一、方案背景
随着信息技术的发展,电力行业信息化程度日益提高,电网的安全稳定运行越来越依赖于信息系统安全,目前电力行业的信息安全技术设施建设逐渐完善,如防火墙、IDS等,但是我们应该意识到,技术在信息安全管理中并不是决定性因素,它起到的只是推动和促进作用,三分技术七分管理,而在信息安全管理中最容易被忽视的就是人因素,如何规范工作人员信息安全行为、提高信息安全意识,建立能够持续改进的信息安全管理机制,成为众多电力行业企业迫切需要解决的问题。
电力行业信息化目前存在诸多问题,如信息资产数量巨大难以梳理、IT服务外包绩效无法考评、信息安全管理没有规范流程、工作人员信息安全意识淡薄等,存在较大信息安全风险。ISO27001是源于最佳实践的成功的信息安全管理体系方法,通过在电力企业引入ISO27001,并与原有其它管理体系进行整合,帮助电力行业企业保障业务连续性,提高企业效益,实现战略目标。
二、方案内容
我国电力行业已经有众多大型企业建立信息安全管理体系,为信息安全管理体系在电力行业企业进行全面快速推广提供宝贵经验和借鉴范本。BJCA在为电力行业企业策划信息安全管理体系时,将充分借鉴电力行业成功经验,结合电力行业信息安全等级保护标准规范,充分整合企业现有的各种体系,如ISO9001、ISO20000等,建立起文件化的信息安全管理体系。
电力行业信息安全管理体系基本建设过程和内容如下图所示。
电力行业信息安全管理体系建设过程描述。
1、现状调研:对企业服务区域、信息系统安全等级、主要业务等进行调研;
2、风险评估:参考国际标准和电力行业行业评估规范进行风险评估,重点关注业务系统安全评估;
3、风险分析:对电力行业企业信息安全事件导致的经济损失、负面影响等进行分析;
4、整合现有管理体系:对企业现有的IT服务管理体系、质量体系等进行整合,提高工作效率;
5、体系建立和实施:参考电力行业大型企业的成功案例,建立文件化的管理体系;
6、评审和循环改进:在实施过程中,不断审视体系的合理性和可操作性,并根据实际情况进行调整;
7、认证辅导:协助企业准备通过认证所需的各种材料和相关事宜。
三、方案特点
BJCA电力行业信息安全管理体系咨询服务具有如下优势和特点。
1、对企业现有的多个管理体系,如质量管理体系、IT服务管理体系等进行整合,优化业务流程和管理结构,提高企业运营效率;
2、具有电力行业大型企业的信息安全管理体系建设实践经验,对电力行业的网络和系统结构以及业务特点有深刻理解,已经形成完整的体系化的方法论,信息安全管理体系具有较强的针对性和良好的可操作性;
3、融合我国电力行业信息安全保障要求和国际信息安全管理体系要求;
4、拥有专门从事信息安全咨询的服务人员100多人,是为客户提供高质量管理咨询服务的重要保障。
四、客户收益
BJCA政府行业信息安全管理体系咨询服务能为客户带来如下收益。
1、符合相关法律法规要求,保护企业和利益相关方的知识产权、商业秘密等;
2、提升企业声誉以及品牌认知度;
3、增强客户对企业的信任度;
4、加强员工的责任感;
5、减少经济损失和负面影响;
6、保持业务持续发展,提升企业核心竞争力;
7、提升信息安全水平。