一天上午,用电人员打开营销系统,惊讶地发现,客户的电费资料一夜间不翼而飞;网站管理员发现自己的主页被恶意篡改;调度值班员发现显示电网潮流的电脑运行异常缓慢……如果这些景象真实地出现在我们的工作中,那将是一场怎样的灾难!
随着供电企业信息化系统越来越广泛地应用,网络病毒、黑客攻击、机密泄漏等信息领域的风险越来越大,信息安全已成为企业信息化发展过程中被重点关注的焦点。2007年,绍兴电力局结合国家电网公司和浙江省电力公司“SG186工程”的有关要求,引进国际先进的信息安全管理模式,在全局实施了ISO/IEC 27001信息安全管理体系国际标准的贯标工作,对企业信息安全实施一体化管理。通过资产识别、风险评估、风险管理、实施检查、持续改进等方法,梳理工作流程,消除各种信息安全隐患,保护关键的信息资产,规避、降低、转移信息安全风险,使企业信息安全管理水平再上新台阶。目前,浙江省电力公司下属多个地区局相继实施信息安全认证工作。
信息安全一体化管理体系的建立经过了五个阶段:
调研培训阶段:职能处室协同专业咨询机构对企业各个重要部门进行走访,分析信息安全的管理现状,并开展信息安全专项培训,通过内审员将相关内容传达给全局的各个部门,以提高整体的信息安全意识。
风险评估阶段:对企业信息资产进行识别与危险分析,并根据资产的重要性进行分级和风险评估。经风险评估确认,全局的信息资产共5893个,确定重要信息资产883个;处于不可接受风险的有238个;汇总了11个部门、分局、工区的风险评估结果,进行了综合分析,提出风险处置计划和措施共29项。风险评估发现了10个漏洞和安全隐患:没有完全禁用服务器上不必要和不使用的网络服务;没有强制实施口令管理措施,存在大量弱口令、空口令;缺乏集中有效的帐号管理;没有完善的安全运维流程;没有完善的事件监控机制和安全事故管理流程;获得更改关键程序或信息文件的同意授权缺少明确的步骤;存在帐号不能随人事变更而及时变更的现象,需要规范IT权限审批流程,避免信息不对称情况的出现;缺少事件响应流程;缺少必要的信息审计系统,没有对相关操作、日志、配置等进行必要的审计;需要加强信息安全规章的体系化。
设计策划阶段:根据风险评估结果,制定风险控制与安全策略,编写和设计对应的体系文件。共制订了73个文件规定,130个表单。其中纲领性文件3个,程序性文件49个,信息系统专用规定工作说明书及控制列表 21个,表格及记录130个。
实施反馈阶段:实施已制定的策略和相应的管理体系文件,在执行过程中对策略及体系文件进行反馈,持续改进,继而制定业务可持续计划,保障业务的连续性开展。
内部审核阶段:内审员对全局各部门进行全面的审核。对发现的问题,工作组制定了详细的整改计划单,限时整改,并由各部门负责人签字确认整改完成情况。
最后,接受第三方审核,通过体系认证。
信息安全体系一体化管理建立了一整套的分级体系文件,对各类电子信息进行了判断、分类、归纳,以制定出正确地处理方案,有效保护信息化进程健康、有序、可持续发展。然而信息安全是一个总体的概念,信息安全的真正有效执行在管理的末端,各方面的细枝末节决定了整体系统的安全水平,因此员工的信息安全意识和执行能力最终决定了该体系实施的实际效果。切实提升员工素质,不断进行员工信息安全意识的培训,是保证信息安全一体化管理的必要手段。
同时,体系文件的建立有其时限性和阶段性,随着信息系统新技术的应用和新问题的出现,体系文件也必须在其后的运行过程中持续改进和提高,才能真正适应时代的发展,充分发挥其效能。