建立和维护企业运转的保证，关于信息安全体系的标准也应纳入到保证企业运转的一系列参考中去。电力企业总体应有一致的安全信息管理体系参考标准，但是具体地区的公司又有着本身自己的特殊环境，所以在总体一致的信息安全标准的情况下，也应该根据企业自身地区、人文、政策等的不同制定一些企业内部自己信息安全标准作为建立、实施和维护信息安全管理体系的依据。信息安全管理体系顾全大局又要有所侧重的体现电力企业安全标准的要求。 　　3 信息安全管理体系里的重要环节 　　3.1 硬件环境要求 　　信息安全管理体系并没有特别要求添加什么特别的设备，只是对企业用到的设备做一些要求。电力企业一般采用内外网结合的方式，内外网设备要尽量进行物理隔离。企业每个员工基本都有自己的移动设备，如手机等，为了增加信息安全的系数，企业可以限制公司设备的无线网络拓展。另外，实时监控系统也应该覆盖企业的重要设备，监控硬件设备的安全。 　　3.2 软件环境要求 　　在企业设备（主要是计算机）上部署相关软件环境是信息安全管理体系中最重要的部分。比如防病毒软件的部署、桌面系统弱口令监控软件的部署等，以此防止网络攻击或者提高安全系数。另外，企业设备所用系统的安全漏洞修复、数据的加密解密、数据的备份恢复及数据传输通道的加密解密等问题，都在信息安全管理体系设计的考虑范畴。 　　3.3 企业员工管理 　　尽管现在一直倡导智能化，但是企业内进行设备等操作的主体还是员工。不管是对设备终端操作来进行信息的首发，还是对企业软硬件系统进行维护工作，都是有员工来进行的。所以，对企业内部员工进行信息安全培训，提高员工的信息安全防范意识，让员工掌握一定的信息安全防范与处理手段是非常重要的事情。针对不同的职位，在员工上岗前应该进行相关的信息安全方面的培训，然后对培训结果进行考核，不合格的人员不准上岗。在岗的人员也要定期进行培训与考核。另外，如果有条件的话，企业应该定期（例如每年）进行一次信息安全的相关演习。 　　另外，电力企业有些项目是外包给其他相应公司的，这时候会有施工人员和驻场人员在电力企业，对这些人员也应该进行电力企业信息安全的培训。 　　3.4 信息安全管理体系的风险系数评估 　　风险评估在信息安全管理体系中是确定企业信息安全需求的一个重要途径，它是对企业的信息资产所面临的威胁、存在的弱点、造成的影响，以及三者综合作用下所带来的风险可能性的评测。风险评估的主要任务是：检测评估对象所面临的各种风险，估计风险的概率和可能带来的负面影响的程度，确定信息安全管理体系承受风险的能力，确定不同风险发生后消减和控制的优先级，对消除风险提出建议。在信息安全管理体系的风险系数评估过程中，形成《风