2.1 核點(diǎn)企業(yè)發(fā)展信息安全的需求

　　核電企業(yè)是以提供清潔能源為主要業(yè)務(wù)的，核電企業(yè)自成立以來(lái)，始終堅(jiān)持“安全第一，質(zhì)量第一，追求卓越”的方針。隨著核電業(yè)務(wù)的發(fā)展，信息技術(shù)在企業(yè)內(nèi)部的不斷推廣和普及，業(yè)務(wù)對(duì)信息系統(tǒng)的依賴程度越來(lái)越高，信息系統(tǒng)能否安全、穩(wěn)定的運(yùn)行將直接影響核電業(yè)務(wù)的開(kāi)展，因此，網(wǎng)絡(luò)與信息安全已經(jīng)成為保障核安全有機(jī)的組成部分，并且其重要程度將隨著信息技術(shù)的普及和發(fā)展變得更加重要。

　　2.2 核安全文化與縱深防御的思想的結(jié)合

　　核安全文化中倡導(dǎo)的“縱深防御”原則在信息安全領(lǐng)域很早就被提出過(guò)。例如，在信息安全領(lǐng)域美國(guó)國(guó)家安全局制定的IATF中最早已經(jīng)提出了縱深防御，也稱作“深度防護(hù)(Defense-in-Depth)”的策略。IATF強(qiáng)調(diào)人、技術(shù)、操作這三個(gè)核心原則，關(guān)注四個(gè)信息安全保障領(lǐng)域：保護(hù)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施、保護(hù)邊界、保護(hù)計(jì)算環(huán)境、支撐基礎(chǔ)設(shè)施。通過(guò)下圖可以比較清晰的了解IATF的理論建立模型。

　　因此我們?cè)跒楹穗娖髽I(yè)設(shè)計(jì)信息安全保障體系架構(gòu)時(shí)也是結(jié)合了“縱深防御”的安全保護(hù)理念，結(jié)合了四個(gè)“凡事”的工作思想，通過(guò)“三道防線”與“體系文件與安全組織”的建立，有效的實(shí)現(xiàn)了“縱深防御”和“程序管理”的安全管理思想在信息安全保障管理方面的應(yīng)用。而我們?cè)诩軜?gòu)設(shè)計(jì)中的“三道防線”設(shè)計(jì)思想也與核電行業(yè)對(duì)反應(yīng)堆的“四道安全保護(hù)屏障”的保護(hù)方式相一致。

　　建立完善的信息安全保障架構(gòu)不僅是核電企業(yè)為保障信息技術(shù)安全的需求，同時(shí)也是符合核電行業(yè)的核安全需求的，隨著信息安全在企業(yè)中的重要性越來(lái)越高，在建立信息安全保障體系的同時(shí)，也要將信息安全的文化融入的員工的日常工作中，只有這樣才能夠讓企業(yè)的信息安全保障體系真正的發(fā)揮作用。

　　3. 核電企業(yè)信息安全保障架構(gòu)設(shè)計(jì)

　　3.1 信息安全保障架構(gòu)設(shè)計(jì)

　　在充分了解核安全文化與信息安全的相似點(diǎn)之后，結(jié)合信息安全領(lǐng)域的建設(shè)方法以及谷安天下在建立信息安全保障架構(gòu)的方法論，為核電企業(yè)設(shè)計(jì)如下的信息安全保障架構(gòu)。

　　我們的信息安全保障架構(gòu)通過(guò)建立四個(gè)保障目標(biāo)(信息安全、系統(tǒng)安全、運(yùn)行安全、物理安全)，參考四種建設(shè)標(biāo)準(zhǔn)(ISO27001、ISO2000、等級(jí)保護(hù)、風(fēng)險(xiǎn)評(píng)估)為總體架構(gòu)設(shè)計(jì)奠定了基礎(chǔ)，總體架構(gòu)包含五個(gè)主要部分(安全管理、安全組織、安全技術(shù)、安全運(yùn)維、應(yīng)急恢復(fù))，通過(guò)兩種監(jiān)督措施(檢查、審計(jì))，實(shí)現(xiàn)三道防線的保護(hù)(事前控制、事中控制、事后控制)。