供电企业信息安全多标准合规管控体系研究与实践.pdfVIP

实践与经验 文章编号 ： （ ） ： 1007-1423 2015 18-0046-05 DOI 10.3969/j.issn.1007-1423.2015.18.011 供电企业信息安全多标准合规管控体系研究与实践 邓雄荣 （广东电网公司东莞供电局 ， 东莞 523000 ） 摘要 ： 结合供电企业实施合规管控过程中遇到的典型问题 ，如信息安全等级保护测评 、IT 治理 、安全督查 、一体化风险评估 、 入网安评 、安全基线核查各种标准的关注点 、执行单位 、检查要求各不相同 ，供电企业在一段时间内面临着多个单位 不同要求或不同标准的检查 信息安全加固工作应接不暇 安全人员容易疲于奔命的问题 提出多标准合规管控的概 ， ， ， 念 探寻一条可以减轻合规管控过程中工作繁重 重复的道路 研究一种把多个合规标准整合和统一的方法论 ， 、 ， 。 关键词 ： 信息安全 ； 合规管控 ； 多标准 ； 安全加固 ； 体系文件 1 信息安全合规重要性 的强制性 。 电力行业是国民经济的基础产业 ， 电力供应的有 3 电力行业信息安全合规管控遇到的难题 效保证关系到国计民生 ， 该行业也是应用信息技术较 和挑战 早的行业之一 ， 从应用的过程来看已先后经历了生产 （1）检查单位多 、标准不一 过程自动化 、 专项业务应用 、 管理信息系统等三个阶 目前 供电企业经常面临着诸 如安全等级保护 ， 、 IT 段 。 经过多年的持续投入 ，目前供电企业信息化建设已 治理 、安全督查 、一体化风险评估 、入网安评等合规标 经取得长足进步 ，正向信息化企业不断迈进 。 供电企业 准的检查和执行问题 。 以上检查标准的关注点 、执行单 对于信息系统的 依赖已经深入到电力生产的 各个 层 位 、检查要求各不相同 。 面 ， 同时对于信息系统安全合规性管理的需求日益凸 （2 ）检查手段 、结果重复 显 ，如何保障信息系统运维的规范化 、标准化与安全稳 每年国家 、 行业或上级单位会定期下发相关检查 定 ，应不断加强信息系统的安全合规性管理 ，使信息系 要求 ，并通 过现场检查 、远程 扫描 、配置核查 、渗透测试 统更好地为企业战略服务 ，增强企业的核心竞争力 ，是 等手段对供电企业进行合规性安全检查 ， 检查内容和 当前供电企业信息化建设需要重点关