ISOIEC270012005信息安全管理标准在电网公司的实践研究.pdfVIP

2007 年全国电力企业信息化大会论文集 ISO/IEC27001:2005 信息安全管理标准 在电网公司的实践 吴国庆 赵琳娣 （嘉兴电力局，嘉兴 314000 ） 摘要：电网企业的信息化已发展到相当高度，随着企业信息化的持续推进，信息安全问题越来越突出。嘉兴电力率 先开展信息集中化建设，信息化从专业级应用、部门级应用全面迈向企业级应用，信息化整合工作初见成效。与此 同时，传统的信息安全管理办法越来越不能适应信息化快速发展的要求。继04 年引入ITIL 服务管理以后，06 年嘉 兴电力又实现了信息安全的标准化管理，通过引入ISO/IEC 27001:2005，建立一体化的企业级信息安全管理体系，彻 底扭转了信息安全管理的被动局面。ITIL 和 ISO/IEC27001:2005 已经成为嘉兴电力信息化建设的强力保障。由于电 网企业管理模式的相似性，嘉兴的管理成果可以为同行起到很好的借鉴作用。 关键词：ISO/IEC 27001:2005、电网公司、实践 1 序言 1.1 电网公司信息化现状 经过多年建设，电网企业信息化取得了很大成就。信息化基础设施相对完善，本部主要岗位工作 人员使用计算机的比例接近 100％，本部局域网覆盖本部机关业务工作达90% 以上。电力调度自动化 系统应用成熟，省级电力调度机构全部建立了 SCADA 系统，电网的三级调度 100%实现了自动化。 电力营销技术支持系统得到广泛应用。信息化已覆盖主要的管理业务，建立了办公自动化系统、综合指 标查询系统，开发了计划统计管理、人事资源管理、生产管理、设备管理、安全监督管理、工程管理、财务管理 等应用系统为主要功能的网络化的企业管理信息系统，实现办公环境网络化和计算机化。2006 年初， 国网公司提出了“SG186”的信息化战略目标，从国网层面开始对信息化进行全面梳理。 2000 年开始，嘉兴电力率先开展信息集中化建设，主要系统全部集中于市局，县局只保留网络、 桌面计算机、业务应用。嘉兴电力信息化在覆盖主营业务的基础上，已逐步走向全面整合的阶段。以PI 实时/历史数据库为平台对采集类系统进行整合；以SAP 为中心对各种管理信息系统进行整合。 1.2 信息安全管理现状分析 广义地讲，电网企业的信息安全主要有三大块内容：1、企业保密；2、实时系统的安全；3、管理信息 系统的安全。企业保密工作一般由办公室（档案室）牵头来抓，实时系统一般由调度部门来抓，管理 信息系统一般由信息部门来抓。近年，电网公司加大了对保密工作的重视力度，先后出台了公司商密 的有关管理办法，进一步规范了商密的定级以及控制要求。在管理实践中，对涉密计算机（介质）的 管理相对比较薄弱，譬如设计部门会用到密级的测绘图源，为方便应用可能还有个解密的过程，由 于牵涉到的部门较多，易出现管理真空。实时系统进行了安全分区管理，相对封闭，与管理信息网采 171 2007 年全国电力企业信息化大会论文集 取了物理隔离措施，安全技术装备比较齐全，参照电网的管理经验，逐步建立起一套相对比较齐全 的管理制度。管理信息网的安全技术装备配置较全，安全管理相对比较薄弱，组织不够健全，责任不 够清晰，制度不够完善，多数单位的信息安全责任全部落在信息管理部门。随着主营业务对管理信息 化依赖性的不断加大，信息集中化程度不断提高，安全风险越来越大。 引入信息安全标准之前，嘉兴电力一直学习、参照传统电网的安全管理方法来管理信息安全。经过 多年努力，安全管理逐步进入有序状态。但与应用的安全需求相比，面对严峻的安全环境，现有措施 显然是远远不够的，安全管理还显被动，管理真空依然存在。 1.3 信息安全管理标准发展情况 信息安全不仅是一个技术问题,也是一个管理问题,这个观点已经在国际上被广泛认可:技术是手 段,而管理是基础。很多企业网络往往是部署了安全产品,但收效甚微,原因就是不重视管理体系的建设, 比如安全规章制度,安全流程,安全策略等等,一些企业单纯的依赖于安全产品, 以为部署了防火墙和入 侵检测系统就万事大吉,而在另外一些企业里，信息安全制度不是没有，也不是不完备，最大的问题 在于执行不力,也就是安全制度和