创新信息安全管理实用版

YF-ED-J4991

可按资料类型定义编号

创新信息安全管理实用版

In Order To Ensure The Effective And Safe Operation Of The Department Work Or Production, Relevant Personnel Shall Follow The Procedures In Handling Business Or Operating Equipment.

（示范文稿）

二零XX年XX月XX日

创新信息安全管理实用版

提示：该管理制度文档适合使用于工作中为保证本部门的工作或生产能够有效、安全、稳定地运转而制定的，相关人员在办理业务或操作设备时必须遵循的程序或步骤。下载后可以对文件进行定制修改，请根据实际需要调整使用。

上世纪90年代以来，嘉兴电力局逐步建立

了办公自动化(OA)、SAP系统、营销管理、

95598客户服务、负荷管理、PI数据库等诸多

信息系统，企业信息化在安全生产、经营管

理、优质服务中发挥了极其重要的作用。与此

同时，信息安全的篱笆墙也越扎越紧，有效地

防范了外部的攻击和内部管理失控带来的种种

威胁。因此嘉兴电力局先后被中电联授予“信

息化先进单位”、“信息化标杆企业”等光荣

称号。20xx年贯彻ISO／IEC27001：2005信息

安全管理标准，获得了挪威船级社DNV公司认

证证书。

运用系统的思想和方法，查找信息安全管理的“短板”

管理思想和方法落后。过去基本上是参照电网安全管理的一些传统做法，没有体现信息化特点和要求，这样就越来越不适应信息系统的快速发展和变革。

管理对象不够全面。以往只考虑硬件、软件，忽视了人、数据和文档、服务、无形资产等重要对象，对外来人员也缺乏有效的识别管理。

管理制度不够系统。以前虽然制订了不少制度和标准，但随着信息化的发展，这些制度逐渐变得与现实要求不相适应。就事论事的管理方式必然会产生安全管理的盲区，有些制度内容重复、交叉、不一致，有些制度不切合实际，往往束之高阁。

风险评估不够科学。以往的信息风险评估就事论事，不够系统，主观性过强，缺乏综合平衡，抓不住重点，易过度保护，或产生管理死角，事后控制多，事前预控少，不能涵盖信息系统的生命周期。

上述情形是企业在信息化建设中普遍感觉到比较迷茫的问题，随着科学技术的进步，企

业信息运行管理模式也发生了巨大的变化，为企业采用先进管理方式、建立信息安全管理体系打下了扎实的基础。为此，嘉兴电力局根据国际上信息安全管理的最佳实践，结合供电企业的实际，从信息安全风险评估管理人手，贯彻ISO／IEC27001：2005信息安全管理标准，建立了信息安全管理体系。通过体系有效运作，达到了供电企业信息安全管理“预控、能控、可控、在控”的目的。

从资产识别入手，搞好信息安全风险评估

嘉兴电力局按《信息安全风险评估控制程序》，对所有的资产进行了列表识别，并识别了资产的所有者。这些资产包括硬件与设施、

软件与系统、数据与文档、服务及人力资源。对每一项资产按自身价值、信息分类、保密性、完整性、法律法规符合性要求进行了量化赋值。在风险评估中，共识别资产2810项，其中确定的重要资产总数为312项，形成了《重要资产清单》。

图1重要信息资产按部门分布图

对重要的信息资产，由资产的所有者(归口管理部门)对其可能遭受的威胁及自身的薄弱点进行识别，并对威胁利用薄弱点发生安全事件的可能性以及潜在影响进行了赋值分析，确定风险等级和可接受程度，形成了《重要资产风险评估表》。针对每一项威胁、薄弱点，对资

产造成的影响，考虑现有的控制措施，判定措施失效发生的可能性，计算风险等级，判断风险为可接受的还是需要处理的。根据风险评估的结果，形成风险处理计划。对于信息安全风险，应考虑控制措施与费用的平衡原则，选用适当的措施，确定是接受风险、避免风险，还是转移风险。

嘉兴电力局经过风险评估，确定了不可接受风险84项，其中硬件和设施52项，软件和系统0项，文档和数据8项，服务0项，人力资源24项。

图2各类不可接受风险按系统分布图

根据风险评估的结果，对可接受风险，保持原有的控制措施，同时按ISO／IEC17799：2005《信息技术—安全技术—信息安全管理实施细则》和系统应用的要求，对控制措施进行完善。针对不可接受风险，由各部门制定相应的安全控制措施。制定控制措施需要考虑风险评估的结果、管理与技术上的可行性、法律法规的要求，以期达到风险降低的目的。控制措施的实施将从避免风险、降低风险、转移风险等方面，将风险降低到可接受的水平。

按照ISO标准要求，建立信息安全管理体系

嘉兴电力局在涉及生产、经营、服务和日常管理活动的信息系统，按ISO／IEC27001：2005《信息技术—安全技术—信息安全管理体系要求》规定，参照ISO／IECl7799：2005《信息技术·安全技术—信息安全管理实施细则》，建立信息安全管理体系，简称ISMS。

确定信息安全管理体系覆盖范围，主要是根据业务特征、组织结构、地理位置、资产分布情况，涉及电力生产、营销、服务和日常管理的40个重要信息系统。信息安全管理的方针是：“全面、完整、务实、有效”。

为实现信息安全管理体系方针，该局承诺：在各层次建立完整的信息安全管理组织机

构，确定信息安全目标和控制措施，明确信息安全的管理职责，识别并满足适用法律、法规和相关方信息安全要求；定期进行信息安全风险评估，采取纠正预防措施，保证体系的持续有效性，采用先进有效的设施和技术，处理、传递、储存和保护各类信息，实现信息共享；对全体员工进行持续的信息安全教育和培训，不断增强员工的信息安全意识和能力；制定并保持完善的业务连续性计划，实现可持续发展。按照信息安全管理方针的要求，制定的信息安全管理目标是：2级以上信息安全事件为零，不发生信息系统的中断、数据的丢失、敏感信息的泄密；不发生导致供电中断的信息事故；减少涉密有关的法律风险。