供電企業(yè)信息安全論文

前言：想要寫(xiě)出一篇引人入勝的文章？我們特意為您整理了供電企業(yè)信息安全論文范文，希望能給你帶來(lái)靈感和參考，敬請(qǐng)閱讀。

1電力行業(yè)信息安全合規(guī)管控遇到的難題和挑戰(zhàn)

（1）檢查單位多、標(biāo)準(zhǔn)不一目前，供電企業(yè)經(jīng)常面臨著諸如安全等級(jí)保護(hù)、IT治理、安全督查、一體化風(fēng)險(xiǎn)評(píng)估、入網(wǎng)安評(píng)等合規(guī)標(biāo)準(zhǔn)的檢查和執(zhí)行問(wèn)題。以上檢查標(biāo)準(zhǔn)的關(guān)注點(diǎn)、執(zhí)行單位、檢查要求各不相同。

（2）檢查手段、結(jié)果重復(fù)每年國(guó)家、行業(yè)或上級(jí)單位會(huì)定期下發(fā)相關(guān)檢查要求，并通過(guò)現(xiàn)場(chǎng)檢查、遠(yuǎn)程掃描、配置核查、滲透測(cè)試等手段對(duì)供電企業(yè)進(jìn)行合規(guī)性安全檢查，檢查內(nèi)容和結(jié)果容易存在一定的重復(fù)性，建立和整合統(tǒng)一風(fēng)險(xiǎn)庫(kù)也存在一定難度。

（3）安全合規(guī)工作繁重供電企業(yè)安全人員在執(zhí)行安全合規(guī)工作的過(guò)程中，不可避免地要在每次合規(guī)檢查中面臨自查、加固、迎檢、整改、復(fù)查等一系列工作，當(dāng)此系列工作在一定時(shí)間內(nèi)重復(fù)出現(xiàn)的時(shí)候，合規(guī)管控工作將變得繁重且效率不高。

（4）相關(guān)人員協(xié)調(diào)難度大信息安全管控工作往往跨越多個(gè)部門(mén)，橫向溝通成本較大、難度也高。最常見(jiàn)的問(wèn)題就是實(shí)施方和相關(guān)配合人員因關(guān)注點(diǎn)不同而導(dǎo)致的工作分歧，若合規(guī)檢查時(shí)需要相關(guān)部門(mén)及人員多次重復(fù)性工作，往往導(dǎo)致人員情緒抵觸并影響工作效率。

2多標(biāo)準(zhǔn)合規(guī)管控概念的提出

針對(duì)以上信息安全合規(guī)管控工作中遇到的難題和挑戰(zhàn)，本文提出了多標(biāo)準(zhǔn)合規(guī)管控的概念，試圖通過(guò)對(duì)各個(gè)合規(guī)標(biāo)準(zhǔn)進(jìn)行研究和學(xué)習(xí)，探尋一條可以減輕合規(guī)管控過(guò)程中工作量繁重、重復(fù)的道路，研究一套把多個(gè)合規(guī)標(biāo)準(zhǔn)整合和統(tǒng)一的方法論。多標(biāo)準(zhǔn)合規(guī)管控，就是以現(xiàn)有的信息安全等級(jí)保護(hù)、IT治理、安全督查、一體化風(fēng)險(xiǎn)評(píng)估、入網(wǎng)安評(píng)、安全基線等標(biāo)準(zhǔn)為理論和參照基礎(chǔ)，通過(guò)進(jìn)一步的比對(duì)梳理、分析、加工和整合，形成一個(gè)更具體的安全執(zhí)行標(biāo)準(zhǔn)庫(kù)，覆蓋目前所有的檢查要求，是所有檢查標(biāo)準(zhǔn)的最大并集，利用此執(zhí)行標(biāo)準(zhǔn)指導(dǎo)信息安全的合規(guī)管控工作，爭(zhēng)取達(dá)到一次配置滿(mǎn)足多個(gè)標(biāo)準(zhǔn)的目的。

