构建电力企业信息安全管理体系的探讨.pdf

2008年第 l0期 《贵州电力技术》 (总第 1l2期) 构建电力企业信息安全管理体系的探讨 西南民族大学计算机学院 罗 洪 杨 杰 [610041] 摘 要 随着 电力系统信息化的高速发展，信息安全对电力信息系统正常高效地运行具有重要意义。本文讨论了 电力信息安全的主要风险来源，阐述了在中小电力企业中参考PDCA模型建立信息安全管理体系的思路。 关键词 信息安全管理体系 PDCA 风险评估 制定通过 ISO／IECl7799—1：2000标准。BS7799—2 1 引言 在2002年也 由BSI进行了重新的修订。ISO组织 随着互联网技术的发展，公司、企业等组织的网 在2005年对 ISO17799再次修订，BS7799—2也于 络被黑客攻击导致机密信息泄露等信息安全问题 日 2005年被采用为 ISO／IEC27001：2005。 益突出，信息系统的安全已经成为人们高度关注的 ISO／IEC27001：2005是国际信息安全领域的重 社会性问题。伴随着电力行业 的改革和发展，电力 要标准，是建立信息安全管理体系(ISMS)的一套规 企业已建立起庞大复杂的电力调度数据网和综合信 范，其中详细说明了建立、实施和维护信息安全管理 息网，信息安全面临的危险同时也渗透到 电力企业 体系的要求，指出实施机构应该遵循的风险评估标 生产、经营的各个方面。电力系统的信息安全必然 准。一个组织的ISMS的设计和实施受业务需求和 对电力生产安全、经济安全产生重大影响，信息安全 目标、安全需求、所采用的过程 以及组织的规模和结 已成为影响电力安全生产和运行的重要因素之一， 构的影响。上述因素及其支持过程会不断发生变 因此在 电力企业参考有关标准和模型建立健全信息 化 。IS0／IEC27001：2005最终 目的在于帮助企业建 安全管理体系具有重要意义。 立、实施、运行、监视、评审、保持和改进适合 自身需 要的信息安全管理体系。 2 信息安全管理体系及标准 3 电力系统的信息安全风险的主要来源 信息系统安全的一种内涵定义为：确保信息内 容在各个物理位置、逻辑区域、存储和传输介质中， 近年来，我 国电力企业信息化得到长足发展， 处于动态和静态过程 中的机密性、完整性、可用性、 同时由于电力生产运行的特殊行业特点，在信息化 可审查性和抗抵赖性的，与人、网络、环境有关的技 方面具有相对其他行业更具优势的特征。如信息化 术和管理规程的有机集合…。从这个定义中我们 基础设施相对完善；电力生产、调度 自动化系统应用 可以看出。信息系统安全的最终 目标是确保信息的 成熟 ，电网的三级调度 100％实现了 自动化 ；电力营 机密性、完整性、可用性、可审查性和抗抵赖性，以及 销管理系统得到广泛应用；国家、南方 电网和各发电 信息系统主体对信息资源的控制。信息系统安全是 集团公司所属各级分、子公司开发了生产、设备、安 一 项复杂的系统工程 ，它的实现不仅是纯粹的技术 全监督、电力负荷、营销管理等企业管理信息系统。 方面向题 ，而且还需要法律、管理、社会因素的配合 ， 然而 目前中小电力企业信息安全管理方面也仍然存 从信息系统安全需求来看信息系统安全体系由技术 在较多问题 。如信息化机构建设 尚需进一步健全， 体系、组织体系和管理体系共同构建。 “三分技术 信息部 门未受到应有的重视 ；信息安全管理在电力 七