1 引言

在如今的信息化社會中，信息通過共享傳遞實現其價值。在信息交換的過程中，人們肯定會擔心自己的信息泄露，所以信息安全備受關注，企業的信息安全就更為重要了。但是網絡是一個開放互聯的環境，接入網絡的方式多樣，再加上技術存在的漏洞或者人們可能的操作失誤等，信息安全問題一刻不容忽視。尤其是電力，是國家規定的重要信息安全領域。所以電力企業要把信息安全管理體系的建設，作為重要的一環納入到整個企業管理體系中去。

2 電力企業信息管理體系建設的依據

關于企業的安全管理體系方面的標準有很多。英國BSI/DISC的BDD信息管理委員會制定的安全管理體系主要包含兩個部分內容：信息安全管理實施規則和信息安全管理體系規范。信息安全管理實施規則是一個基礎性指導文件，里面有10大管理項、36個執行的目標和127種控制的方法，可以作為開發人員在信息安全管理體系開發過程中的一個參考文檔。信息安全管理體系規范則詳細描述了在建立、施工和維護信息安全管理體系過程的要求，并提出了一些具體操作的建議。

國際標準化組織也發布了很多關于信息安全技術的標準，如ISO x系列、ISO/IEC x系列等。我國也制定了一系列的信息安全標準，如GB 15851—1995。

關于企業信息安全管理體系方面的標準眾多，如何針對企業自身實際情況選擇合適的參考標準很重要，尤其是電本文由畢業論文網http://www.lw54.com收集整理力企業有著與其他企業不同的一些特殊性質，選擇信息安全體系建設的參考標準更要謹慎。我國電力企業已經引入了一些國際化標準作為建立和維護企業運轉的保證，關于信息安全體系的標準也應納入到保證企業運轉的一系列參考中去。電力企業總體應有一致的安全信息管理體系參考標準，但是具體地區的公司又有著本身自己的特殊環境，所以在總體一致的信息安全標準的情況下，也應該根據企業自身地區、人文、政策等的不同制定一些企業內部自己信息安全標準作為建立、實施和維護信息安全管理體系的依據。信息安全管理體系顧全大局又要有所側重的體現電力企業安全標準的要求。

3 信息安全管理體系里的重要環節

3.1 硬件環境要求

信息安全管理體系并沒有特別要求添加什么特別的設備，只是對企業用到的設備做一些要求。電力企業一般采用內外網結合的方式，內外網設備要盡量進行物理隔離。企業每個員工基本都有自己的移動設備，如手機等，為了增加信息安全的系數，企業可以限制公司設備的無線網絡拓展。另外，實時監控系統也應該覆蓋企業的重要設備，監控硬件設備的安全。

3.2 軟件環境要求

在企業設備(主要是計算機)上部署相關軟件環境是信息安全管理體系中最重要的部分。比如防病毒軟件的部署、桌面系統弱口令監控軟件的部署等，以此防止網絡攻擊或者提高安全系數。另外，企業設備所用系統的安全漏洞修復、數據的加密解密、數據的備份恢復及數據傳輸通道的加密解密等問題，都在信息安全管理體系設計的考慮范疇。

3.3 企業員工管理

盡管現在一直倡導智能化，但是企業內進行設備等操作的主體還是員工。不管是對設備終端操作來進行信息的首發，還是對企業軟硬件系統進行維護工作，都是有員工來進行的。所以，對企業內部員工進行信息安全培訓，提高員工的信息安全防范意識，讓員工掌握一定的信息安全防范與處理手段是非常重要的事情。針對不同的職位，在員工上崗前應該進行相關的信息安全方面的培訓，然后對培訓結果進行考核，不合格的人員不準上崗。在崗的人員也要定期進行培訓與考核。另外，如果有條件的話，企業應該定期(例如每年)進行一次信息安全的相關演習。

另外，電力企業有些項目是外包給其他相應公司的，這時候會有施工人員和駐場人員在電力企業，對這些人員也應該進行電力企業信息安全的培訓。

3.4 信息安全管理體系的風險系數評估

風險評估在信息安全管理體系中是確定企業信息安全需求的一個重要途徑，它是對企業的信息資產所面臨的威脅、存在的弱點、造成的影響，以及三者綜合作用下所帶來的風險可能性的評測。風險評估的主要任務是：檢測評估對象所面臨的各種風險，估計風險的概率和可能帶來的負面影響的程度，確定信息安全管理體系承受風險的能力，確定不同風險發生后消減和控制的優先級，對消除風險提出建議。在信息安全管理體系的風險系數評估過程中，形成《風險系數評估報告》、《風險處理方案》等文檔，作為對信息安全管理體系進行調整的參考。風險系數的評估要盡可能全面的反映企業的信息安全管理體系，除了常規手段，也可以使用一些相應的軟件工具的結果作為參考。另外很值得注意的是企業的員工對風險的理解，企業員工對他們所操作的對象有比較深刻的理解，對其中可能存在的不足也有自己的見解，在風險系數評估的過程中，可以進行一些員工的問卷調查等，把員工對風險的認識納入風險評估的考慮范疇。

企業的設備會老舊更換，員工也會更換，所以企業的信息安全是動態的，因此風險評估工作也要視具體情況定期進行，針對當前情況作評估報告，然后制定相應的風險處理方案。還有，之所以要建立信息安全管理體系，其中很重要的一點就是體系內各個模塊的結合，信息安全管理體系的風險評估與關鍵內容的實時監控就應該結合起來。

為了降低信息安全管理體系的風險系數，提升信息安全等級，要做的工作很多。滲透測試就是其中很有必要的一項工作。滲透測試是測試人員通過模擬惡意攻擊者的攻擊方式，來評估企業計算機網絡系統安全的一種評測方法。這個測試過程會對系統的可知的所有弱點、技術方面的缺陷或者漏洞等作主動的分析。滲透測試對于網絡信息安全的組織具有實際應用價值。隨著技術的不斷進步，可能還會出現其他的更有價值的信息安全技術，作為信息安全備受矚目的電力企業，應當時刻關注相關技術的進展，并及時將它們納入企業信息安全管理體系中來。3.5 信息安全管理體系的管理模式

文章前面提到企業信息安全是動態的，所以信息安全管理體系需要建立一個長效的機制，針對最新的情況及時對自身作出調整，使信息安全管理體系有效的運行?，F在一般會采用PDCA循環過程模式：計劃，依照體系整個的方針和目標，建立與控制風險系數、提高信息安全的有關的安全方針、過程、指標和程序等;執行：實施和運作計劃中建立的方針、過程、程序等;評測：根據方針、目標等，評估業績，并形成報告，也就是文章前面說到的風險系數評估;舉措：采取主動糾正或預防措施對體系進行調整，進一步提高體系運作的有效性。這四個步驟循環運轉，成為一個閉環，是信息安全管理體系得到持續的改進。