內(nèi)蒙古電力公司信息化建設(shè)三期安全咨詢平臺(tái)建設(shè)
內(nèi)蒙古電力公司作為省級(jí)管理電網(wǎng)企業(yè),經(jīng)過(guò)近幾年的信息化基礎(chǔ)設(shè)施建設(shè),信息化水平穩(wěn)步提高,但信息安全水平仍處于起步階段,面臨著各類信息安全風(fēng)險(xiǎn)。在自身發(fā)展需求和外部推動(dòng)下,內(nèi)蒙古電力公司迫切需要建立健全信息安全保障體系,全面提升信息安全水平。
1、項(xiàng)目背景
內(nèi)蒙古電力公司作為省級(jí)管理電網(wǎng)企業(yè),經(jīng)過(guò)近幾年的信息化基礎(chǔ)設(shè)施建設(shè),信息化水平穩(wěn)步提高,但信息安全水平仍處于起步階段,面臨著各類信息安全風(fēng)險(xiǎn)。在自身發(fā)展需求和外部推動(dòng)下,內(nèi)蒙古電力公司迫切需要建立健全信息安全保障體系,全面提升信息安全水平。
在此背景下,針對(duì)管理信息大
區(qū),內(nèi)蒙古電力公司啟動(dòng)安全咨詢項(xiàng)目,開(kāi)展信息安全保障體系的規(guī)劃設(shè)計(jì),指導(dǎo)未來(lái)3-5年的信息安全保障體系建設(shè)工作。
2、解決方案
■ 項(xiàng)目目標(biāo)
內(nèi)蒙古電力公司信息化建設(shè)三期安全咨詢項(xiàng)目的項(xiàng)目目標(biāo)為:
1. 通過(guò)開(kāi)展信息安全體系建設(shè)工作,全面識(shí)別內(nèi)蒙古電力集團(tuán)相關(guān)業(yè)務(wù)系統(tǒng)在信息安全技術(shù)層面、信息安全管理層面、信息安全運(yùn)維層面存在的不足和差距,充分借鑒國(guó)內(nèi)信息安全實(shí)踐和成熟的理論模型,設(shè)計(jì)合理的信息安全保障體系,從而保證業(yè)務(wù)系統(tǒng)能夠長(zhǎng)期穩(wěn)定運(yùn)行和不斷完善和發(fā)展,適應(yīng)內(nèi)蒙古電力集團(tuán)不斷擴(kuò)展的業(yè)務(wù)應(yīng)用和管理需求。
2. 根據(jù)ISO20000和ISO27001認(rèn)證體系流程,對(duì)內(nèi)蒙古電力信息通信分公司信息機(jī)房開(kāi)展信息技術(shù)服務(wù)管理體系的建設(shè)輔導(dǎo),對(duì)內(nèi)蒙古電力信息通信分公司開(kāi)展信息安全管理體系建設(shè)輔導(dǎo),并協(xié)助其完成ISO20000和ISO27001體系認(rèn)證,獲得《信息技術(shù)服務(wù)管理體系認(rèn)證證書》和《信息安全管理體系認(rèn)證證書》。
基于上述項(xiàng)目目標(biāo),結(jié)合項(xiàng)目具體實(shí)施內(nèi)容,制定項(xiàng)目個(gè)性化的實(shí)施路線,如下圖所示:
■ 核心內(nèi)容
1. 信息安全保障體系規(guī)劃
依據(jù)國(guó)家信息安全等級(jí)保護(hù)、ISO/IEC 27001及ISO/IEC 20000等信息安全標(biāo)準(zhǔn)規(guī)范,參考銀行業(yè)、電信行業(yè)信息安全保障體系的最佳實(shí)踐,結(jié)合管理信息大區(qū)信息安全現(xiàn)狀診斷成果,在保障信息安全體系合規(guī)的基礎(chǔ)要求下,融合新型網(wǎng)絡(luò)攻擊解決方案,從全體系、全覆蓋角度,整合內(nèi)蒙古電力公司管理信息大區(qū)人員、設(shè)備、信息、環(huán)境、流程等各項(xiàng)因素,對(duì)內(nèi)蒙古電力公司管理信息大區(qū)信息安全保障體系進(jìn)行規(guī)劃,所規(guī)劃的信息安全保障體系從三個(gè)層次體現(xiàn):
