張可心 劉穎 趙西林 吳利剛

摘要：近年來(lái)，網(wǎng)絡(luò)與信息安全形勢(shì)異常嚴(yán)峻，對(duì)公司網(wǎng)絡(luò)安全工作提出了新的挑戰(zhàn)。如何更好的建立網(wǎng)絡(luò)與信息安全管理體系也成為了電力行業(yè)日益關(guān)注的焦點(diǎn)?；诖耍疚膶?duì)電力企業(yè)網(wǎng)絡(luò)與信息安全管理體系建立，提出相應(yīng)的見(jiàn)解和建議。

關(guān)鍵詞：網(wǎng)絡(luò);信息安全管理;電力

中圖分類號(hào)：TP309 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2019）12-0214-01

1 安全管理體系的建立

1.1 體系建立的思路

信通公司借鑒ISO/IEC 27001要求相關(guān)內(nèi)容，參照國(guó)家電網(wǎng)公司信息通信專業(yè)管理制度體系，對(duì)國(guó)家電網(wǎng)公司已發(fā)行的50余套現(xiàn)行有效的信息通信專業(yè)的通用制度進(jìn)行梳理編排，按照“五步法”展開(kāi)體系的建立。

（1）策劃與準(zhǔn)備;（2）確定適用范圍;（3）現(xiàn)狀調(diào)查;（4）建立管理框架;（5）體系文件升級(jí)。經(jīng)過(guò)以上5個(gè)步驟，信通公司形成了一套信息系統(tǒng)安全管理體系文件。該文件共包含五個(gè)部分。

1.2 體系建立的方法

系統(tǒng)管理方法屬于一般科學(xué)方法論，按照事物本身的系統(tǒng)性把研究對(duì)象放在系統(tǒng)的形式中認(rèn)識(shí)和考察的一種方法。信通公司運(yùn)用系統(tǒng)管理法結(jié)合公司業(yè)務(wù)實(shí)際情況，將工作中的人員，設(shè)備，環(huán)境，制度，工作專業(yè)放在一個(gè)整體中考慮，按照實(shí)際工作需求，將工作分為四類：安全管理、項(xiàng)目建設(shè)、系統(tǒng)運(yùn)行、客戶服務(wù)，并對(duì)此四類工作展開(kāi)制度分析，從背景、工作目標(biāo)、分析方法、調(diào)研情況、存在問(wèn)題、整改意見(jiàn)6個(gè)方面對(duì)安全管理體系展開(kāi)分析。

2 安全管理體系建立領(lǐng)域

通過(guò)對(duì)適用的制度進(jìn)行梳理，形成的安全管理體系包括安全管理、項(xiàng)目建設(shè)、系統(tǒng)運(yùn)行、客戶服務(wù)四大領(lǐng)域。

（1）安全管理域：安全管理工作主要負(fù)責(zé)維護(hù)并向班（組）員工提供安全的生產(chǎn)、工作環(huán)境，落實(shí)公司安全生產(chǎn)責(zé)任，負(fù)責(zé)中心安全管理，確保部門安全管理制度落實(shí)及監(jiān)督，宣貫落實(shí)公司各項(xiàng)安全規(guī)章制度與技術(shù)標(biāo)準(zhǔn)，組織開(kāi)展班（組）內(nèi)部的安全教育培訓(xùn)。

（2）項(xiàng)目建設(shè)域：項(xiàng)目建設(shè)工作主要負(fù)責(zé)項(xiàng)目的正常實(shí)施，項(xiàng)目資料整理收集，項(xiàng)目開(kāi)工驗(yàn)收，項(xiàng)目管控工作，確保項(xiàng)目符合要求。項(xiàng)目建設(shè)域?qū)氖马?xiàng)目建設(shè)工作的人員需要遵循的制度以及提供相應(yīng)的記錄等內(nèi)容模板建立框架，形成了從項(xiàng)目需求、儲(chǔ)備、采購(gòu)、建設(shè)實(shí)施、驗(yàn)收、歸檔等全過(guò)程的項(xiàng)目生命周期管理。

（3）系統(tǒng)運(yùn)行域：系統(tǒng)運(yùn)行工作負(fù)責(zé)信息調(diào)度值班工作組織與落實(shí)，確保調(diào)度值班工作有序開(kāi)展，負(fù)責(zé)信息系統(tǒng)檢修管理，確保檢修順利執(zhí)行，負(fù)責(zé)信息系統(tǒng)突發(fā)事件處置，負(fù)責(zé)主機(jī)存儲(chǔ)設(shè)備運(yùn)行維護(hù)，虛擬化平臺(tái)生產(chǎn)系統(tǒng)、虛擬化外網(wǎng)生產(chǎn)平臺(tái)技術(shù)管理和運(yùn)行維護(hù)、內(nèi)、外網(wǎng)及DMZ區(qū)DNS域名服務(wù)器管理、動(dòng)環(huán)系統(tǒng)維護(hù)管理，確保各信息系統(tǒng)的安全穩(wěn)定運(yùn)。

（4）客戶服務(wù)域：客戶服務(wù)工作負(fù)責(zé)客戶服務(wù)管理工作，確保數(shù)據(jù)安全，保證不發(fā)生泄密事件，開(kāi)展終端客戶問(wèn)題處理，保障客服終端機(jī)安全可用;負(fù)責(zé)視頻會(huì)議保障，不發(fā)生視頻會(huì)議中斷。客戶服務(wù)域?qū)氖驴蛻舴?wù)工作的人員需要遵循的制度以及提供相應(yīng)的記錄等內(nèi)容模板建立框架，在提升桌面安全治理水平，持續(xù)推進(jìn)計(jì)算機(jī)類固定資產(chǎn)精細(xì)化管理工作。

