1 引言

在如今的信息化社會中，信息通過共享傳遞實(shí)現(xiàn)其價值。在信息交換的過程中，人們肯定會擔(dān)心自己的信息泄露，所以信息安全備受關(guān)注，企業(yè)的信息安全就更為重要了。但是網(wǎng)絡(luò)是一個開放互聯(lián)的環(huán)境，接入網(wǎng)絡(luò)的方式多樣，再加上技術(shù)存在的漏洞或者人們可能的操作失誤等，信息安全問題一刻不容忽視。尤其是電力，是國家規(guī)定的重要信息安全領(lǐng)域。所以電力企業(yè)要把信息安全管理體系的建設(shè)，作為重要的一環(huán)納入到整個企業(yè)管理體系中去。

2 電力企業(yè)信息管理體系建設(shè)的依據(jù)

關(guān)于企業(yè)的安全管理體系方面的標(biāo)準(zhǔn)有很多。英國BSI/DISC的BDD信息管理委員會制定的安全管理體系主要包含兩個部分內(nèi)容：信息安全管理實(shí)施規(guī)則和信息安全管理體系規(guī)范。信息安全管理實(shí)施規(guī)則是一個基礎(chǔ)性指導(dǎo)文件，里面有10大管理項、36個執(zhí)行的目標(biāo)和127種控制的方法，可以作為開發(fā)人員在信息安全管理體系開發(fā)過程中的一個參考文檔。信息安全管理體系規(guī)范則詳細(xì)描述了在建立、施工和維護(hù)信息安全管理體系過程的要求，并提出了一些具體操作的建議。

國際標(biāo)準(zhǔn)化組織也發(fā)布了很多關(guān)于信息安全技術(shù)的標(biāo)準(zhǔn)，如ISO x系列、ISO/IEC x系列等。我國也制定了一系列的信息安全標(biāo)準(zhǔn)，如GB 15851—1995。

關(guān)于企業(yè)信息安全管理體系方面的標(biāo)準(zhǔn)眾多，如何針對企業(yè)自身實(shí)際情況選擇合適的參考標(biāo)準(zhǔn)很重要，尤其是電本文由畢業(yè)論文網(wǎng)http://www.lw54.com收集整理力企業(yè)有著與其他企業(yè)不同的一些特殊性質(zhì)，選擇信息安全體系建設(shè)的參考標(biāo)準(zhǔn)更要謹(jǐn)慎。我國電力企業(yè)已經(jīng)引入了一些國際化標(biāo)準(zhǔn)作為建立和維護(hù)企業(yè)運(yùn)轉(zhuǎn)的保證，關(guān)于信息安全體系的標(biāo)準(zhǔn)也應(yīng)納入到保證企業(yè)運(yùn)轉(zhuǎn)的一系列參考中去。電力企業(yè)總體應(yīng)有一致的安全信息管理體系參考標(biāo)準(zhǔn)，但是具體地區(qū)的公司又有著本身自己的特殊環(huán)境，所以在總體一致的信息安全標(biāo)準(zhǔn)的情況下，也應(yīng)該根據(jù)企業(yè)自身地區(qū)、人文、政策等的不同制定一些企業(yè)內(nèi)部自己信息安全標(biāo)準(zhǔn)作為建立、實(shí)施和維護(hù)信息安全管理體系的依據(jù)。信息安全管理體系顧全大局又要有所側(cè)重的體現(xiàn)電力企業(yè)安全標(biāo)準(zhǔn)的要求。

3 信息安全管理體系里的重要環(huán)節(jié)

3.1 硬件環(huán)境要求

信息安全管理體系并沒有特別要求添加什么特別的設(shè)備，只是對企業(yè)用到的設(shè)備做一些要求。電力企業(yè)一般采用內(nèi)外網(wǎng)結(jié)合的方式，內(nèi)外網(wǎng)設(shè)備要盡量進(jìn)行物理隔離。企業(yè)每個員工基本都有自己的移動設(shè)備，如手機(jī)等，為了增加信息安全的系數(shù)，企業(yè)可以限制公司設(shè)備的無線網(wǎng)絡(luò)拓展。另外，實(shí)時監(jiān)控系統(tǒng)也應(yīng)該覆蓋企業(yè)的重要設(shè)備，監(jiān)控硬件設(shè)備的安全。

3.2 軟件環(huán)境要求

在企業(yè)設(shè)備(主要是計算機(jī))上部署相關(guān)軟件環(huán)境是信息安全管理體系中最重要的部分。比如防病毒軟件的部署、桌面系統(tǒng)弱口令監(jiān)控軟件的部署等，以此防止網(wǎng)絡(luò)攻擊或者提高安全系數(shù)。另外，企業(yè)設(shè)備所用系統(tǒng)的安全漏洞修復(fù)、數(shù)據(jù)的加密解密、數(shù)據(jù)的備份恢復(fù)及數(shù)據(jù)傳輸通道的加密解密等問題，都在信息安全管理體系設(shè)計的考慮范疇。