▲ 信息安全合規(guī)保障
安全合規(guī)是信息安全保障體系的根基及前提。通過(guò)構(gòu)建“一個(gè)中心、三重防護(hù)”實(shí)現(xiàn)信息安全技術(shù)保障體系的建設(shè);參考ISO/IEC 27001及ISO/IEC 20000,采用PDCA模型動(dòng)態(tài)構(gòu)建信息安全管理及運(yùn)維體系,以實(shí)現(xiàn)人員、技術(shù)、操作三要素的緊密結(jié)合,為內(nèi)蒙古電力公司管理信息大區(qū)信息系統(tǒng)提供基礎(chǔ)合規(guī)體系化的安全防護(hù)能力,確保系統(tǒng)安全運(yùn)行。
▲ 信息安全自適應(yīng)保障(下一代防御體系)
為了幫助內(nèi)蒙古電力公司管理信息大區(qū)信息系統(tǒng)抵御目前層出不窮的諸如APT攻擊、大規(guī)模分布式DDOS攻擊等新型攻擊或威脅,在信息安全合規(guī)保障體系的基礎(chǔ)上,建立防御-檢測(cè)-響應(yīng)-預(yù)測(cè)的信息安全自適應(yīng)保障體系。
運(yùn)用大數(shù)據(jù)分析技術(shù),建立安全策略可視化平臺(tái),重點(diǎn)解決業(yè)務(wù)網(wǎng)絡(luò)中存在的安全不可視、不可管、被動(dòng)不可控的現(xiàn)狀,讓不懂安全的人看透安全,同時(shí)解決管理技術(shù)運(yùn)行體系矛盾、安全運(yùn)維效率低等信息安全合規(guī)保障體系無(wú)法解決的問(wèn)題。在此基礎(chǔ)上,實(shí)現(xiàn)諸APT防御能力、安全取證能力、業(yè)務(wù)性能分析能力、安全態(tài)勢(shì)預(yù)警能力等新型安全能力的疊加,整體提升其應(yīng)對(duì)新型攻擊及威脅的信息安全防護(hù)能力,使信息安全保障體系具備響應(yīng)預(yù)警能力,并實(shí)現(xiàn)安全事件追溯和風(fēng)險(xiǎn)預(yù)測(cè)。
▲ 業(yè)務(wù)風(fēng)險(xiǎn)治理
信息安全保障體系的建設(shè)歸根到底是為了保障業(yè)務(wù)安全,內(nèi)蒙古電力公司管理信息大區(qū)信息安全保障體系的第三個(gè)層次,即對(duì)業(yè)務(wù)風(fēng)險(xiǎn)治理體系的設(shè)計(jì)。借助定制開(kāi)發(fā)的業(yè)務(wù)安全管控平臺(tái),將風(fēng)險(xiǎn)防控嵌入日常業(yè)務(wù)流程中,對(duì)業(yè)務(wù)流程進(jìn)行梳理,制定業(yè)務(wù)合規(guī)操作指引,通過(guò)業(yè)務(wù)合規(guī)操作指引規(guī)范員工日常業(yè)務(wù)活動(dòng),規(guī)避不合規(guī)而產(chǎn)生的業(yè)務(wù)風(fēng)險(xiǎn)、財(cái)務(wù)風(fēng)險(xiǎn)、運(yùn)營(yíng)風(fēng)險(xiǎn)等,形成業(yè)務(wù)風(fēng)險(xiǎn)防范、合規(guī)管理和法律監(jiān)督的一體化業(yè)務(wù)合規(guī)治理體系。不僅為業(yè)務(wù)發(fā)展提供安全保障,更能從內(nèi)部升華業(yè)務(wù)需求,使其業(yè)務(wù)發(fā)展走在電力行業(yè)前沿。
2. ISO/IEC 27001及ISO/IEC 20000認(rèn)證
根據(jù)評(píng)審?fù)ㄟ^(guò)的信息安全保障體系設(shè)計(jì)方案,開(kāi)展ISMS及ITSMS融合體系的建設(shè)及落地工作,融合體系采用如下模型開(kāi)展建設(shè)工作:
