內(nèi)蒙古電力公司作為省級(jí)管理電網(wǎng)企業(yè)，經(jīng)過(guò)近幾年的信息化基礎(chǔ)設(shè)施建設(shè)，信息化水平穩(wěn)步提高，但信息安全水平仍處于起步階段，面臨著各類信息安全風(fēng)險(xiǎn)。在自身發(fā)展需求和外部推動(dòng)下，內(nèi)蒙古電力公司迫切需要建立健全信息安全保障體系，全面提升信息安全水平。

1、項(xiàng)目背景

內(nèi)蒙古電力公司作為省級(jí)管理電網(wǎng)企業(yè)，經(jīng)過(guò)近幾年的信息化基礎(chǔ)設(shè)施建設(shè)，信息化水平穩(wěn)步提高，但信息安全水平仍處于起步階段，面臨著各類信息安全風(fēng)險(xiǎn)。在自身發(fā)展需求和外部推動(dòng)下，內(nèi)蒙古電力公司迫切需要建立健全信息安全保障體系，全面提升信息安全水平。

在此背景下，針對(duì)管理信息大

區(qū)，內(nèi)蒙古電力公司啟動(dòng)安全咨詢項(xiàng)目，開(kāi)展信息安全保障體系的規(guī)劃設(shè)計(jì)，指導(dǎo)未來(lái)3-5年的信息安全保障體系建設(shè)工作。

2、解決方案

■  項(xiàng)目目標(biāo)

內(nèi)蒙古電力公司信息化建設(shè)三期安全咨詢項(xiàng)目的項(xiàng)目目標(biāo)為：

1. 通過(guò)開(kāi)展信息安全體系建設(shè)工作，全面識(shí)別內(nèi)蒙古電力集團(tuán)相關(guān)業(yè)務(wù)系統(tǒng)在信息安全技術(shù)層面、信息安全管理層面、信息安全運(yùn)維層面存在的不足和差距，充分借鑒國(guó)內(nèi)信息安全實(shí)踐和成熟的理論模型，設(shè)計(jì)合理的信息安全保障體系，從而保證業(yè)務(wù)系統(tǒng)能夠長(zhǎng)期穩(wěn)定運(yùn)行和不斷完善和發(fā)展，適應(yīng)內(nèi)蒙古電力集團(tuán)不斷擴(kuò)展的業(yè)務(wù)應(yīng)用和管理需求。

2. 根據(jù)ISO20000和ISO27001認(rèn)證體系流程，對(duì)內(nèi)蒙古電力信息通信分公司信息機(jī)房開(kāi)展信息技術(shù)服務(wù)管理體系的建設(shè)輔導(dǎo)，對(duì)內(nèi)蒙古電力信息通信分公司開(kāi)展信息安全管理體系建設(shè)輔導(dǎo)，并協(xié)助其完成ISO20000和ISO27001體系認(rèn)證，獲得《信息技術(shù)服務(wù)管理體系認(rèn)證證書》和《信息安全管理體系認(rèn)證證書》。

基于上述項(xiàng)目目標(biāo)，結(jié)合項(xiàng)目具體實(shí)施內(nèi)容，制定項(xiàng)目個(gè)性化的實(shí)施路線，如下圖所示：

■  核心內(nèi)容

1. 信息安全保障體系規(guī)劃

依據(jù)國(guó)家信息安全等級(jí)保護(hù)、ISO/IEC 27001及ISO/IEC 20000等信息安全標(biāo)準(zhǔn)規(guī)范，參考銀行業(yè)、電信行業(yè)信息安全保障體系的最佳實(shí)踐，結(jié)合管理信息大區(qū)信息安全現(xiàn)狀診斷成果，在保障信息安全體系合規(guī)的基礎(chǔ)要求下，融合新型網(wǎng)絡(luò)攻擊解決方案，從全體系、全覆蓋角度，整合內(nèi)蒙古電力公司管理信息大區(qū)人員、設(shè)備、信息、環(huán)境、流程等各項(xiàng)因素，對(duì)內(nèi)蒙古電力公司管理信息大區(qū)信息安全保障體系進(jìn)行規(guī)劃，所規(guī)劃的信息安全保障體系從三個(gè)層次體現(xiàn)：

▲  信息安全合規(guī)保障

安全合規(guī)是信息安全保障體系的根基及前提。通過(guò)構(gòu)建“一個(gè)中心、三重防護(hù)”實(shí)現(xiàn)信息安全技術(shù)保障體系的建設(shè)；參考ISO/IEC 27001及ISO/IEC 20000，采用PDCA模型動(dòng)態(tài)構(gòu)建信息安全管理及運(yùn)維體系，以實(shí)現(xiàn)人員、技術(shù)、操作三要素的緊密結(jié)合，為內(nèi)蒙古電力公司管理信息大區(qū)信息系統(tǒng)提供基礎(chǔ)合規(guī)體系化的安全防護(hù)能力，確保系統(tǒng)安全運(yùn)行。

▲  信息安全自適應(yīng)保障（下一代防御體系）

為了幫助內(nèi)蒙古電力公司管理信息大區(qū)信息系統(tǒng)抵御目前層出不窮的諸如APT攻擊、大規(guī)模分布式DDOS攻擊等新型攻擊或威脅，在信息安全合規(guī)保障體系的基礎(chǔ)上，建立防御-檢測(cè)-響應(yīng)-預(yù)測(cè)的信息安全自適應(yīng)保障體系。

