中國(guó)電力投資集團(tuán)安全科技信息部信息化系統(tǒng)處郭大亮




       集團(tuán)企業(yè)未來(lái)業(yè)務(wù)發(fā)展需要IT能力的強(qiáng)力支撐，而信息安全管理能力是企業(yè)IT能力的基礎(chǔ)，當(dāng)前企業(yè)信息化過(guò)程中出現(xiàn)的安全問(wèn)題急待解決，否則會(huì)影響企業(yè)技術(shù)進(jìn)步及業(yè)務(wù)發(fā)展。
       郭大亮認(rèn)為集團(tuán)企業(yè)信息安全重要性逐步得到管理層的重視，企業(yè)近年來(lái)加強(qiáng)了信息安全管理工作，但集團(tuán)企業(yè)的信息安全管理工作存在以下難點(diǎn)：橫向業(yè)務(wù)寬，業(yè)態(tài)多，安全要求不統(tǒng)一；縱向業(yè)務(wù)深，層次多，安全措施難落地；信息資產(chǎn)廣，分類多、定秘管控任務(wù)重；安全治理弱，執(zhí)行難，安全步調(diào)難一致；監(jiān)管壓力大，婆婆多，應(yīng)付檢查工作忙。
       如何解決當(dāng)前企業(yè)中出現(xiàn)出現(xiàn)的安全問(wèn)題，提高支撐業(yè)務(wù)發(fā)展所需要的IT能力，滿足監(jiān)管對(duì)信息安全的要求”的目標(biāo)？我們是采取出現(xiàn)一個(gè)問(wèn)題解決一個(gè)問(wèn)題的方式，還是要建立一個(gè)完整的信息安全保障體系來(lái)應(yīng)對(duì)已有或未知的各種信息安全風(fēng)險(xiǎn)？我們可定會(huì)選擇后者。
郭大亮認(rèn)為信息安全管理不應(yīng)當(dāng)只是應(yīng)付上級(jí)檢查的權(quán)宜之計(jì)，也不應(yīng)當(dāng)僅僅是應(yīng)對(duì)當(dāng)前信息安全與IT風(fēng)險(xiǎn)的、頭痛醫(yī)頭、腳痛醫(yī)腳的方法。企業(yè)信息安全保障體系建設(shè)要引入“七分養(yǎng)、三分治”的方法，要結(jié)合各類IT風(fēng)險(xiǎn)與信息安全控制標(biāo)準(zhǔn)規(guī)范及最佳實(shí)踐，建立建立一套完善的IT風(fēng)險(xiǎn)保障體系和長(zhǎng)效的管理機(jī)制，以應(yīng)對(duì)已經(jīng)出現(xiàn)或未來(lái)可能出現(xiàn)的各類IT風(fēng)險(xiǎn)，安全體系建設(shè)要遵循總體規(guī)劃、安全規(guī)范、局部試點(diǎn)、全面推廣分步來(lái)實(shí)施。
       中電投集團(tuán)根據(jù)集團(tuán)的實(shí)際情況，當(dāng)前正在對(duì)集團(tuán)信息安全進(jìn)行總體規(guī)劃，重點(diǎn)確定集團(tuán)信息安全總綱、信息安全組織、信息安全架構(gòu)和安全管理框架。在設(shè)計(jì)信息安全體系架構(gòu)的基礎(chǔ)上，需要根據(jù)企業(yè)的特點(diǎn)分階段實(shí)施風(fēng)險(xiǎn)控制；信息安全保障體系應(yīng)當(dāng)是一種兼顧各種控制規(guī)范的可持續(xù)的管理體系；安全保障體系在建設(shè)過(guò)程中需要有
精細(xì)化的推進(jìn)方法，確保相關(guān)控制措施可以落地。