3多標(biāo)準(zhǔn)合規(guī)管控體系建立

本文以信息安全等級(jí)保護(hù)、IT治理、安全督查、一體化風(fēng)險(xiǎn)評(píng)估、入網(wǎng)安評(píng)、安全基線等標(biāo)準(zhǔn)為理論和參照基礎(chǔ)，闡述多標(biāo)準(zhǔn)合規(guī)管控體系的建立過(guò)程。建立PDCA過(guò)程指導(dǎo)思想：通過(guò)對(duì)現(xiàn)有各個(gè)合規(guī)標(biāo)準(zhǔn)的體系文件、測(cè)評(píng)要求、規(guī)范標(biāo)準(zhǔn)進(jìn)行對(duì)比、分析、梳理和整合，制作出多標(biāo)準(zhǔn)合規(guī)管控體系的相關(guān)組件文檔，具體包括體系文件、配置方法、規(guī)范標(biāo)準(zhǔn)。主要研究步驟如下：

（1）理解各信息安全檢查的要求、目的和目標(biāo)

①安全等級(jí)保護(hù)信息安全等級(jí)保護(hù)是指對(duì)國(guó)家秘密信息、法人和其他組織及公民的專(zhuān)有信息以及公開(kāi)信息和存儲(chǔ)、傳輸、處理這些信息的信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)，對(duì)信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級(jí)管理，對(duì)信息系統(tǒng)中發(fā)生的信息安全事件分等級(jí)響應(yīng)、處置。

②IT治理IT治理是企業(yè)治理在信息時(shí)代的重要發(fā)展，用于描述企業(yè)或政府是否采用有效的機(jī)制，使得IT的應(yīng)用能夠完成組織賦予它的使命，同時(shí)平衡信息技術(shù)與過(guò)程的風(fēng)險(xiǎn)、確保實(shí)現(xiàn)組織的戰(zhàn)略目標(biāo)。

③安全督查信息安全督查是供電企業(yè)根據(jù)國(guó)家信息安全管理體系要求、結(jié)合供電企業(yè)信息技術(shù)監(jiān)督規(guī)范的要求建立的日常工作機(jī)制，負(fù)責(zé)各單位的信息安全技術(shù)指導(dǎo)、監(jiān)督、檢查、督促改進(jìn)等工作。

④入網(wǎng)安評(píng)為保障信息系統(tǒng)的正常運(yùn)行，需加強(qiáng)系統(tǒng)及設(shè)備入網(wǎng)管理，規(guī)范新設(shè)備入網(wǎng)前的相關(guān)活動(dòng)并進(jìn)行安全評(píng)測(cè)，保障每一臺(tái)入網(wǎng)設(shè)備都符合企業(yè)安全規(guī)范要求，不會(huì)給現(xiàn)有網(wǎng)絡(luò)帶來(lái)新的安全隱患。

（2）對(duì)各合規(guī)標(biāo)準(zhǔn)進(jìn)行對(duì)比分析，找出異同點(diǎn)通過(guò)仔細(xì)的分析對(duì)比，找出各合規(guī)標(biāo)準(zhǔn)要求項(xiàng)的差異并進(jìn)行標(biāo)注，研究差異的原因，探討差異點(diǎn)存在的價(jià)值。由于企業(yè)安全基線經(jīng)過(guò)多年的實(shí)踐和修正，具有較高的規(guī)范性和實(shí)操價(jià)值，符合供電企業(yè)的IT現(xiàn)狀，故以安全基線文檔為底板進(jìn)行增刪減優(yōu)化操作。

