上世紀(jì)90年代以來(lái),嘉興電力局逐步建立了辦公自動(dòng)化(OA)、SAP系統(tǒng)、營(yíng)銷管理、95598客戶服務(wù)、負(fù)荷管理、PI數(shù)據(jù)庫(kù)等諸多信息系統(tǒng),企業(yè)信息化在安全生產(chǎn)、經(jīng)營(yíng)管理、優(yōu)質(zhì)服務(wù)中發(fā)揮了極其重要的作用。與此同時(shí),信息安全的籬笆墻也越扎越緊,有效地防范了外部的攻擊和內(nèi)部管理失控帶來(lái)的種種威脅。因此嘉興電力局先后被中電聯(lián)授予“信息化先進(jìn)單位”、“信息化標(biāo)桿企業(yè)”等光榮稱號(hào)。2006年貫徹ISO/IEC27001:2005信息安全管理標(biāo)準(zhǔn),獲得了挪威船級(jí)社DNV公司認(rèn)證證書。
運(yùn)用系統(tǒng)的思想和方法,查找信息安全管理的“短板”
管理思想和方法落后。過(guò)去基本上是參照電網(wǎng)安全管理的一些傳統(tǒng)做法,沒(méi)有體現(xiàn)信息化特點(diǎn)和要求,這樣就越來(lái)越不適應(yīng)信息系統(tǒng)的快速發(fā)展和變革。
管理對(duì)象不夠全面。以往只考慮硬件、軟件,忽視了人、數(shù)據(jù)和文檔、服務(wù)、無(wú)形資產(chǎn)等重要對(duì)象,對(duì)外來(lái)人員也缺乏有效的識(shí)別管理。
管理制度不夠系統(tǒng)。以前雖然制訂了不少制度和標(biāo)準(zhǔn),但隨著信息化的發(fā)展,這些制度逐漸變得與現(xiàn)實(shí)要求不相適應(yīng)。就事論事的管理方式必然會(huì)產(chǎn)生安全管理的盲區(qū),有些制度內(nèi)容重復(fù)、交叉、不一致,有些制度不切合實(shí)際,往往束之高閣。
風(fēng)險(xiǎn)評(píng)估不夠科學(xué)。以往的信息風(fēng)險(xiǎn)評(píng)估就事論事,不夠系統(tǒng),主觀性過(guò)強(qiáng),缺乏綜合平衡,抓不住重點(diǎn),易過(guò)度保護(hù),或產(chǎn)生管理死角,事后控制多,事前預(yù)控少,不能涵蓋信息系統(tǒng)的生命周期。
上述情形是企業(yè)在信息化建設(shè)中普遍感覺(jué)到比較迷茫的問(wèn)題,隨著科學(xué)技術(shù)的進(jìn)步,企業(yè)信息運(yùn)行管理模式也發(fā)生了巨大的變化,為企業(yè)采用先進(jìn)管理方式、建立信息安全管理體系打下了扎實(shí)的基礎(chǔ)。為此,嘉興電力局根據(jù)國(guó)際上信息安全管理的最佳實(shí)踐,結(jié)合供電企業(yè)的實(shí)際,從信息安全風(fēng)險(xiǎn)評(píng)估管理人手,貫徹ISO/IEC27001:2005信息安全管理標(biāo)準(zhǔn),建立了信息安全管理體系。通過(guò)體系有效運(yùn)作,達(dá)到了供電企業(yè)信息安全管理“預(yù)控、能控、可控、在控”的目的。
從資產(chǎn)識(shí)別入手,搞好信息安全風(fēng)險(xiǎn)評(píng)估
嘉興電力局按《信息安全風(fēng)險(xiǎn)評(píng)估控制程序》,對(duì)所有的資產(chǎn)進(jìn)行了列表識(shí)別,并識(shí)別了資產(chǎn)的所有者。這些資產(chǎn)包括硬件與設(shè)施、軟件與系統(tǒng)、數(shù)據(jù)與文檔、服務(wù)及人力資源。對(duì)每一項(xiàng)資產(chǎn)按自身價(jià)值、信息分類、保密性、完整性、法律法規(guī)符合性要求進(jìn)行了量化賦值。在風(fēng)險(xiǎn)評(píng)估中,共識(shí)別資產(chǎn)2810項(xiàng),其中確定的重要資產(chǎn)總數(shù)為312項(xiàng),形成了《重要資產(chǎn)清單》。
