张可心 刘颖 赵西林 吴利刚

摘要：近年来，网络與信息安全形势异常严峻，对公司网络安全工作提出了新的挑战。如何更好的建立网络与信息安全管理体系也成为了电力行业日益关注的焦点。基于此，本文对电力企业网络与信息安全管理体系建立，提出相应的见解和建议。

关键词：网络;信息安全管理;电力

中图分类号：TP309 文献标识码：A 文章编号：1007-9416（2019）12-0214-01

1 安全管理体系的建立

1.1 体系建立的思路

信通公司借鉴ISO/IEC 27001要求相关内容，参照国家电网公司信息通信专业管理制度体系，对国家电网公司已发行的50余套现行有效的信息通信专业的通用制度进行梳理编排，按照“五步法”展开体系的建立。

（1）策划与准备;（2）确定适用范围;（3）现状调查;（4）建立管理框架;（5）体系文件升级。经过以上5个步骤，信通公司形成了一套信息系统安全管理体系文件。该文件共包含五个部分。

1.2 体系建立的方法

系统管理方法属于一般科学方法论，按照事物本身的系统性把研究对象放在系统的形式中认识和考察的一种方法。信通公司运用系统管理法结合公司业务实际情况，将工作中的人员，设备，环境，制度，工作专业放在一个整体中考虑，按照实际工作需求，将工作分为四类：安全管理、项目建设、系统运行、客户服务，并对此四类工作展开制度分析，从背景、工作目标、分析方法、调研情况、存在问题、整改意见6个方面对安全管理体系展开分析。

2 安全管理体系建立领域

通过对适用的制度进行梳理，形成的安全管理体系包括安全管理、项目建设、系统运行、客户服务四大领域。

（1）安全管理域：安全管理工作主要负责维护并向班（组）员工提供安全的生产、工作环境，落实公司安全生产责任，负责中心安全管理，确保部门安全管理制度落实及监督，宣贯落实公司各项安全规章制度与技术标准，组织开展班（组）内部的安全教育培训。

（2）项目建设域：项目建设工作主要负责项目的正常实施，项目资料整理收集，项目开工验收，项目管控工作，确保项目符合要求。项目建设域将从事项目建设工作的人员需要遵循的制度以及提供相应的记录等内容模板建立框架，形成了从项目需求、储备、采购、建设实施、验收、归档等全过程的项目生命周期管理。

（3）系统运行域：系统运行工作负责信息调度值班工作组织与落实，确保调度值班工作有序开展，负责信息系统检修管理，确保检修顺利执行，负责信息系统突发事件处置，负责主机存储设备运行维护，虚拟化平台生产系统、虚拟化外网生产平台技术管理和运行维护、内、外网及DMZ区DNS域名服务器管理、动环系统维护管理，确保各信息系统的安全稳定运。

（4）客户服务域：客户服务工作负责客户服务管理工作，确保数据安全，保证不发生泄密事件，开展终端客户问题处理，保障客服终端机安全可用;负责视频会议保障，不发生视频会议中断。客户服务域将从事客户服务工作的人员需要遵循的制度以及提供相应的记录等内容模板建立框架，在提升桌面安全治理水平，持续推进计算机类固定资产精细化管理工作。

（5）体系的创新工具：在运用以往的体系文件时，由于体系涉及内容庞杂，制度条例众多，安全条例繁多，无法快递便捷找到需要的安全要求或是制度条例。信通公司通过梳理制度规程，制作一套信息网络系统安全管理体系速查工具通过将工作专业类型、制度、制度条例、所属章节、涉及的安全要求、安全要求对应记录模板、模板类型、负责岗位一一对应，方便人员在体系快速查找对应的工作要求。方便人员迅速快捷查找到所需内容。

3 电力关键信息基础设施运行的安全管理体系建设取得的成效

3.1 管理效益

信息安全管理体系是安全工作的基础，信息安全管理体系的完善，扎实推进本质安全建设，从而完成“三落实、三杜绝、三覆盖、一防范”的工作目标。在使用安全管理体系的过程中，摒弃了有碍发展的一些惯性思维和做法，通过统一认识，为深入开展安全体系管理创造了良好的思想环境，树立“我要安全”和“要你安全”的虔诚之心。强化“红线意识”和“底线思维”，坚决克服“信息通信专业不会出大事”的麻痹松懈思想，真正把安全第一的理念扎根思想深处。形成具有特质的安全生产文化，促进安全管理水平提升。

3.2 经济效益

通过安全管理体系，做到安全标准完整、安全防护立项审慎、内容务实、格式规范、检索快捷、管理科学、成效明显等七项总体要求，以更高的起点去规划计划、建设、运维、安全四大业务条线中涉及的安全问题。快速、便捷的索引工具，便于员工遵循贯彻、从而使安全管理体系的科学性、完整性、适用性大幅提升。使用安全管理体系后，安全计划方面，计划准备工作从梳理制度、编制计划方案、组织队伍、落实计划等各个环节均得到有效提升。计划准备工作中使用安全速查工具，快速检索工作专业类型、制度、制度条例、涉及的安全要求、安全要求、负责岗位，制定计划时间节省20%。建设方面从制度落实，实施开展等环节，整改安全责任3项，规范性操作提升30%。运维方面，通过落实安全责任，整改检修不规范操作8项，完善检修制度中不明确处7项，并形成实施细则。将实施细则落实到检修工作中，检修规范性提高15%，有力的保障了业务系统的稳定运行。安全方面，依据国网网络安全制度要求，构建网络与信息安全防护体系，完善网络安全装置3项，加强了网络防护措施、防范了网络风险;完善机房装置4项，为信息系统可靠运行提供坚强环境保障。

参考文献

[1] 王栋，李瑞雪，来风刚.提升关键信息基础设施安全可控仿真验证能力[J].中国信息安全，2016（03）：95-97.

[2] 王惠莅.切实加强关键信息基础设施网络安全保护[J].信息技术与标准化，2018（06）：18.

Construction and Practice of  Safety Management System for Power Critical Information Infrastructure Operation

ZHANG Ke-xin，LIU Ying，ZHAO Xi-lin，WU Li-gang

（Shaanxi Electric Power Company，Xi'an  Shaanxi  710004）

Abstract：In recent years， the situation of network and information security has been extremely severe， which has brought new challenges to the company's network security work. How to better establish the network and information security management system has also become the focus of increasing attention in the power industry. Based on this， this article puts forward the corresponding insights and suggestions for the establishment of the power enterprise network and information security management system.

Key words：network; information security management; electricity