上世纪90年代以来,嘉兴电力局逐步建立了办公自动化(OA)、SAP系统、营销管理、95598客户服务、负荷管理、PI数据库等诸多信息系统,企业信息化在安全生产、经营管理、优质服务中发挥了极其重要的作用。与此同时,信息安全的篱笆墙也越扎越紧,有效地防范了外部的攻击和内部管理失控带来的种种威胁。因此嘉兴电力局先后被中电联授予“信息化先进单位”、“信息化标杆企业”等光荣称号。2006年贯彻ISO/IEC27001:2005信息安全管理标准,获得了挪威船级社DNV公司认证证书。
运用系统的思想和方法,查找信息安全管理的“短板”
管理思想和方法落后。过去基本上是参照电网安全管理的一些传统做法,没有体现信息化特点和要求,这样就越来越不适应信息系统的快速发展和变革。
管理对象不够全面。以往只考虑硬件、软件,忽视了人、数据和文档、服务、无形资产等重要对象,对外来人员也缺乏有效的识别管理。
管理制度不够系统。以前虽然制订了不少制度和标准,但随着信息化的发展,这些制度逐渐变得与现实要求不相适应。就事论事的管理方式必然会产生安全管理的盲区,有些制度内容重复、交叉、不一致,有些制度不切合实际,往往束之高阁。
风险评估不够科学。以往的信息风险评估就事论事,不够系统,主观性过强,缺乏综合平衡,抓不住重点,易过度保护,或产生管理死角,事后控制多,事前预控少,不能涵盖信息系统的生命周期。
上述情形是企业在信息化建设中普遍感觉到比较迷茫的问题,随着科学技术的进步,企业信息运行管理模式也发生了巨大的变化,为企业采用先进管理方式、建立信息安全管理体系打下了扎实的基础。为此,嘉兴电力局根据国际上信息安全管理的最佳实践,结合供电企业的实际,从信息安全风险评估管理人手,贯彻ISO/IEC27001:2005信息安全管理标准,建立了信息安全管理体系。通过体系有效运作,达到了供电企业信息安全管理“预控、能控、可控、在控”的目的。
从资产识别入手,搞好信息安全风险评估
嘉兴电力局按《信息安全风险评估控制程序》,对所有的资产进行了列表识别,并识别了资产的所有者。这些资产包括硬件与设施、软件与系统、数据与文档、服务及人力资源。对每一项资产按自身价值、信息分类、保密性、完整性、法律法规符合性要求进行了量化赋值。在风险评估中,共识别资产2810项,其中确定的重要资产总数为312项,形成了《重要资产清单》。
图1重要信息资产按部门分布图
对重要的信息资产,由资产的所有者(归口管理部门)对其可能遭受的威胁及自身的薄弱点进行识别,并对威胁利用薄弱点发生安全事件的可能性以及潜在影响进行了赋值分析,确定风险等级和可接受程度,形成了《重要资产风险评估表》。针对每一项威胁、薄弱点,对资产造成的影响,考虑现有的控制措施,判定措施失效发生的可能性,计算风险等级,判断风险为可接受的还是需要处理的。根据风险评估的结果,形成风险处理计划。对于信息安全风险,应考虑控制措施与费用的平衡原则,选用适当的措施,确定是接受风险、避免风险,还是转移风险。
嘉兴电力局经过风险评估,确定了不可接受风险84项,其中硬件和设施52项,软件和系统0项,文档和数据8项,服务0项,人力资源24项。
图2各类不可接受风险按系统分布图
根据风险评估的结果,对可接受风险,保持原有的控制措施,同时按ISO/IEC17799:2005《信息技术—安全技术—信息安全管理实施细则》和系统应用的要求,对控制措施进行完善。针对不可接受风险,由各部门制定相应的安全控制措施。制定控制措施需要考虑风险评估的结果、管理与技术上的可行性、法律法规的要求,以期达到风险降低的目的。控制措施的实施将从避免风险、降低风险、转移风险等方面,将风险降低到可接受的水平。
按照ISO标准要求,建立信息安全管理体系
嘉兴电力局在涉及生产、经营、服务和日常管理活动的信息系统,按ISO/IEC27001:2005《信息技术—安全技术—信息安全管理体系要求》规定,参照ISO/IECl7799:2005《信息技术·安全技术—信息安全管理实施细则》,建立信息安全管理体系,简称ISMS。
确定信息安全管理体系覆盖范围,主要是根据业务特征、组织结构、地理位置、资产分布情况,涉及电力生产、营销、服务和日常管理的40个重要信息系统。信息安全管理的方针是:“全面、完整、务实、有效”。
为实现信息安全管理体系方针,该局承诺:在各层次建立完整的信息安全管理组织机构,确定信息安全目标和控制措施,明确信息安全的管理职责,识别并满足适用法律、法规和相关方信息安全要求;定期进行信息安全风险评估,采取纠正预防措施,保证体系的持续有效性,采用先进有效的设施和技术,处理、传递、储存和保护各类信息,实现信息共享;对全体员工进行持续的信息安全教育和培训,不断增强员工的信息安全意识和能力;制定并保持完善的业务连续性计划,实现可持续发展。按照信息安全管理方针的要求,制定的信息安全管理目标是:2级以上信息安全事件为零,不发生信息系统的中断、数据的丢失、敏感信息的泄密;不发生导致供电中断的信息事故;减少涉密有关的法律风险。
嘉兴电力局根据风险评估的结果、企业的系统现状和管理现状,按照ISO/IEC27001:2005标准要求,整合原有的企业信息安全管理标准、规章制度,形成了科学、严密的信息安全管理体系文件框架,包括信息安全管理手册;《信息安全风险评估管理程序》、《业务持续性管理程序》等53个程序文件,制定了16个支撑性作业文件。
运用过程方法,实施信息安全管理体系
在信息安全管理过程中,重点是抓好人员安全、风险评估、信息安全事件、保持业务持续性等重要环节,采取明确职责、动态检查、严格考核等措施,使信息安全走上常态管理之路。
图3信息安全管理体系实施过程
重视信息系统安全管理。因为信息系统支撑着企业的各项业务,信息安全管理体系实施涵盖信息系统的生命周期,表现在信息系统的软(硬)件购置、设备安装、软件开发和系统测试、上线、系统(权限)变更等方面,严格执行体系的相关控制程序。
强化人员安全管理。在劳动合同、岗位说明书中,明确员工信息安全职责。特殊岗位的人员规定特别的安全责任,对信息关键岗位实行备案制度。对岗位调动或离职人员,及时调整安全职责和权限。定期对员工进行信息安全教育和技能培训、比武、考试。
重视相关方管理。对软硬件供应商、服务商、保卫、消防、保洁等人员,明确安全要求和安全职责。签订保密协议、办理入网申请、进行入网教育等。识别客户、合作方、相关方、法律法规对信息安全的要求,采取措施,保证满足安全要求。
建立信息安全的常态管理机制。对企业技术、业务目标和过程、已识别的威胁、实施控制的有效性、外部事件变更情况应及时进行风险评估。定期对信息安全进行定期或不定期的监督检查,包括日常检查、专项检查、技术性检查、内部审核等。嘉兴电力局2006年内审发现了57个不符合项,及时进行纠正,解决了用户权限、A/B岗、第三方访问、机房管理等一些重点问题,从而保证了信息安全管理的质量,有效地防范了信息安全事件和事故的发生。