電網企業基于PDCA的信息安全治理提升方法研究與應用論文
1 引言
“十一五”期間,國網公司按照“雙網雙機、分區分域、等級防護、多層防御”的信息安全防護總體策略,完成了等級保護縱深防御體系建設,信息安全整體防護能力顯著增強。但是,深入分析信息安全現狀,部分單位還存在人員意識不強、自建系統防護能力不高、管理技術措施落實不嚴格等問題;另外,傳統分專業條塊式的信息安全管理模式制約整體安全管理水平提升。更重要的是,隨著智能電網和“三集五大”的快速推進,對現有信息安全工作提出了更高的要求。
2 治理提升的目標
通過對全部在運的電力二次系統、管理信息系統、電力通信網絡、統推系統及自建系統存在的信息安全風險隱患進行治理提升,最終實現如圖1所示的信息安全治理提升目標全景視圖。
(1)解決長期以來信息安全分專業條塊式管理被遺漏的問題,實現統一管理、多方聯動,從查漏補缺、被動防御向整體掌控、主動防御轉變。
(2)解決各級單位、各專業存在的問題和薄弱環節,避免信息安全“碎片化”和“木桶效應”,有效降低縣供電企業信息化延伸覆蓋建設帶來的信息安全風險。
(3)實現信息安全責任全面覆蓋、措施全面落實、對象全面管控、風險全面監控,消除思想認識的誤區、管理與技術的盲區、執行規定的死區。
(4)深入落實12項安全管理手段和8項技術措施,實現生產控制大區和管理信息大區的物理安全、設備安全和數據安全等覆蓋所有對象和環節的全方位安全。
3 基于PDCA的三段式治理提升方法
3.1 PDCA循環
PDCA循環又名戴明環,包括Plan(計劃)、Do(執行)、Check(檢查)和Act(修正)四個環節,是全面質量管理所應遵循的科學程序,具體含義:(1)P (P lan) 計劃,包括方針和目標的確定,以及活動規劃的制定;(2)D (Do) 執行,根據已知信息設計具體方法、方案和計劃,再具體運作,實現計劃;(3)C (Check) 檢查,總結執行計劃的結果,明確效果,找出問題;(4)A (Act)修正,對檢查結果進行處理,對成功經驗加以肯定并標準化,對失敗教訓進行總結,引起重視。對于沒有解決的問題,提交下一個PDCA循環解決。以上四個過程周而復始進行,一次循環結束,解決一些問題,未解決的問題進入下一次循環,如此階梯式上升。
3.2 治理提升理念
基于業界關于信息安全治理提升方法的研究成果并結合實踐經驗,提出了一個實效性更強的模式,如圖2所示。通過清查摸底、達標治理、長效提升三個主要階段開展工作,將PDCA 方法融入治理提升各個階段,堅持“嚴清查、抓治理、促提升”的三段式理念,站在覆蓋“全業務、全單位、全系統、全過程”的高度,按照“橫向到邊、縱向到底”的原則,有效解決當前信息安全工作的缺陷和不足,從根本上降低信息安全風險,加快信息安全主動防御體系建設。
3.3 治理提升的流程
如圖3所示,治理提升工作主要分三個階段開展:第一階段是清查摸底,完成宣貫培訓、問題自查和安全備案等工作;第二階段是達標治理,依據頂層優化設計開展問題隱患整改實施;第三階段是長效提升,制定持續整改方案,鞏固治理成效,推進長效提升。專項活動由省、市、縣三級工作組整體管控,各單位具體開展各項工作,最終實現信息安全長效提升。
3.3.1 嚴格清查摸底
該階段工作應抓好幾個關鍵方面。
(1)重視方案編制、創新培訓宣貫。通過編制總體工作方案等指導性文件,明確做什么、誰來做、怎么做,分解工作任務,列出工作重點,通過任務表明確具體內容、責任單位和時間節點。編制人員應涉及各部門,以及省、市、縣各層面的代表單位。
為規范工作方法,統一工作標準,采取現場集中、電視電話、網絡視頻等多種形式,省市縣三級聯動,三級聯訓,三級釋疑,演示講解工作方法,答疑解惑,提煉方法。通過網站、海報、滾動屏等多種途徑,大力宣傳治理提升工作。編制專項工作簡報,建立各單位學習交流平臺,共享典型經驗和創新做法。
(2)注重工作方法、嚴抓工作落實。問題自查方面,檢查對象要涵蓋系統、終端、網絡、通信、責任、機房等六個方面,檢查內容包括管理責任、運維責任、督查責任、安 監責任、安全準入、建設安全、運行安全、數據安全、安全審計及監測九大項涉及的所有檢查點。通過設計科學合理的考核指標(自查階段發現上報問題隱患但數量越多、質量越高予以加分)來激勵各單位充分發現暴露問題隱患。安全備案方面,對在用信息資產全部進行備案,生成唯一備案編號;根據備案信息逐個核查安全現狀,以及參數配置、防護拓撲等關鍵信息與實際現狀的符合情況。
實行省市縣三級專人包干負責制,省級工作組每人負責2家地市公司(直屬單位),地市級工作組每人負責1家縣公司。包干負責人要既管進度、又控質量,每日跟蹤進度、匯總問題、督促指導。
3.3.2 狠抓達標治理
