供电企业信息安全论文

1电力行业信息安全合规管控遇到的难题和挑战

（1）检查单位多、标准不一目前，供电企业经常面临着诸如安全等级保护、IT治理、安全督查、一体化风险评估、入网安评等合规标准的检查和执行问题。以上检查标准的关注点、执行单位、检查要求各不相同。

（2）检查手段、结果重复每年国家、行业或上级单位会定期下发相关检查要求，并通过现场检查、远程扫描、配置核查、渗透测试等手段对供电企业进行合规性安全检查，检查内容和结果容易存在一定的重复性，建立和整合统一风险库也存在一定难度。

（3）安全合规工作繁重供电企业安全人员在执行安全合规工作的过程中，不可避免地要在每次合规检查中面临自查、加固、迎检、整改、复查等一系列工作，当此系列工作在一定时间内重复出现的时候，合规管控工作将变得繁重且效率不高。

（4）相关人员协调难度大信息安全管控工作往往跨越多个部门，横向沟通成本较大、难度也高。最常见的问题就是实施方和相关配合人员因关注点不同而导致的工作分歧，若合规检查时需要相关部门及人员多次重复性工作，往往导致人员情绪抵触并影响工作效率。

2多标准合规管控概念的提出

针对以上信息安全合规管控工作中遇到的难题和挑战，本文提出了多标准合规管控的概念，试图通过对各个合规标准进行研究和学习，探寻一条可以减轻合规管控过程中工作量繁重、重复的道路，研究一套把多个合规标准整合和统一的方法论。多标准合规管控，就是以现有的信息安全等级保护、IT治理、安全督查、一体化风险评估、入网安评、安全基线等标准为理论和参照基础，通过进一步的比对梳理、分析、加工和整合，形成一个更具体的安全执行标准库，覆盖目前所有的检查要求，是所有检查标准的最大并集，利用此执行标准指导信息安全的合规管控工作，争取达到一次配置满足多个标准的目的。

3多标准合规管控体系建立

本文以信息安全等级保护、IT治理、安全督查、一体化风险评估、入网安评、安全基线等标准为理论和参照基础，阐述多标准合规管控体系的建立过程。建立PDCA过程指导思想：通过对现有各个合规标准的体系文件、测评要求、规范标准进行对比、分析、梳理和整合，制作出多标准合规管控体系的相关组件文档，具体包括体系文件、配置方法、规范标准。主要研究步骤如下：

（1）理解各信息安全检查的要求、目的和目标

①安全等级保护信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。

②IT治理IT治理是企业治理在信息时代的重要发展，用于描述企业或政府是否采用有效的机制，使得IT的应用能够完成组织赋予它的使命，同时平衡信息技术与过程的风险、确保实现组织的战略目标。

③安全督查信息安全督查是供电企业根据国家信息安全管理体系要求、结合供电企业信息技术监督规范的要求建立的日常工作机制，负责各单位的信息安全技术指导、监督、检查、督促改进等工作。

④入网安评为保障信息系统的正常运行，需加强系统及设备入网管理，规范新设备入网前的相关活动并进行安全评测，保障每一台入网设备都符合企业安全规范要求，不会给现有网络带来新的安全隐患。

（2）对各合规标准进行对比分析，找出异同点通过仔细的分析对比，找出各合规标准要求项的差异并进行标注，研究差异的原因，探讨差异点存在的价值。由于企业安全基线经过多年的实践和修正，具有较高的规范性和实操价值，符合供电企业的IT现状，故以安全基线文档为底板进行增删减优化操作。

（3）整合和梳理各合规标准，形成备查项将各合规标准整合到统一文档表格中，并以安全基线、等级保护测评要求文档为主要参照物，对其他合规要求进行梳理和排序。通过不同标准文件对相同控制点的不同描述进行再加工，整合出一个覆盖各个标准要求的执行标准。此步骤不仅方便标准集合的制作，也保留了各个标准要求的原貌，方便日后查阅检索。下表示例说明某个信息安全控制点执行标准集合：

（4）整合多个合规标准，形成具体执行标准要求通过上一步骤对统一文档产生的执行标准集合进行提炼和整合，排序形成涵盖多个合规标准的具体执行规范文档。

4多标准合规管控设计重点难点分析

（1）设计过程考虑最小和最大安全保障问题信息系统安全基线是一个信息系统的最小安全保证，即该信息系统最基本需要满足的安全要求；而信息安全执行标准在某一个程度上是一个信息系统的最大安全保证，即信息安全执行标准已经覆盖了合规管控的多个标准要求。如何在最小安全保证和最大安全保证之间进行取舍与平衡，是企业面临的首要问题。本文建议解决办法是保留各个标准的要求文档，供执行人员备查，在实际执行过程中根据系统级别进行相应的取舍。

（2）设计过程考虑结果文档的来源问题信息安全执行标准是一个实践性文档，在实践的过程中难免会存在疑问和顾虑，如何快速并准确地定位到配置要求的来源和依据是面临的第二个问题。由于短期无法一次性创造一个安全合规体系，只能先对多个标准体系进行整合和梳理，因此建议保留初始合规标准的原型，在执行人员出现疑问的时候能够找到相关的依据。

5结语

本文以多年的供电企业信息安全合规管控执行工作实践为基础，对信息安全多标准合规管控体系的研究与实践进行了初步探讨，也充分认识到多标准合规管控执行过程中存在的问题和难点，将结合信息安全要求及技术发展不断评审、完善，逐步体现该体系的实用性和执行价值，为信息安全合规管控工作提供一定的指导和参考作用。

作者：邓雄荣 单位:广东电网公司东莞供电局