3.3 企業(yè)員工管理

盡管現(xiàn)在一直倡導(dǎo)智能化，但是企業(yè)內(nèi)進(jìn)行設(shè)備等操作的主體還是員工。不管是對設(shè)備終端操作來進(jìn)行信息的首發(fā)，還是對企業(yè)軟硬件系統(tǒng)進(jìn)行維護(hù)工作，都是有員工來進(jìn)行的。所以，對企業(yè)內(nèi)部員工進(jìn)行信息安全培訓(xùn)，提高員工的信息安全防范意識，讓員工掌握一定的信息安全防范與處理手段是非常重要的事情。針對不同的職位，在員工上崗前應(yīng)該進(jìn)行相關(guān)的信息安全方面的培訓(xùn)，然后對培訓(xùn)結(jié)果進(jìn)行考核，不合格的人員不準(zhǔn)上崗。在崗的人員也要定期進(jìn)行培訓(xùn)與考核。另外，如果有條件的話，企業(yè)應(yīng)該定期(例如每年)進(jìn)行一次信息安全的相關(guān)演習(xí)。

另外，電力企業(yè)有些項目是外包給其他相應(yīng)公司的，這時候會有施工人員和駐場人員在電力企業(yè)，對這些人員也應(yīng)該進(jìn)行電力企業(yè)信息安全的培訓(xùn)。

3.4 信息安全管理體系的風(fēng)險系數(shù)評估

風(fēng)險評估在信息安全管理體系中是確定企業(yè)信息安全需求的一個重要途徑，它是對企業(yè)的信息資產(chǎn)所面臨的威脅、存在的弱點(diǎn)、造成的影響，以及三者綜合作用下所帶來的風(fēng)險可能性的評測。風(fēng)險評估的主要任務(wù)是：檢測評估對象所面臨的各種風(fēng)險，估計風(fēng)險的概率和可能帶來的負(fù)面影響的程度，確定信息安全管理體系承受風(fēng)險的能力，確定不同風(fēng)險發(fā)生后消減和控制的優(yōu)先級，對消除風(fēng)險提出建議。在信息安全管理體系的風(fēng)險系數(shù)評估過程中，形成《風(fēng)險系數(shù)評估報告》、《風(fēng)險處理方案》等文檔，作為對信息安全管理體系進(jìn)行調(diào)整的參考。風(fēng)險系數(shù)的評估要盡可能全面的反映企業(yè)的信息安全管理體系，除了常規(guī)手段，也可以使用一些相應(yīng)的軟件工具的結(jié)果作為參考。另外很值得注意的是企業(yè)的員工對風(fēng)險的理解，企業(yè)員工對他們所操作的對象有比較深刻的理解，對其中可能存在的不足也有自己的見解，在風(fēng)險系數(shù)評估的過程中，可以進(jìn)行一些員工的問卷調(diào)查等，把員工對風(fēng)險的認(rèn)識納入風(fēng)險評估的考慮范疇。

企業(yè)的設(shè)備會老舊更換，員工也會更換，所以企業(yè)的信息安全是動態(tài)的，因此風(fēng)險評估工作也要視具體情況定期進(jìn)行，針對當(dāng)前情況作評估報告，然后制定相應(yīng)的風(fēng)險處理方案。還有，之所以要建立信息安全管理體系，其中很重要的一點(diǎn)就是體系內(nèi)各個模塊的結(jié)合，信息安全管理體系的風(fēng)險評估與關(guān)鍵內(nèi)容的實(shí)時監(jiān)控就應(yīng)該結(jié)合起來。

為了降低信息安全管理體系的風(fēng)險系數(shù)，提升信息安全等級，要做的工作很多。滲透測試就是其中很有必要的一項工作。滲透測試是測試人員通過模擬惡意攻擊者的攻擊方式，來評估企業(yè)計算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的一種評測方法。這個測試過程會對系統(tǒng)的可知的所有弱點(diǎn)、技術(shù)方面的缺陷或者漏洞等作主動的分析。滲透測試對于網(wǎng)絡(luò)信息安全的組織具有實(shí)際應(yīng)用價值。隨著技術(shù)的不斷進(jìn)步，可能還會出現(xiàn)其他的更有價值的信息安全技術(shù)，作為信息安全備受矚目的電力企業(yè)，應(yīng)當(dāng)時刻關(guān)注相關(guān)技術(shù)的進(jìn)展，并及時將它們納入企業(yè)信息安全管理體系中來。3.5 信息安全管理體系的管理模式

文章前面提到企業(yè)信息安全是動態(tài)的，所以信息安全管理體系需要建立一個長效的機(jī)制，針對最新的情況及時對自身作出調(diào)整，使信息安全管理體系有效的運(yùn)行。現(xiàn)在一般會采用PDCA循環(huán)過程模式：計劃，依照體系整個的方針和目標(biāo)，建立與控制風(fēng)險系數(shù)、提高信息安全的有關(guān)的安全方針、過程、指標(biāo)和程序等;執(zhí)行：實(shí)施和運(yùn)作計劃中建立的方針、過程、程序等;評測：根據(jù)方針、目標(biāo)等，評估業(yè)績，并形成報告，也就是文章前面說到的風(fēng)險系數(shù)評估;舉措：采取主動糾正或預(yù)防措施對體系進(jìn)行調(diào)整，進(jìn)一步提高體系運(yùn)作的有效性。這四個步驟循環(huán)運(yùn)轉(zhuǎn)，成為一個閉環(huán)，是信息安全管理體系得到持續(xù)的改進(jìn)。