電力企業(yè)信息安全保障體系規(guī)劃設(shè)計(jì)思路初探

肖鵬

摘 要 隨著信息技術(shù)的飛速發(fā)展，我國(guó)的智能電網(wǎng)行業(yè)發(fā)展迅速，電力信息化發(fā)展步伐不斷加快，電力企業(yè)信息安全受到廣泛關(guān)注。本文主要對(duì)電力企業(yè)信息安全系統(tǒng)進(jìn)行現(xiàn)狀分析，并提出了相應(yīng)的安全保障系統(tǒng)規(guī)劃設(shè)計(jì)思路，以提高電力企業(yè)信息的安全保障系數(shù)。

關(guān)鍵詞 電力企業(yè) 信息安全 安全管理 安全保證體系 設(shè)計(jì)思路

0前言

近年來(lái)，我國(guó)電力系統(tǒng)相關(guān)部門(mén)發(fā)布了一系列電力系統(tǒng)信息安全的政策及法規(guī)，各級(jí)電力企業(yè)充分認(rèn)識(shí)到了企業(yè)信息系統(tǒng)安全，并越發(fā)重視電力信息安全問(wèn)題，不斷在加強(qiáng)對(duì)企業(yè)信息的管理。但由于諸多因素的影響，如企業(yè)員工安全意識(shí)不足、安全技術(shù)限制、安全管理機(jī)制較差等因素，電力信息系統(tǒng)安全仍然受到較多的威脅。因此，完善安全管理體系并進(jìn)行系統(tǒng)的安全規(guī)劃，建立系統(tǒng)的安全管理規(guī)章制度，是電力企業(yè)進(jìn)行企業(yè)信息安全管理的首要任務(wù)。完善的企業(yè)信息安全保障體系，有利于電力企業(yè)開(kāi)展有效的信息安全管理工作。

1電力信息安全保障體系規(guī)劃設(shè)計(jì)思路與方法

1.1明確企業(yè)信息安全工作目標(biāo)

“建立健全網(wǎng)絡(luò)與信息安全保障體系和工作責(zé)任體系，提高網(wǎng)絡(luò)與信息安全防護(hù)能力，保障網(wǎng)絡(luò)與信息安全， 促進(jìn)信息化工作健康發(fā)展。”是電力行業(yè)網(wǎng)絡(luò)與信息安全的工作總目標(biāo)。各級(jí)電力企業(yè)信息安全工作則是進(jìn)一步細(xì)化落實(shí)行業(yè)信息安全工作，對(duì)企業(yè)內(nèi)部信息安全進(jìn)行組織分工，明確各崗位職責(zé)，實(shí)施安全責(zé)任制。企業(yè)信息安全防護(hù)的主要內(nèi)容包括云計(jì)算、大數(shù)據(jù)等信息技術(shù)與企業(yè)生產(chǎn)管理的結(jié)合應(yīng)用，建立健全的信息安全防護(hù)體系，實(shí)現(xiàn)網(wǎng)絡(luò)、主機(jī)、終端及應(yīng)用數(shù)據(jù)的全方位防護(hù)，提高企業(yè)信息安全管理能力，保障電力企業(yè)的穩(wěn)健發(fā)展。

1.2電力企業(yè)信息安全管理體系的構(gòu)建

1.2.1細(xì)化安全組織、安全職責(zé)分工

信息安全管理系統(tǒng)的主要框架是組織架構(gòu)，包括各個(gè)組織的排列順序、空間位置、聯(lián)系方式等各個(gè)安全管理要素，利用組織架構(gòu)可以對(duì)整個(gè)安全系統(tǒng)進(jìn)行合理的分工協(xié)作。信息安全組織架構(gòu)可以分為管理架構(gòu)和技術(shù)架構(gòu)。

管理架構(gòu)是根據(jù)企業(yè)各層級(jí)人員在信息安全管理系統(tǒng)中的不同定位擔(dān)任不同的職責(zé)，通常分為決策層和管理監(jiān)管層。決策層，顧名思義就是能夠?qū)ζ髽I(yè)信息安全工作有決策權(quán)，負(fù)責(zé)制定方針政策、組織設(shè)定工作目標(biāo)等工作。管理監(jiān)管層則屬于信息安全的職能部門(mén)，主要負(fù)責(zé)落實(shí)信息安全方針政策，對(duì)組織制定的相關(guān)安全管理制度進(jìn)行監(jiān)督管理，同時(shí)還負(fù)責(zé)開(kāi)展一系列信息安全工作。

技術(shù)架構(gòu)則負(fù)責(zé)企業(yè)的安全技術(shù)問(wèn)題，通常分為專家組和技術(shù)支持組。專家組負(fù)責(zé)企業(yè)安全項(xiàng)目規(guī)劃、安全系統(tǒng)設(shè)計(jì)、安全系統(tǒng)建設(shè)及安全系統(tǒng)運(yùn)行維護(hù)等工作。技術(shù)支持組則是負(fù)責(zé)配合專家組為信息安全系統(tǒng)提供技術(shù)支持服務(wù)，保障安全系統(tǒng)的正常運(yùn)行。