對(duì)重要的信息資產(chǎn),由資產(chǎn)的所有者(歸口管理部門)對(duì)其可能遭受的威脅及自身的薄弱點(diǎn)進(jìn)行識(shí)別,并對(duì)威脅利用薄弱點(diǎn)發(fā)生安全事件的可能性以及潛在影響進(jìn)行了賦值分析,確定風(fēng)險(xiǎn)等級(jí)和可接受程度,形成了《重要資產(chǎn)風(fēng)險(xiǎn)評(píng)估表》。針對(duì)每一項(xiàng)威脅、薄弱點(diǎn),對(duì)資產(chǎn)造成的影響,考慮現(xiàn)有的控制措施,判定措施失效發(fā)生的可能性,計(jì)算風(fēng)險(xiǎn)等級(jí),判斷風(fēng)險(xiǎn)為可接受的還是需要處理的。根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果,形成風(fēng)險(xiǎn)處理計(jì)劃。對(duì)于信息安全風(fēng)險(xiǎn),應(yīng)考慮控制措施與費(fèi)用的平衡原則,選用適當(dāng)?shù)拇胧?,確定是接受風(fēng)險(xiǎn)、避免風(fēng)險(xiǎn),還是轉(zhuǎn)移風(fēng)險(xiǎn)。
嘉興電力局經(jīng)過(guò)風(fēng)險(xiǎn)評(píng)估,確定了不可接受風(fēng)險(xiǎn)84項(xiàng),其中硬件和設(shè)施52項(xiàng),軟件和系統(tǒng)0項(xiàng),文檔和數(shù)據(jù)8項(xiàng),服務(wù)0項(xiàng),人力資源24項(xiàng)。
圖2各類不可接受風(fēng)險(xiǎn)按系統(tǒng)分布圖
根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果,對(duì)可接受風(fēng)險(xiǎn),保持原有的控制措施,同時(shí)按ISO/IEC17799:2005《信息技術(shù)—安全技術(shù)—信息安全管理實(shí)施細(xì)則》和系統(tǒng)應(yīng)用的要求,對(duì)控制措施進(jìn)行完善。針對(duì)不可接受風(fēng)險(xiǎn),由各部門制定相應(yīng)的安全控制措施。制定控制措施需要考慮風(fēng)險(xiǎn)評(píng)估的結(jié)果、管理與技術(shù)上的可行性、法律法規(guī)的要求,以期達(dá)到風(fēng)險(xiǎn)降低的目的。控制措施的實(shí)施將從避免風(fēng)險(xiǎn)、降低風(fēng)險(xiǎn)、轉(zhuǎn)移風(fēng)險(xiǎn)等方面,將風(fēng)險(xiǎn)降低到可接受的水平。
按照ISO標(biāo)準(zhǔn)要求,建立信息安全管理體系
嘉興電力局在涉及生產(chǎn)、經(jīng)營(yíng)、服務(wù)和日常管理活動(dòng)的信息系統(tǒng),按ISO/IEC27001:2005《信息技術(shù)—安全技術(shù)—信息安全管理體系要求》規(guī)定,參照ISO/IECl7799:2005《信息技術(shù)·安全技術(shù)—信息安全管理實(shí)施細(xì)則》,建立信息安全管理體系,簡(jiǎn)稱ISMS。
確定信息安全管理體系覆蓋范圍,主要是根據(jù)業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)分布情況,涉及電力生產(chǎn)、營(yíng)銷、服務(wù)和日常管理的40個(gè)重要信息系統(tǒng)。信息安全管理的方針是:“全面、完整、務(wù)實(shí)、有效”。
