创新信息平安调研报告上世纪九十年代以来,嘉兴电力局逐步建立了办公自动化(oa)、sap系统、营销管理、95598客户效劳、负荷管理、pi数据库等诸多信息系统,企业信息化在平安生产、经营管理、优质效劳中发挥了极其重要的作用。与此同时,信息平安的篱笆墙也越扎越紧,有效地防范了外部的攻击和内部管理失控带来的种种威胁。嘉兴电力局先后被中电联授予“信息化先进单位〞、“信息化标杆企业〞等荣耀称号。xx年贯彻iso/iec27001:xx信息平安管理标准,获得了挪威船级社dnv公司认证证书。一、运用系统的思想和方法,查找信息平安管理的“短扳〞随着企业信息化的快速开展,信息平安管理工作显得相对滞后。管理思想和方法落后。过去根本上是参照电网平安管理一些传统做法,没有表达信息化特点和要求,越来越不适应信息系统的快速开展和变革;管理不够全面。以往只考虑硬件、软件,无视了人、数据和文档、效劳、无形资产等重要对象,对外来人员也缺乏有效的识别管理;管理制度不够系统。以前虽然制订了较多的制度和标准,当信息化开展到一定程度,这些制度就显得很薄弱,就事论事的管理方式必然会产生平安管理的盲区,有些制度内容重复、交叉、不一致,有些制度不切实际,往往束之高阁;风险评估不够科学。以往的信息风险评估不够系统,主观性过强,缺乏综合平衡,抓不住重点,或过度保护,或产生管理死角,事后控制多,事前预控少,不能涵盖信息系统的生命周期。上述情形是企业在信息化建设中普遍感觉到的问题。随着科学技术的进步,企业信息运行管理模式也发生了巨大的变化,为企业采用先进管理方式、建立信息平安管理体系打下了扎实的根底。为此,嘉兴电力局根据国际上信息平安管理的最正确实践,结合供电企业的实际,从信息平安风险评估管理入手,贯彻iso/iec27001:xx信息平安管理标准,建立了信息平安管理体系。通过体系有效运作,到达了供电企业信息平安管理“预控、能控、可控、在控〞的目的。二、从资产识别入手,搞好信息平安风险评估按信息平安风险评估控制程序,对所有的资产进行了列表识别,并识别了资产的所有者。这些资产包括硬件与设施、软件与系统、数据与文档、效劳及人力资源。对每一项资产按自身价值、信息分类、保密性、完整性、法律法规符合性要求进行了量化赋值。在风险评估中,共识别资产282023项,其中确定的重要资产总数为312项,形成了重要资产清单。图1.重要信息资产按部门分布图对重要的信息资产,由资产的所有者(归口管...
