安全生产管理辅导:创新信息安全管理
上世纪90年代以来,嘉兴电力局逐步建立了办公自动化(OA)、SAP系统、营销管理、95598客户服务、负荷 管理、PI数据库等诸多信息系统,企业信息化在安全生产、经营管理、优质服务中发挥了极其重要的作用。与此同时,信息安全的篱笆墙也越扎越紧,有效地防范了外部的攻击和内部管理失控带来的种种威胁。因此嘉兴电力局先后被中电联授予“信息化先进单位”、“信息化标杆企业”等光荣称号。2006年贯彻ISO/IEC27001:2005信息安全管理标准,获得了挪威船级社DNV公司认证证书。 运用系统的思想和方法,查找信息安全管理的“短板”
管理思想和方法落后。过去基本上是参照电网安全管理的一些传统做法,没有体现信息化特点和要求,这样就越来越不适应信息系统的快速发展和变革。
管理对象不够全面。以往只考虑硬件、软件,忽视了人、数据和文档、服务、无形资产等重要对象,对外来人员也缺乏有效的识别管理。
管理制度不够系统。以前虽然制订了不少制度和标准,但随着信息化的发展,这些制度逐渐变得与现实要
求不相适应。就事论事的管理方式必然会产生安全管理的盲区,有些制度内容重复、交叉、不一致,有些制度不切合实际,往往束之高阁。
风险评估不够科学。以往的信息风险评估就事论事,不够系统,主观性过强,缺乏综合平衡,抓不住重点,易过度保护,或产生管理死角,事后控制多,事前预控少,不能涵盖信息系统的生命周期。
上述情形是企业在信息化建设中普遍感觉到比较迷茫的问题,随着科学技术的进步,企业信息运行管理模式也发生了巨大的变化,为企业采用先进管理方式、建立信息安全管理体系打下了扎实的基础。为此,嘉兴电力局根据国际上信息安全管理的最佳实践,结合供电企业的实际,从信息安全风险评估管理人手,贯彻ISO/IEC27001:2005信息安全管理标准,建立了信息安全管理体系。通过体系有效运作,达到了供电企业信息安全管理“预控、能控、可控、在控”的目的。
从资产识别入手,搞好信息安全风险评估
嘉兴电力局按《信息安全风险评估控制程序》,对所有的资产进行了列表识别,并识别了资产的所有者。
这些资产包括硬件与设施、软件与系统、数据与文档、服务及人力资源。对每一项资产按自身价值、信息分类、保密性、完整性、法律法规符合性要求进行了量化赋值。在风险评估中,共识别资产2810项,其中确定的重要资产总数为312项,形成了《重要资产清单》。
图1重要信息资产按部门分布图
对重要的信息资产,由资产的所有者(归口管理部门)对其可能遭受的威胁及自身的薄弱点进行识别,并对威胁利用薄弱点发生安全事件的可能性以及潜在影响进行了赋值分析,确定风险等级和可接受程度,形成了《重要资产风险评估表》。针对每一项威胁、薄弱点,对资产造成的影响,考虑现有的控制措施,判定措施失效发生的可能性,计算风险等级,判断风险为可接受的还是需要处理的。根据风险评估的结果,形成风险处理计划。对于信息安全风险,应考虑控制措施与费用的平衡原则,选用适当的措施,确定是接受风险、避免风险,还是转移风险。
嘉兴电力局经过风险评估,确定了不可接
受风险84项,其中硬件和设施52项,软件和系统0项,文档和数据8项,服务0项,人力资源24项。