中國電力投資集團安全科技信息部信息化系統處郭大亮




       集團企業(yè)未來業(yè)務發(fā)展需要IT能力的強力支撐，而信息安全管理能力是企業(yè)IT能力的基礎，當前企業(yè)信息化過程中出現的安全問題急待解決，否則會影響企業(yè)技術進步及業(yè)務發(fā)展。
       郭大亮認為集團企業(yè)信息安全重要性逐步得到管理層的重視，企業(yè)近年來加強了信息安全管理工作，但集團企業(yè)的信息安全管理工作存在以下難點：橫向業(yè)務寬，業(yè)態(tài)多，安全要求不統一；縱向業(yè)務深，層次多，安全措施難落地；信息資產廣，分類多、定秘管控任務重；安全治理弱，執(zhí)行難，安全步調難一致；監(jiān)管壓力大，婆婆多，應付檢查工作忙。
       如何解決當前企業(yè)中出現出現的安全問題，提高支撐業(yè)務發(fā)展所需要的IT能力，滿足監(jiān)管對信息安全的要求”的目標？我們是采取出現一個問題解決一個問題的方式，還是要建立一個完整的信息安全保障體系來應對已有或未知的各種信息安全風險？我們可定會選擇后者。
郭大亮認為信息安全管理不應當只是應付上級檢查的權宜之計，也不應當僅僅是應對當前信息安全與IT風險的、頭痛醫(yī)頭、腳痛醫(yī)腳的方法。企業(yè)信息安全保障體系建設要引入“七分養(yǎng)、三分治”的方法，要結合各類IT風險與信息安全控制標準規(guī)范及最佳實踐，建立建立一套完善的IT風險保障體系和長效的管理機制，以應對已經出現或未來可能出現的各類IT風險，安全體系建設要遵循總體規(guī)劃、安全規(guī)范、局部試點、全面推廣分步來實施。
       中電投集團根據集團的實際情況，當前正在對集團信息安全進行總體規(guī)劃，重點確定集團信息安全總綱、信息安全組織、信息安全架構和安全管理框架。在設計信息安全體系架構的基礎上，需要根據企業(yè)的特點分階段實施風險控制；信息安全保障體系應當是一種兼顧各種控制規(guī)范的可持續(xù)的管理體系；安全保障體系在建設過程中需要有
精細化的推進方法，確保相關控制措施可以落地。