（3）整合和梳理各合規(guī)標(biāo)準(zhǔn)，形成備查項(xiàng)將各合規(guī)標(biāo)準(zhǔn)整合到統(tǒng)一文檔表格中，并以安全基線、等級(jí)保護(hù)測(cè)評(píng)要求文檔為主要參照物，對(duì)其他合規(guī)要求進(jìn)行梳理和排序。通過(guò)不同標(biāo)準(zhǔn)文件對(duì)相同控制點(diǎn)的不同描述進(jìn)行再加工，整合出一個(gè)覆蓋各個(gè)標(biāo)準(zhǔn)要求的執(zhí)行標(biāo)準(zhǔn)。此步驟不僅方便標(biāo)準(zhǔn)集合的制作，也保留了各個(gè)標(biāo)準(zhǔn)要求的原貌，方便日后查閱檢索。下表示例說(shuō)明某個(gè)信息安全控制點(diǎn)執(zhí)行標(biāo)準(zhǔn)集合：

（4）整合多個(gè)合規(guī)標(biāo)準(zhǔn)，形成具體執(zhí)行標(biāo)準(zhǔn)要求通過(guò)上一步驟對(duì)統(tǒng)一文檔產(chǎn)生的執(zhí)行標(biāo)準(zhǔn)集合進(jìn)行提煉和整合，排序形成涵蓋多個(gè)合規(guī)標(biāo)準(zhǔn)的具體執(zhí)行規(guī)范文檔。

4多標(biāo)準(zhǔn)合規(guī)管控設(shè)計(jì)重點(diǎn)難點(diǎn)分析

（1）設(shè)計(jì)過(guò)程考慮最小和最大安全保障問(wèn)題信息系統(tǒng)安全基線是一個(gè)信息系統(tǒng)的最小安全保證，即該信息系統(tǒng)最基本需要滿(mǎn)足的安全要求；而信息安全執(zhí)行標(biāo)準(zhǔn)在某一個(gè)程度上是一個(gè)信息系統(tǒng)的最大安全保證，即信息安全執(zhí)行標(biāo)準(zhǔn)已經(jīng)覆蓋了合規(guī)管控的多個(gè)標(biāo)準(zhǔn)要求。如何在最小安全保證和最大安全保證之間進(jìn)行取舍與平衡，是企業(yè)面臨的首要問(wèn)題。本文建議解決辦法是保留各個(gè)標(biāo)準(zhǔn)的要求文檔，供執(zhí)行人員備查，在實(shí)際執(zhí)行過(guò)程中根據(jù)系統(tǒng)級(jí)別進(jìn)行相應(yīng)的取舍。

（2）設(shè)計(jì)過(guò)程考慮結(jié)果文檔的來(lái)源問(wèn)題信息安全執(zhí)行標(biāo)準(zhǔn)是一個(gè)實(shí)踐性文檔，在實(shí)踐的過(guò)程中難免會(huì)存在疑問(wèn)和顧慮，如何快速并準(zhǔn)確地定位到配置要求的來(lái)源和依據(jù)是面臨的第二個(gè)問(wèn)題。由于短期無(wú)法一次性創(chuàng)造一個(gè)安全合規(guī)體系，只能先對(duì)多個(gè)標(biāo)準(zhǔn)體系進(jìn)行整合和梳理，因此建議保留初始合規(guī)標(biāo)準(zhǔn)的原型，在執(zhí)行人員出現(xiàn)疑問(wèn)的時(shí)候能夠找到相關(guān)的依據(jù)。

5結(jié)語(yǔ)

本文以多年的供電企業(yè)信息安全合規(guī)管控執(zhí)行工作實(shí)踐為基礎(chǔ)，對(duì)信息安全多標(biāo)準(zhǔn)合規(guī)管控體系的研究與實(shí)踐進(jìn)行了初步探討，也充分認(rèn)識(shí)到多標(biāo)準(zhǔn)合規(guī)管控執(zhí)行過(guò)程中存在的問(wèn)題和難點(diǎn)，將結(jié)合信息安全要求及技術(shù)發(fā)展不斷評(píng)審、完善，逐步體現(xiàn)該體系的實(shí)用性和執(zhí)行價(jià)值，為信息安全合規(guī)管控工作提供一定的指導(dǎo)和參考作用。

作者：鄧雄榮 單位:廣東電網(wǎng)公司東莞供電局