风险管理技术在电网企业信息安全管理中的应用研究.pdfVIP

风险管理技术在电网 企业信息安全管理中的应用 章敏 (龙岩电业局，福建龙岩364000) 摘要：将企业信息安全管理体系的建立纳入企业安全生产管理的战略之中，以“安全第一，预防为主，综合 治理”为安全生产指导方针来构建绿色电力IT，突出领导重视，全员参与，应用现代项目管理和质量控制方法 和手段，通过全过程的风险管理，采取主动的防御策略，有效识别信息安全风险，建立现代质量管理PDCA循 环工作方式，实现只有起点、没有终点的持续改进，进而完善企业信息安全，切实做到信息安全风险可控、能 控和在控。 关键词：电力信息化；信息安全；风险管理 险的“可控、在控”，为企业和组织减少因信息安全 0 引言 事故造成的经济损失和负面影响，为企业带来经济 效益和社会效益。 经过近10余年信息化建设和不断持续提升，国 家电网公司所属企业的信息化水平和网络规模已 目前，在企业组织中实现信息安全主要是从管 经达到一个崭新的阶段，在电网生产运行和管理业 理和技术2方面着手，管理层面和技术层面互相配 务运作等方而发挥着巨大的作用，企业对网络系统 合，是实现信息安全的最为有效途径。其中，信息 和信息资源的依赖性越来越大，一方面信息系统和 安全技术通过采用和建立具有安全的主机系统和 信息资源已经成为企业生产经营的重要资产，在提 网络系统以及软件系统，并配备适当的安全产品来 高组织工作效率和效能以及安全生产上发挥着重 实现；在管理层面，则通过构建信息安全管理体系 要的作用；另一方面由于计算机网络技术的迅猛发 来实现。但是，现阶段信息安全的问题在于管理与 展带来的信息安全问题正变得日益突出。企业管 技术严重脱节，长期以来，在信息安全工作上存在 理和业务运作过程而临大量的安全风险，安全形势 “重技术，轻管理”，信息安全也一直被视为单纯的 越来越严峻。其风险主要来源于组织管理、网络系 技术问题，一般归口信息技术部门独立管理，i午多 统、信息系统、基础设施等方面固有的薄弱环节，以 高级管理层还没有真正认识到信息安全管理的重 及在企业组织内部和外部的各种威胁，因此，电网 要性，缺少企业组织信息安全的整体策略，未能和 企业有必要对信息系统加以更为严格的管理和妥 无法正确地识别各种信息安全风险，以为花高价 善保护，即必须实施和加强有效的信息安全管理和 钱安装了一个防火墙、再增加登录密码等，企业信 应用信息安全技术。 息系统和信息资源就可以高枕无忧了。而企业一 旦出现信息安全事故被攻击或被破坏，要么是企 1 电力企业信息安全管理概述 业根本浑然不知，要么就是发现被破坏却又无从 信息安全管理一般包括制定信息安全政策、风 防范，不仅造成巨大损失，甚至危及企业和社会。 险评估、目标控制、制定规范、安全培训等一系列工 电网企业要改变这种状况，必须把信息安全管 作，通过在安全方针制定、安全组织、资产管理、人 理与安全生产管理的企业安全战略相结合，认真以 员安全、网络安全、访问控制管理、系统开发和维护 “安全第一，预防为主，综合治理”的安全生产方针 管理、业务持续性管理和符合法律法规