其中融合體系文件架構(gòu)如下圖所示:
按照文件的控制要求對(duì)體系進(jìn)行審核、批準(zhǔn)并發(fā)布實(shí)施,體系正式運(yùn)行3個(gè)月,開(kāi)展體系認(rèn)證工作,并獲取成ISO/IEC 27001及ISO/IEC 20000認(rèn)證證書。
3、應(yīng)用價(jià)值
內(nèi)蒙古電力公司信息安全發(fā)展滯后于信息化,本項(xiàng)目的開(kāi)展為內(nèi)蒙古電力公司管理信息大區(qū)信息安全保障體系的建設(shè)實(shí)施提供了實(shí)施藍(lán)圖及建設(shè)計(jì)劃,從而提升了以下三個(gè)方面的能力:
■ ISO/IEC 27001及ISO/IEC 20000證書的獲取,標(biāo)志著內(nèi)蒙古電力公司已經(jīng)建立起一套科學(xué)有效的信息安全管理體系及IT服務(wù)管理體系,服務(wù)于內(nèi)蒙古電力公司的信通中心具備規(guī)范及持續(xù)優(yōu)化的信息化及信息安全服務(wù)水平。
■ 通過(guò)外部專家評(píng)審的管理信息大區(qū)信息安全保障體系在合規(guī)保障體系的基礎(chǔ)上創(chuàng)造性地提出了自適應(yīng)安全能力疊加的理念,使所規(guī)劃的信息安全保障體系在滿足安全合規(guī)、落地可執(zhí)行的基礎(chǔ)上,具備信息安全策略可視、可管、可控、可持續(xù),風(fēng)險(xiǎn)管理精細(xì)化,信息安全防御主動(dòng)化,智能化的能力,具備先進(jìn)性。
■ 安全不應(yīng)該成為信息化發(fā)展的瓶頸,本項(xiàng)目將業(yè)務(wù)風(fēng)險(xiǎn)治理納入信息安全保障體系中,通過(guò)實(shí)施業(yè)務(wù)風(fēng)險(xiǎn)治理,實(shí)現(xiàn)業(yè)務(wù)合規(guī),同時(shí)從內(nèi)部升華業(yè)務(wù)需求,實(shí)現(xiàn)業(yè)務(wù)的發(fā)展。

責(zé)任編輯:電改觀察員
- 相關(guān)閱讀
- 安全信息
- 安全技術(shù)
- 系統(tǒng)安全
- 信息安全案例
- 等級(jí)保護(hù)
- 安防軟件
-
發(fā)電電力輔助服務(wù)營(yíng)銷決策模型
2019-06-24電力輔助服務(wù)營(yíng)銷 -
電力線路安全工作的組織措施和技術(shù)措施分別是什么?
-
兩會(huì)保電進(jìn)行時(shí)丨陜西電力部署6項(xiàng)重點(diǎn)任務(wù)
-
電力線路安全工作的組織措施和技術(shù)措施分別是什么?
-
兩會(huì)保電進(jìn)行時(shí)丨陜西電力部署6項(xiàng)重點(diǎn)任務(wù)
-
山東特高壓首次完成帶電消缺 確保電力安全穩(wěn)定迎峰度冬
-
發(fā)電電力輔助服務(wù)營(yíng)銷決策模型
2019-06-24電力輔助服務(wù)營(yíng)銷 -
繞過(guò)安卓SSL驗(yàn)證證書的四種方式
-
網(wǎng)絡(luò)何以可能
2017-02-24網(wǎng)絡(luò)
-
Windows 10首發(fā) 四大安全提升
-
超級(jí)安卓漏洞 “寄生獸”影響數(shù)千萬(wàn)手機(jī)應(yīng)用
-
航空公司首出現(xiàn)操作系統(tǒng)被黑
2015-06-23航空公司
-
“企業(yè)應(yīng)急響應(yīng)和反滲透”之真實(shí)案例分析
-
攜程恢復(fù)正常 安全,我們準(zhǔn)備好了嗎?
2015-05-29攜程 -
一張圖讀懂《2014年消費(fèi)者個(gè)人信息網(wǎng)絡(luò)安全報(bào)告》