1.2.2完善電力企業(yè)信息安全管理制度

完善的信息安全管理制度體系應(yīng)包括頂層信息安全方針策略、中層信息安全管理制度規(guī)范和底層安全手冊(cè)與安全操作流程組成。頂層安全方針策略，為信息安全工作系統(tǒng)管理導(dǎo)向并提供管理支持，它應(yīng)符合業(yè)務(wù)要求，同時(shí)合乎法規(guī)。企業(yè)頂層在制定信息安全方針政策時(shí)應(yīng)兼顧法律法規(guī)、相關(guān)國(guó)家政策、行業(yè)標(biāo)準(zhǔn)規(guī)范等要求，制定符合企業(yè)自身的安全系統(tǒng)方針。

1.2.3建立安全控制體系

建立企業(yè)信息安全保障系統(tǒng)的最終目的是能夠控制企業(yè)信息面臨的風(fēng)險(xiǎn)，因此應(yīng)建立安全控制體系。安全控制體系可以從風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)控制、風(fēng)險(xiǎn)監(jiān)視三個(gè)層次進(jìn)行設(shè)計(jì)。

風(fēng)險(xiǎn)識(shí)別就是在了解企業(yè)當(dāng)前系統(tǒng)、資產(chǎn)、數(shù)據(jù)等信息的前提下，充分掌握可能面臨的信息安全風(fēng)險(xiǎn)，方便企業(yè)做好相應(yīng)的防御準(zhǔn)備，或者可以根據(jù)風(fēng)險(xiǎn)進(jìn)行備案方法處理。風(fēng)險(xiǎn)控制則是在安全控制系統(tǒng)識(shí)別出安全風(fēng)險(xiǎn)后進(jìn)行問(wèn)題處理的過(guò)程。它包括在發(fā)生安全風(fēng)險(xiǎn)前的預(yù)防處理、發(fā)生安全問(wèn)題后采取的措施等，最終目的是發(fā)生安全問(wèn)題后通過(guò)風(fēng)險(xiǎn)控制將企業(yè)利益損害控制在最小。風(fēng)險(xiǎn)監(jiān)控則是持續(xù)性為企業(yè)信息安全系統(tǒng)保駕護(hù)航，它主要是對(duì)安全系統(tǒng)運(yùn)行情況的監(jiān)測(cè)，保證在企業(yè)信息安全受到威脅的第一時(shí)間發(fā)出警報(bào)，便于消除安全隱患，減小安全問(wèn)題的破壞力。

1.2.4完善企業(yè)信息安全技術(shù)體系

完善企業(yè)信息安全技術(shù)體系，有利于保障企業(yè)信息的安全。對(duì)于電力企業(yè)存在的信息安全隱患，可以利用信息技術(shù)進(jìn)行解決，一般可以從完善安全基礎(chǔ)設(shè)施和提高安全技術(shù)水平兩個(gè)方面進(jìn)行。安全基礎(chǔ)設(shè)施是保障企業(yè)信息系統(tǒng)安全的重要工具，可以采取搭建安全運(yùn)維平臺(tái)、設(shè)置安全認(rèn)證、實(shí)施安全監(jiān)控等辦法。另一方面，企業(yè)可以加大技術(shù)投資，提高企業(yè)信息安全技術(shù)水平，利用信息技術(shù)對(duì)企業(yè)信息進(jìn)行管理加密，降低信息安全風(fēng)險(xiǎn)，從而保障電力企業(yè)信息安全。

2結(jié)束語(yǔ)

信息化時(shí)代的到來(lái)使電力企業(yè)信息安全受到嚴(yán)重威脅，同時(shí)也是對(duì)電力企業(yè)信息安全系統(tǒng)的一種考驗(yàn)。電力企業(yè)應(yīng)及時(shí)提高企業(yè)信息安全管理水平，建立完善而有效的企業(yè)信息安全管理體系，保障電力企業(yè)的安全生產(chǎn)，促進(jìn)我國(guó)能源行業(yè)的穩(wěn)健發(fā)展。

參考文獻(xiàn)

[1] 王勇，孫強(qiáng)，王小亮等.電力企業(yè)信息安全保障體系規(guī)劃設(shè)計(jì)探索與研究[J].信息網(wǎng)絡(luò)安全，2016（z1）：170-173.

[2] 王兆輝.依賴云計(jì)算的電力物聯(lián)網(wǎng)環(huán)境的安全系統(tǒng)研究與應(yīng)用[J].自動(dòng)化技術(shù)與應(yīng)用，2019，38（12）：93-96.