電網(wǎng)信息系統(tǒng)安全工程的管理流程體系研究.pdf

1、隨著信息化建設(shè)步伐在各行各業(yè)中日益加快，已經(jīng)在軍工、電力、鋼鐵、汽車、電信等工程領(lǐng)域中得到了廣泛的應(yīng)用。然而，隨之而來的信息安全管理問題也日顯突出，成為信息安全事件時有發(fā)生的根本原因。目前，信息系統(tǒng)安全工程理論的研究在國內(nèi)起步，它從系統(tǒng)工程的角度出發(fā)，采用工程的概念、原理、技術(shù)和方法來解決企業(yè)級信息系統(tǒng)安全的管理問題。
　　電力行業(yè)作為國民經(jīng)濟基礎(chǔ)行業(yè)，由于其極為重要的經(jīng)濟地位和政治、軍事意義，對其進行信息安全保障具有很大的必要性

2、。同時，對其信息系統(tǒng)安全工程管理流程體系的研究也具有較大的實際意義。
　　本文首先從組織、制度和人員這三個方面對電網(wǎng)信息安全管理現(xiàn)狀進行了分析，并總結(jié)了目前存在的5個方面問題，即：（1）傳統(tǒng)管理模式和體制的束縛；（2）缺乏完善的信息安全管理組織架構(gòu)；（3）缺乏信息安全管理流程和體系的整體規(guī)劃；（4）信息安全管理意識薄弱；（5）專業(yè)的安全管理人才缺失。
　　針對以上問題以及電網(wǎng)信息安全的需求，結(jié)合系統(tǒng)安全工程過程能力成熟度模型

3、（SSE-CMM）和信息安全管理體系標準（BS7799），建立了電網(wǎng)信息安全管理過程的起始（I）、設(shè)計（D）、建設(shè)（C）、運維（M）等階段的管理流程（簡稱 IDCM）。其中，起始階段包括風險評估管理流程和需求分析管理流程，設(shè)計階段包括系統(tǒng)設(shè)計管理流程，建設(shè)階段包括系統(tǒng)實施管理流程和測試驗收管理流程，運維階段包括運維管理流程和應(yīng)急響應(yīng)管理流程。
　　通過IDCM管理流程體系在Y電網(wǎng)外部網(wǎng)站主機安全加固項目中的實踐和應(yīng)用，改善了Y電網(wǎng)

4、在信息安全工程項目中管理不力的現(xiàn)狀，填補了Y電網(wǎng)在信息安全管理流程方面的空缺，形成了信息系統(tǒng)安全工程管理在電力行業(yè)的最佳實踐。同時，IDCM管理流程體系也已經(jīng)在諸如運營商、金融證券、汽車、鋼鐵、能源、煤炭等不同行業(yè)中擁有越來越多的應(yīng)用案例，證明其具有較強的普適性和可操作性。
　　由此可見，隨著當前信息安全管理體系在政策和制度層面的日益成熟，本文所建立的IDCM管理流程體系能夠在實際操作層面與原有的管理體系形成有效互補，對各個領(lǐng)域的