組織開展現場檢查督導,徹底摸清信息通信安全方面存在的風險和隱患,確保治理提升各項工作扎實開展、取得實效。事前制定標準化檢查大綱,確定檢查詳細內容,為量化評價提供依據。檢查大綱應包括責任落實、機房基礎環境、網絡邊界、業務系統、終端、通信安全、安全備案等工作,涵蓋管理制度、反措、機房供電、機房環境、通信網絡、信息網絡、信息系統、信息安全、通信光纜、通信設備、備品備件、應急管理十二個方面的所有檢查內容。
通過匯報座談,資料查閱、現場查看等方式,對照大綱逐項逐條檢查,主要采取現場測試查驗的方式。檢查完畢即刻組織召開反饋會議,指出存在的問題隱患,分析具體原因,深入討論整改措施和意見,形成整改指導意見和手冊,督促各單位實施整改。
3.3.3 督促長效提升
(1)樹典型、立標桿。根據階段工作審查結果和現場檢查督導情況,綜合分析各單位的優勢和劣勢,樹立機房基礎環境、設備線纜標簽、日常運行維護、辦公終端安全和通信網絡安全等單項工作典型示范單位,由典型示范單位編制單項工作優化提升經驗方案,促動各單位向典型示范單位學習。建立對口幫扶關系,典型示范單位聯系對應幫扶單位,指導問題整改,實現工作提升。將幫扶成效納入年度同業對標,形成典型示范單位深入幫扶、扎實幫扶的良好氛圍,確保被幫扶單位問題隱患得到整改。
(2)強化管控、落實整改。將各單位還未完成整改的問題列入管控表,同時納入信息安全督查管理。強化安全督查工作,嚴格執行“紅黃牌”制度和整改督辦機制,指定專人負責并明確職責,對限期內未整改的發放黃牌督辦警告,對督辦期內未整改的發放紅牌通報處理,并對其進行約談,采用“說清楚”方式,曉以利害,讓其分析原因,陳述理由,簽訂軍令狀,做出承諾保證。
4 治理提升經驗與主要做法
4.1 重點工作目錄機制
為做到既突出重點,又彌補短板,建立了重點工作目錄機制,將信息安全重中之重和日常關注較少的內容進行重點治理,針對每一項重點工作設立專門的管控組跟蹤負責,管控組成員涵蓋主專業和相關專業,實行一人多責制。重點治理內容包括生產控制大區系統設備、配網自動化建設等多個方面,可根據自身實際情況確定。如圖4所示。
4.2 反常規檢查機制
長期以來,電網企業缺乏對信息安全和保密工作負責部門相應工作進行有效監督的機制。信息安全工作方面,安全督查由信通部門組織,督查隊伍具體執行,督查工作中信通部門和督查隊伍所在單位的問題隱患發現處理的真實性和有效性不能得到有效保證。保密管理工作方面,保密委員會下設保密辦,掛靠在辦公室,保密檢查工作開展過程中對辦公室問題隱患發現處理的真實性和有效性也不能得到嚴格保證。深入分析這一現實問題,首次將回避原則引入監督檢查,建立反常規檢查機制,如圖5所示,將信息安全督查和保密管理檢查有機結合,保密部門參與信息安全督查,對信息安全工作部門和單位督查時承擔牽頭負責職能;信息安全部門和督查隊伍參與保密檢查,對保密工作部門檢查時承擔牽頭負責職能。
4.3 人力資源保證和績效考核
成立以主管領導為組長,治理提升主要部門負責人為副組長的領導小組,領導小組下設工作組和檢查組。工作組組長設置打破慣例,由信通、調控、運檢、營銷部門主要負責人共同擔任,向領導小組匯報工作。工作組下設聯絡小組和重點工作管控小組,聯絡小組負責日常工作的通知傳達,管控小組對重點治理工作專門負責。檢查組人員覆蓋省、市、縣三個層面,信息安全、保密管理、調控、運檢、營銷五個專業。實現多專業協同工作,各層面順暢溝通,如圖6所示。
制定績效考核辦法,將治理提升工作開展情況納入同業對標考核范圍,一是自查階段發現上報問題隱患分數量和質量兩個維度進行考核,數量超過平均數、發現重大問題予以加分;創新點二是現場檢查督導發現非常規問題和較難發現的隱患不考核,但對自查階段發現問題隱患的整改和計劃制定情況進行考核。
5 結束語
本文提出的基于PDCA的三段式信息安全治理提升方法通過在國網甘肅省電力公司進行實踐應用,取得了較好的成效,問題隱患得到有效治理,信息安全總體水平有了一定提升,補丁安裝率提升8%,漏洞整改率提升12.7%,疑似敏感郵件數降低9.6%,月度內網掃描發現中高危漏洞數降低17%,月度互聯網途徑掃描發現中高危漏洞數降低至0個。該方法的成功實踐是電網企業的典型案例,并入選國網公司2013年同業對標信息通信管理專業典型經驗,對于各級電網企業開展信息安全治理提升工作具有一定借鑒價值。
【電網企業基于PDCA的信息安全治理提升方法研究與應用論文】相關文章:
關于物聯網的信息安全技術研究論文09-29
信息技術應用能力提升計劃范文12-15
信息技術應用能力提升培訓心得11-17
個人信息技術應用能力提升的計劃09-21
信息技術應用能力提升工程培訓心得12-14
個人信息技術應用能力提升計劃10-24
信息技術應用能力提升培訓個人總結11-24
企業知識管理應用論文12-30
信息技術應用能力提升心得體會11-24
個人信息技術應用能力提升計劃集錦10-18
- 相關推薦