為實(shí)現(xiàn)信息安全管理體系方針,該局承諾:在各層次建立完整的信息安全管理組織機(jī)構(gòu),確定信息安全目標(biāo)和控制措施,明確信息安全的管理職責(zé),識(shí)別并滿足適用法律、法規(guī)和相關(guān)方信息安全要求;定期進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估,采取糾正預(yù)防措施,保證體系的持續(xù)有效性,采用先進(jìn)有效的設(shè)施和技術(shù),處理、傳遞、儲(chǔ)存和保護(hù)各類信息,實(shí)現(xiàn)信息共享;對(duì)全體員工進(jìn)行持續(xù)的信息安全教育和培訓(xùn),不斷增強(qiáng)員工的信息安全意識(shí)和能力;制定并保持完善的業(yè)務(wù)連續(xù)性計(jì)劃,實(shí)現(xiàn)可持續(xù)發(fā)展。按照信息安全管理方針的要求,制定的信息安全管理目標(biāo)是:2級(jí)以上信息安全事件為零,不發(fā)生信息系統(tǒng)的中斷、數(shù)據(jù)的丟失、敏感信息的泄密;不發(fā)生導(dǎo)致供電中斷的信息事故;減少涉密有關(guān)的法律風(fēng)險(xiǎn)。
嘉興電力局根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果、企業(yè)的系統(tǒng)現(xiàn)狀和管理現(xiàn)狀,按照ISO/IEC27001:2005標(biāo)準(zhǔn)要求,整合原有的企業(yè)信息安全管理標(biāo)準(zhǔn)、規(guī)章制度,形成了科學(xué)、嚴(yán)密的信息安全管理體系文件框架,包括信息安全管理手冊(cè);《信息安全風(fēng)險(xiǎn)評(píng)估管理程序》、《業(yè)務(wù)持續(xù)性管理程序》等53個(gè)程序文件,制定了16個(gè)支撐性作業(yè)文件。
運(yùn)用過(guò)程方法,實(shí)施信息安全管理體系
在信息安全管理過(guò)程中,重點(diǎn)是抓好人員安全、風(fēng)險(xiǎn)評(píng)估、信息安全事件、保持業(yè)務(wù)持續(xù)性等重要環(huán)節(jié),采取明確職責(zé)、動(dòng)態(tài)檢查、嚴(yán)格考核等措施,使信息安全走上常態(tài)管理之路。
重視信息系統(tǒng)安全管理。因?yàn)樾畔⑾到y(tǒng)支撐著企業(yè)的各項(xiàng)業(yè)務(wù),信息安全管理體系實(shí)施涵蓋信息系統(tǒng)的生命周期,表現(xiàn)在信息系統(tǒng)的軟(硬)件購(gòu)置、設(shè)備安裝、軟件開(kāi)發(fā)和系統(tǒng)測(cè)試、上線、系統(tǒng)(權(quán)限)變更等方面,嚴(yán)格執(zhí)行體系的相關(guān)控制程序。
強(qiáng)化人員安全管理。在勞動(dòng)合同、崗位說(shuō)明書中,明確員工信息安全職責(zé)。特殊崗位的人員規(guī)定特別的安全責(zé)任,對(duì)信息關(guān)鍵崗位實(shí)行備案制度。對(duì)崗位調(diào)動(dòng)或離職人員,及時(shí)調(diào)整安全職責(zé)和權(quán)限。定期對(duì)員工進(jìn)行信息安全教育和技能培訓(xùn)、比武、考試。
重視相關(guān)方管理。對(duì)軟硬件供應(yīng)商、服務(wù)商、保衛(wèi)、消防、保潔等人員,明確安全要求和安全職責(zé)。簽訂保密協(xié)議、辦理入網(wǎng)申請(qǐng)、進(jìn)行入網(wǎng)教育等。識(shí)別客戶、合作方、相關(guān)方、法律法規(guī)對(duì)信息安全的要求,采取措施,保證滿足安全要求。
建立信息安全的常態(tài)管理機(jī)制。對(duì)企業(yè)技術(shù)、業(yè)務(wù)目標(biāo)和過(guò)程、已識(shí)別的威脅、實(shí)施控制的有效性、外部事件變更情況應(yīng)及時(shí)進(jìn)行風(fēng)險(xiǎn)評(píng)估。定期對(duì)信息安全進(jìn)行定期或不定期的監(jiān)督檢查,包括日常檢查、專項(xiàng)檢查、技術(shù)性檢查、內(nèi)部審核等。嘉興電力局2006年內(nèi)審發(fā)現(xiàn)了57個(gè)不符合項(xiàng),及時(shí)進(jìn)行糾正,解決了用戶權(quán)限、A/B崗、第三方訪問(wèn)、機(jī)房管理等一些重點(diǎn)問(wèn)題,從而保證了信息安全管理的質(zhì)量,有效地防范了信息安全事件和事故的發(fā)生。