（5）體系的創(chuàng)新工具：在運(yùn)用以往的體系文件時(shí)，由于體系涉及內(nèi)容龐雜，制度條例眾多，安全條例繁多，無(wú)法快遞便捷找到需要的安全要求或是制度條例。信通公司通過(guò)梳理制度規(guī)程，制作一套信息網(wǎng)絡(luò)系統(tǒng)安全管理體系速查工具通過(guò)將工作專業(yè)類型、制度、制度條例、所屬章節(jié)、涉及的安全要求、安全要求對(duì)應(yīng)記錄模板、模板類型、負(fù)責(zé)崗位一一對(duì)應(yīng)，方便人員在體系快速查找對(duì)應(yīng)的工作要求。方便人員迅速快捷查找到所需內(nèi)容。

3 電力關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)行的安全管理體系建設(shè)取得的成效

3.1 管理效益

信息安全管理體系是安全工作的基礎(chǔ)，信息安全管理體系的完善，扎實(shí)推進(jìn)本質(zhì)安全建設(shè)，從而完成“三落實(shí)、三杜絕、三覆蓋、一防范”的工作目標(biāo)。在使用安全管理體系的過(guò)程中，摒棄了有礙發(fā)展的一些慣性思維和做法，通過(guò)統(tǒng)一認(rèn)識(shí)，為深入開(kāi)展安全體系管理創(chuàng)造了良好的思想環(huán)境，樹(shù)立“我要安全”和“要你安全”的虔誠(chéng)之心。強(qiáng)化“紅線意識(shí)”和“底線思維”，堅(jiān)決克服“信息通信專業(yè)不會(huì)出大事”的麻痹松懈思想，真正把安全第一的理念扎根思想深處。形成具有特質(zhì)的安全生產(chǎn)文化，促進(jìn)安全管理水平提升。

3.2 經(jīng)濟(jì)效益

通過(guò)安全管理體系，做到安全標(biāo)準(zhǔn)完整、安全防護(hù)立項(xiàng)審慎、內(nèi)容務(wù)實(shí)、格式規(guī)范、檢索快捷、管理科學(xué)、成效明顯等七項(xiàng)總體要求，以更高的起點(diǎn)去規(guī)劃計(jì)劃、建設(shè)、運(yùn)維、安全四大業(yè)務(wù)條線中涉及的安全問(wèn)題?？焖佟⒈憬莸乃饕ぞ?，便于員工遵循貫徹、從而使安全管理體系的科學(xué)性、完整性、適用性大幅提升。使用安全管理體系后，安全計(jì)劃方面，計(jì)劃準(zhǔn)備工作從梳理制度、編制計(jì)劃方案、組織隊(duì)伍、落實(shí)計(jì)劃等各個(gè)環(huán)節(jié)均得到有效提升。計(jì)劃準(zhǔn)備工作中使用安全速查工具，快速檢索工作專業(yè)類型、制度、制度條例、涉及的安全要求、安全要求、負(fù)責(zé)崗位，制定計(jì)劃時(shí)間節(jié)省20%。建設(shè)方面從制度落實(shí)，實(shí)施開(kāi)展等環(huán)節(jié)，整改安全責(zé)任3項(xiàng)，規(guī)范性操作提升30%。運(yùn)維方面，通過(guò)落實(shí)安全責(zé)任，整改檢修不規(guī)范操作8項(xiàng)，完善檢修制度中不明確處7項(xiàng)，并形成實(shí)施細(xì)則。將實(shí)施細(xì)則落實(shí)到檢修工作中，檢修規(guī)范性提高15%，有力的保障了業(yè)務(wù)系統(tǒng)的穩(wěn)定運(yùn)行。安全方面，依據(jù)國(guó)網(wǎng)網(wǎng)絡(luò)安全制度要求，構(gòu)建網(wǎng)絡(luò)與信息安全防護(hù)體系，完善網(wǎng)絡(luò)安全裝置3項(xiàng)，加強(qiáng)了網(wǎng)絡(luò)防護(hù)措施、防范了網(wǎng)絡(luò)風(fēng)險(xiǎn);完善機(jī)房裝置4項(xiàng)，為信息系統(tǒng)可靠運(yùn)行提供堅(jiān)強(qiáng)環(huán)境保障。

參考文獻(xiàn)

[1] 王棟，李瑞雪，來(lái)風(fēng)剛.提升關(guān)鍵信息基礎(chǔ)設(shè)施安全可控仿真驗(yàn)證能力[J].中國(guó)信息安全，2016（03）：95-97.

[2] 王惠蒞.切實(shí)加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)[J].信息技術(shù)與標(biāo)準(zhǔn)化，2018（06）：18.

Construction and Practice of? Safety Management System for Power Critical Information Infrastructure Operation

ZHANG Ke-xin，LIU Ying，ZHAO Xi-lin，WU Li-gang

（Shaanxi Electric Power Company，Xi'an? Shaanxi? 710004）

Abstract：In recent years， the situation of network and information security has been extremely severe， which has brought new challenges to the company's network security work. How to better establish the network and information security management system has also become the focus of increasing attention in the power industry. Based on this， this article puts forward the corresponding insights and suggestions for the establishment of the power enterprise network and information security management system.

Key words：network; information security management; electricity