ISOIEC信息安全管理标准在电网企业中的应用.pdfVIP

第 3 1 卷 　第 14 期 Vol . 3 1 　No . 14 2007 年 7 月 25 日 　 　 　 　 　　　　　 J uly 25 , 2007 107 ISO/ IEC 信息安全管理标准在电网企业中的应用 沈曙明 (浙江嘉兴电力局 , 浙江省嘉兴市 3 14000) 摘要 : 随着信息技术被广泛地应用于电力行业 ,信息已经成为现代供电企业的一种重要资产 , 网络 与信息安全问题越来越引起人们的关注 。解决网络与信息安全问题不仅要从技术方面着手 , 同时 更应加强其管理工作 。嘉兴电力引入 ISO/ IEC 17799 和 ISO/ IEC 2700 1 这 2 个信息安全管理标 准 ,对网络与信息安全进行全面规划 ,建立信息安全管理体系 ,通过系统的信息安全管理方法来实 现信息安全的可控 、能控 、在控 ,成效显著 。 关键词 : 信息安全管理 ; ISO/ IEC 17799 ; ISO/ IEC 2700 1 ; 风险评估 ; 标准化 ; 供电企业 中图分类号 : TM73 0 　引言 2 　基于风险评估确定组织的信息安全要求 电力安全事关社会稳定 、地方经济发展和人民 风险评估是风险分析和风险评价的整个过程 , 安居乐业 。在科学技术 日益发展的今天 ,信息和信 是对信息和信息处理设施的威胁 、影响、薄弱点以及 息系统已经成为现代供电企业的一种重要资产 ,其 这三者发生的可能性的评估 ,是识别信息安全风险 安全与电力安全直接相关 。为防止由于信息系统的 并确认其大小的过程 。 中断、数据的丢失 、敏感信息的泄密所导致的供电中 风险评估是 ISM S 建立的基础 ,是组织平衡安 断或事故的发生 ,浙江省嘉兴电力局作为国家电网 全风险和安全投入的依据 ,也是 ISM S 测量业绩 、发 公司首家开展国际信息安全标准认证的试点单位 , 现改进机会的最重要途径 。信息安全管理实际上是 旨在通过贯彻 ISO/ IEC 信息安全标准的途径 ,在信 风险管理的过程 ,风险管理的基础是风险识别与评 息的保密性 、完整性 、可用性的保持和维护上 ,进行 估 。 有益的尝试 ,取得了很好的效果 。 2 1 　风险评估的方法[ 45] 在 ISM S 所要求的风险评估中 , 目前大多依据 1 　ISO/ IEC 信息安全标准的引入[ 13] 国际、国内的风险评估标准和方法 ,如中国国家标准 嘉兴电力在保护信息安全方面 , 引入 了 ISO/ 《信息安全风险评估指南》、《信息安全风险管理指 IEC 17799 :2005 《信息技术—安全技术—信息安全管 南》、美国的 N IST SP80030 、加拿大的综合风险管 ( ) 理实施细则》和 ISO/ IEC 2700 1 :2005 《信息技术— 理框架 IRM F 等 。在风险评估和风险管理方法被 安全技术—信息安全管理体系—要求》这 2 个国际标 应用的过程中 ,评估时间、力度以及具体开展的深度 准 。 应与组织的环境和安全要求相称 ,根据不同的信息 ISO/ IEC 17799 :2005 提供了一套综合的、由信 系统 ,分别采用定性方法 、定量方法和定性与定量相