供電企業(yè)信息安全論文

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了供電企業(yè)信息安全論文范文，希望能給你帶來靈感和參考，敬請閱讀。

1電力行業(yè)信息安全合規(guī)管控遇到的難題和挑戰(zhàn)

（1）檢查單位多、標準不一目前，供電企業(yè)經(jīng)常面臨著諸如安全等級保護、IT治理、安全督查、一體化風險評估、入網(wǎng)安評等合規(guī)標準的檢查和執(zhí)行問題。以上檢查標準的關(guān)注點、執(zhí)行單位、檢查要求各不相同。

（2）檢查手段、結(jié)果重復每年國家、行業(yè)或上級單位會定期下發(fā)相關(guān)檢查要求，并通過現(xiàn)場檢查、遠程掃描、配置核查、滲透測試等手段對供電企業(yè)進行合規(guī)性安全檢查，檢查內(nèi)容和結(jié)果容易存在一定的重復性，建立和整合統(tǒng)一風險庫也存在一定難度。

（3）安全合規(guī)工作繁重供電企業(yè)安全人員在執(zhí)行安全合規(guī)工作的過程中，不可避免地要在每次合規(guī)檢查中面臨自查、加固、迎檢、整改、復查等一系列工作，當此系列工作在一定時間內(nèi)重復出現(xiàn)的時候，合規(guī)管控工作將變得繁重且效率不高。

（4）相關(guān)人員協(xié)調(diào)難度大信息安全管控工作往往跨越多個部門，橫向溝通成本較大、難度也高。最常見的問題就是實施方和相關(guān)配合人員因關(guān)注點不同而導致的工作分歧，若合規(guī)檢查時需要相關(guān)部門及人員多次重復性工作，往往導致人員情緒抵觸并影響工作效率。

2多標準合規(guī)管控概念的提出

針對以上信息安全合規(guī)管控工作中遇到的難題和挑戰(zhàn)，本文提出了多標準合規(guī)管控的概念，試圖通過對各個合規(guī)標準進行研究和學習，探尋一條可以減輕合規(guī)管控過程中工作量繁重、重復的道路，研究一套把多個合規(guī)標準整合和統(tǒng)一的方法論。多標準合規(guī)管控，就是以現(xiàn)有的信息安全等級保護、IT治理、安全督查、一體化風險評估、入網(wǎng)安評、安全基線等標準為理論和參照基礎(chǔ)，通過進一步的比對梳理、分析、加工和整合，形成一個更具體的安全執(zhí)行標準庫，覆蓋目前所有的檢查要求，是所有檢查標準的最大并集，利用此執(zhí)行標準指導信息安全的合規(guī)管控工作，爭取達到一次配置滿足多個標準的目的。

3多標準合規(guī)管控體系建立

本文以信息安全等級保護、IT治理、安全督查、一體化風險評估、入網(wǎng)安評、安全基線等標準為理論和參照基礎(chǔ)，闡述多標準合規(guī)管控體系的建立過程。建立PDCA過程指導思想：通過對現(xiàn)有各個合規(guī)標準的體系文件、測評要求、規(guī)范標準進行對比、分析、梳理和整合，制作出多標準合規(guī)管控體系的相關(guān)組件文檔，具體包括體系文件、配置方法、規(guī)范標準。主要研究步驟如下：

（1）理解各信息安全檢查的要求、目的和目標

①安全等級保護信息安全等級保護是指對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實行安全保護，對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理，對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應、處置。

②IT治理IT治理是企業(yè)治理在信息時代的重要發(fā)展，用于描述企業(yè)或政府是否采用有效的機制，使得IT的應用能夠完成組織賦予它的使命，同時平衡信息技術(shù)與過程的風險、確保實現(xiàn)組織的戰(zhàn)略目標。

