电力企业如何实施基于ISO 27001的信息安全管理体系

摘要：随着电力行业信息化程度的提高和各种复杂信息系统的广泛应用，信息安全成为一个热门话题。要想解决各种信息安全问题，除了实施相应的技术手段外，管理手段也是十分重要的。为此玉溪供电局高瞻远瞩，锐意改革创新，引入了ISO/IEC 27001信息安全管理标准，对玉溪供电局的网络和信息安全工作全面规划，建立了全面的、切实可行的信息安全管理体系，保证信息安全风险始终处于可控制状态。

关键词：信息安全管理；ISO/IEC 27001；PDCA；资产识别；风险评估

中图分类号：TP393 文献标识码：A 文章编号：1009-2374（2011）30-0034-02

一、项目背景

电力工业是国民经济的支柱产业，电力工业的安全问题直接关系到各行各业的发展和人民的生活水平，关系到国家安全和社会稳定。当前流行的信息技术的广泛应用大大改变了电力企业传统的经营管理模式和手段，支撑着电力生产、营销和管理的全过程。如何有效保障信息安全，从而保证整个电力企业的生产安全，成为电力行业目前积极探索的新课题。

在这个大环境下，玉溪供电局作为云南电网的改革试点单位，大力进行改革创新，引入国际信息安全管理标准ISO/IEC 27001，建立了完整的信息安全管理体系，有效的保证了信息安全，取得了很好的收效。

二、ISO/IEC 27001简介

ISO/IEC 27001是有关信息安全管理的国际标准。最初源于英国标准BS7799，经过十年的不断改版，终于在2005年被国际标准化组织（ISO）转化为正式的国际标准，于2005年10月15日为ISO/IEC 27001:2005。该标准可用于组织的信息安全管理体系的建立和实施，保障组织的信息安全。标准的要求主要包括11个安全控制域、39个安全控制目标和133项安全控制措施。标准采用PDCA过程方法，基于风险评估的风险管理理念，全面系统地持续改进组织的安全管理。其正式名称为：《ISO/IEC 27001:2005 信息技术―安全技术―信息安全管理体系―要求》。

三、项目实施方法论

玉溪供电局在整个信息安全体系建设过程中，根据安全风险是相对的和动态的基本概念，遵循P(Plan 计划)-D(Do 实施)-C(Check 检查)-A(Act 持续改进)的方法论，见下图：

四、项目实施中若干重要环节

标准中只是提出了一些原则性的建议和要求，但是如何按照这些要求建立一套符合局实际情况，能够顺利推行和实施的信息安全管理体系是非常具有挑战性的。局项目组成员与上海天帷公司的同事一起积极探索，紧密结合局信息安全建设的现状和要求，认为资产识别、风险评估、文件编制、运行实施、审核等是整个过程的重要环节。

（一）资产识别

资产识别是信息安全管理工作的重要步骤和基础，信息安全就是要保证信息和资产的安全。所谓资产识别就是要识别ISMS管理范围内的信息资产以及这些资产的所有者，形成资产清单。玉溪供电局在资产识别中把资产分为5类：文档和数据、软件和系统、硬件和设施、人力资源、其他等。

（二）风险评估

风险评估是信息安全工作的一个重要步骤，通过风险评估，找到组织在信息安全方面的差距，才能有针对性的制定相应的策略和改进措施。

通过风险评估，形成《风险评估表》、《风险评估报告》、《风险处置计划》等。为了保证风险评估结果的客观性和可操作性，建立了一个定量的风险评估方法论。

风险值＝威胁发生可能性×影响程度等级×现有控制措施有效性赋值。通过制定风险等级划分标准来确定风险等级。将等级划分为五级，等级越高，风险越高。

对于不可接受风险的确定和处理要慎重，不要一味的将所有的风险都归为不可接受风险，要时刻牢记风险的处理是要付出成本的，所以需要综合考虑风险控制成本与风险造成的影响来制定风险的可接受准则。风险的处置有4种方式：规避风险、降低风险、转移风险、接受风险。对于不可接受风险应根据选择的风险处理方式控制残余风险。

（三）文件编制

为了响应云南电网公司的一体化管理制度，在信息安全建设中将针对信息安全标准ISO/IEC 27001要求的文件进行统一整理，对原有《信息安全管理办法》的修编。形成了新版的《信息安全管理办法》，覆盖了27001的11个安全领域的要求。

另外，为了使新版的《信息安全管理办法》能够更好的落地执行，在信息安全体系建设过程中，制定了60多个操作性很强的记录表格表单，以辅助各部门能够更好的执行信息安全体系的要求，比如：《机房巡检记录表》、《防范病毒管理表》、《重要应用系统权限评审表》等。

（四）运行实施

我局在信息安全体系运行实施的过程中采取了多种措施来促进体系的落地工作，比如进行信息安全意识和知识培训，张贴宣传海报，在电梯口液晶电视和LED大屏上播放信息安全宣传视频，进行模拟审核和安全工作检查等，真正做到了全员参与。

同时我局还建立了畅通的意见反馈机制，任何人对当前的信息安全体系有意见和建议，都可以通过局OA系统提交。信息运营中心会对所有提交的建议进行整理和归纳，以发现改进的机会，真正实现了PDCA循环，使局的信息安全管理工作持续改进和螺旋式上升。

五、项目实施经验和注意事项

玉溪供电局按照ISO/IEC 27001的要求建立了符合本局实际情况的信息安全管理体系，经历了资产识别、风险评估、体系建设和实施、内审和审核，最后取得了认证证书。在这个过程当中，总结了一些实施的经验和注意事项。

（一）领导重视

信息安全管理工作是一项牵扯到局各部门的工作，需要投入相应的人力、物力和财力，所以必须有局领导的大力支持，才能顺利的进行和更好的实施。

（二）全员参与

安全不是某一个部门或者某一个人的事情，而是关乎全局所有部门。需要各个部门的共同努力和协调一致的工作，才能保证真正意义上的信息安全，任何一个部门出了问题都将对局信息安全构成威胁。

（三）持续改进

信息安全工作不是一朝一夕的事情，需要持续改进和不断完善。而且风险也是动态的，为了保证信息安全和控制风险始终在可接受的范围内，信息安全工作应当是一件长期的工作。

（四）平衡原则

安全只是相对的，没有绝对的安全，而且任何降低风险的措施都是需要一定的投资，可能是金钱的，也可能是人力资源的。所以一定要平衡投资和风险降低之间的关系，不要一味的为了降低风险而作一些不适当的投入。

六、结语

玉溪供电局通过ISO 27001的认证并获得证书，不仅是对前期信息安全体系建设工作的充分肯定，而且对后续信息安全管理体系运行工作提出了新的更高的要求和目标。局信息运营中心要在局领导的正确领导和大力支持下，在以后局信息安全工作中，对现有体系进行持续改进，使本体系更加符合玉溪供电局的实际情况，为玉溪供电局的信息安全工作保驾

护航。

参考文献

[1] 曹天杰，等．计算机系统安全[M]．北京：高等教育出版社，2007．

[2] ISO/IEC 27002:2005信息安全管理实用规则．