運(yùn)用大數(shù)據(jù)分析技術(shù)，建立安全策略可視化平臺(tái)，重點(diǎn)解決業(yè)務(wù)網(wǎng)絡(luò)中存在的安全不可視、不可管、被動(dòng)不可控的現(xiàn)狀，讓不懂安全的人看透安全，同時(shí)解決管理技術(shù)運(yùn)行體系矛盾、安全運(yùn)維效率低等信息安全合規(guī)保障體系無(wú)法解決的問(wèn)題。在此基礎(chǔ)上，實(shí)現(xiàn)諸APT防御能力、安全取證能力、業(yè)務(wù)性能分析能力、安全態(tài)勢(shì)預(yù)警能力等新型安全能力的疊加，整體提升其應(yīng)對(duì)新型攻擊及威脅的信息安全防護(hù)能力，使信息安全保障體系具備響應(yīng)預(yù)警能力，并實(shí)現(xiàn)安全事件追溯和風(fēng)險(xiǎn)預(yù)測(cè)。

▲  業(yè)務(wù)風(fēng)險(xiǎn)治理

信息安全保障體系的建設(shè)歸根到底是為了保障業(yè)務(wù)安全，內(nèi)蒙古電力公司管理信息大區(qū)信息安全保障體系的第三個(gè)層次，即對(duì)業(yè)務(wù)風(fēng)險(xiǎn)治理體系的設(shè)計(jì)。借助定制開(kāi)發(fā)的業(yè)務(wù)安全管控平臺(tái)，將風(fēng)險(xiǎn)防控嵌入日常業(yè)務(wù)流程中，對(duì)業(yè)務(wù)流程進(jìn)行梳理，制定業(yè)務(wù)合規(guī)操作指引，通過(guò)業(yè)務(wù)合規(guī)操作指引規(guī)范員工日常業(yè)務(wù)活動(dòng)，規(guī)避不合規(guī)而產(chǎn)生的業(yè)務(wù)風(fēng)險(xiǎn)、財(cái)務(wù)風(fēng)險(xiǎn)、運(yùn)營(yíng)風(fēng)險(xiǎn)等，形成業(yè)務(wù)風(fēng)險(xiǎn)防范、合規(guī)管理和法律監(jiān)督的一體化業(yè)務(wù)合規(guī)治理體系。不僅為業(yè)務(wù)發(fā)展提供安全保障，更能從內(nèi)部升華業(yè)務(wù)需求，使其業(yè)務(wù)發(fā)展走在電力行業(yè)前沿。

2. ISO/IEC 27001及ISO/IEC 20000認(rèn)證

根據(jù)評(píng)審?fù)ㄟ^(guò)的信息安全保障體系設(shè)計(jì)方案，開(kāi)展ISMS及ITSMS融合體系的建設(shè)及落地工作，融合體系采用如下模型開(kāi)展建設(shè)工作：

其中融合體系文件架構(gòu)如下圖所示：

按照文件的控制要求對(duì)體系進(jìn)行審核、批準(zhǔn)并發(fā)布實(shí)施，體系正式運(yùn)行3個(gè)月，開(kāi)展體系認(rèn)證工作，并獲取成ISO/IEC 27001及ISO/IEC 20000認(rèn)證證書。

3、應(yīng)用價(jià)值

內(nèi)蒙古電力公司信息安全發(fā)展滯后于信息化，本項(xiàng)目的開(kāi)展為內(nèi)蒙古電力公司管理信息大區(qū)信息安全保障體系的建設(shè)實(shí)施提供了實(shí)施藍(lán)圖及建設(shè)計(jì)劃，從而提升了以下三個(gè)方面的能力：

■  ISO/IEC 27001及ISO/IEC 20000證書的獲取，標(biāo)志著內(nèi)蒙古電力公司已經(jīng)建立起一套科學(xué)有效的信息安全管理體系及IT服務(wù)管理體系，服務(wù)于內(nèi)蒙古電力公司的信通中心具備規(guī)范及持續(xù)優(yōu)化的信息化及信息安全服務(wù)水平。

■  通過(guò)外部專家評(píng)審的管理信息大區(qū)信息安全保障體系在合規(guī)保障體系的基礎(chǔ)上創(chuàng)造性地提出了自適應(yīng)安全能力疊加的理念，使所規(guī)劃的信息安全保障體系在滿足安全合規(guī)、落地可執(zhí)行的基礎(chǔ)上，具備信息安全策略可視、可管、可控、可持續(xù)，風(fēng)險(xiǎn)管理精細(xì)化，信息安全防御主動(dòng)化，智能化的能力，具備先進(jìn)性。

■  安全不應(yīng)該成為信息化發(fā)展的瓶頸，本項(xiàng)目將業(yè)務(wù)風(fēng)險(xiǎn)治理納入信息安全保障體系中，通過(guò)實(shí)施業(yè)務(wù)風(fēng)險(xiǎn)治理，實(shí)現(xiàn)業(yè)務(wù)合規(guī)，同時(shí)從內(nèi)部升華業(yè)務(wù)需求，實(shí)現(xiàn)業(yè)務(wù)的發(fā)展。