③安全督查信息安全督查是供電企業(yè)根據(jù)國家信息安全管理體系要求、結(jié)合供電企業(yè)信息技術(shù)監(jiān)督規(guī)范的要求建立的日常工作機制，負責各單位的信息安全技術(shù)指導、監(jiān)督、檢查、督促改進等工作。

④入網(wǎng)安評為保障信息系統(tǒng)的正常運行，需加強系統(tǒng)及設(shè)備入網(wǎng)管理，規(guī)范新設(shè)備入網(wǎng)前的相關(guān)活動并進行安全評測，保障每一臺入網(wǎng)設(shè)備都符合企業(yè)安全規(guī)范要求，不會給現(xiàn)有網(wǎng)絡(luò)帶來新的安全隱患。

（2）對各合規(guī)標準進行對比分析，找出異同點通過仔細的分析對比，找出各合規(guī)標準要求項的差異并進行標注，研究差異的原因，探討差異點存在的價值。由于企業(yè)安全基線經(jīng)過多年的實踐和修正，具有較高的規(guī)范性和實操價值，符合供電企業(yè)的IT現(xiàn)狀，故以安全基線文檔為底板進行增刪減優(yōu)化操作。

（3）整合和梳理各合規(guī)標準，形成備查項將各合規(guī)標準整合到統(tǒng)一文檔表格中，并以安全基線、等級保護測評要求文檔為主要參照物，對其他合規(guī)要求進行梳理和排序。通過不同標準文件對相同控制點的不同描述進行再加工，整合出一個覆蓋各個標準要求的執(zhí)行標準。此步驟不僅方便標準集合的制作，也保留了各個標準要求的原貌，方便日后查閱檢索。下表示例說明某個信息安全控制點執(zhí)行標準集合：

（4）整合多個合規(guī)標準，形成具體執(zhí)行標準要求通過上一步驟對統(tǒng)一文檔產(chǎn)生的執(zhí)行標準集合進行提煉和整合，排序形成涵蓋多個合規(guī)標準的具體執(zhí)行規(guī)范文檔。

4多標準合規(guī)管控設(shè)計重點難點分析

（1）設(shè)計過程考慮最小和最大安全保障問題信息系統(tǒng)安全基線是一個信息系統(tǒng)的最小安全保證，即該信息系統(tǒng)最基本需要滿足的安全要求；而信息安全執(zhí)行標準在某一個程度上是一個信息系統(tǒng)的最大安全保證，即信息安全執(zhí)行標準已經(jīng)覆蓋了合規(guī)管控的多個標準要求。如何在最小安全保證和最大安全保證之間進行取舍與平衡，是企業(yè)面臨的首要問題。本文建議解決辦法是保留各個標準的要求文檔，供執(zhí)行人員備查，在實際執(zhí)行過程中根據(jù)系統(tǒng)級別進行相應的取舍。

（2）設(shè)計過程考慮結(jié)果文檔的來源問題信息安全執(zhí)行標準是一個實踐性文檔，在實踐的過程中難免會存在疑問和顧慮，如何快速并準確地定位到配置要求的來源和依據(jù)是面臨的第二個問題。由于短期無法一次性創(chuàng)造一個安全合規(guī)體系，只能先對多個標準體系進行整合和梳理，因此建議保留初始合規(guī)標準的原型，在執(zhí)行人員出現(xiàn)疑問的時候能夠找到相關(guān)的依據(jù)。

5結(jié)語

本文以多年的供電企業(yè)信息安全合規(guī)管控執(zhí)行工作實踐為基礎(chǔ)，對信息安全多標準合規(guī)管控體系的研究與實踐進行了初步探討，也充分認識到多標準合規(guī)管控執(zhí)行過程中存在的問題和難點，將結(jié)合信息安全要求及技術(shù)發(fā)展不斷評審、完善，逐步體現(xiàn)該體系的實用性和執(zhí)行價值，為信息安全合規(guī)管控工作提供一定的指導和參考作用。

作者：鄧雄榮 單位:廣東電網(wǎng)公司東莞供電局