返回
省级电网公司信息安全管理体系参考架构设计

省级电网公司信息安全管理体系参考架构设计

ID:34399101

大小:630.61 KB

页数:5页

时间:2019-03-05

省级电网公司信息安全管理体系参考架构设计_第1页
省级电网公司信息安全管理体系参考架构设计_第2页
省级电网公司信息安全管理体系参考架构设计_第3页
省级电网公司信息安全管理体系参考架构设计_第4页
省级电网公司信息安全管理体系参考架构设计_第5页
资源描述:

《省级电网公司信息安全管理体系参考架构设计》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、……………………………………ELECTRICPOWERIT中图分类号:TP393.08文献标志码:B文章编号:1672-4844(2011)08-0082-05"!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!摘要:在信息安全新形势和新技术的日益发展下,电力企业急需融合信息安全需求、法律法规符!!合性需求和应用需求,解决管理与技术建设不同步造成的安全短板等问题。通过将国际安全管理!标准ISO27001与电力企业信息安全建设相融合,探索如何在安全技术架构逐渐部署的前提下,!设计出一套适用于电力企业信息安全管理和技术体系的建

2、设方法,实现企业信息安全“管理与技!!术并重、循序渐进、持续优化”的科学发展观。!关键词:信息安全管理体系;企业安全架构方法论;ISO27001国际标准!省级电网公司信息安全管理体系参考架构设计研究王皓然与(贵州电网公司信息通信分公司,贵州贵阳550002)应用乏业务目标,管理手段无法技术ton-Up为辅的设计方法,全面设0引言配套等诸多安全问题。计符合电网企业特点的信息安目前,贵州电网公司已实现四全管理体系,避免了应急式安全1总体设计思想统一建设的信息系统共18个,涵建设注重点、弱化面的先天不盖了生产、营销等八大主营业务,针对电网的信息安全管理现足。体系的建

3、设和完善可以满足电网信息化统一管理模式发展覆盖了供电局和综合单位中信息状和管控效果进行调研,同时综目标的要求。系统的在线运行,支撑了企业的生合考虑了业务发展情况、行业治产、经营、服务及管理过程。但是,理要求,依据ISO27001国际标2体系结构随着电网公司信息化工作的深入准对安全管理体系框架和策略进进行,国家及行业对信息安全的要行设计,并在企业安全架构方法2.1安全责任体系求日益提高,信息安全防护工作暴论(MASS,MethodforArchitecting电网公司信息安全组织结构露出许多风险和安全短板。SecureSolution)和PDCA闭环思按照ISO

4、27001标准,满足规划/为此,开展了基于ISO27001想的指导下,构建了与管理需求审计/运行并重的要求,设立了由的信息安全管理体系的建设和部密切结合的信息安全技术框架以信息安全领导小组、信息安全工署,从体系化的高度,将安全需及常态化安全运维保障机制。作小组、信息安全执行小组构成求、符合性需求、应用需求落地融省级电网单位不但承担具体3层架构(见图1),能够面对实际合为统一整体,实现纵深防御、全的系统运维工作,还需要对全省状况灵活调整,适应电网业务变面防护的安全需求,有效解决当信息化的发展进行规划、管理,因革与区域发展。前管理与技术脱节,技术手段缺此,采取以T

5、op-Down为主,But-领导小组为全省电网信息安2011年第9卷第8期82ELECTRICPOWERITELECTRICPOWERIT……………………………………全决策机构,进行信息安全工作决策分析;工作小组为信息安全工作的协调管理机构,对信息安全工作提供支持监督;执行小组是信息安全政策的制定、执行和安全监督审计机构。信息安全执行小组按照分权的原则,细分为规划管理工作组、监督审计工作组和运行保障工作组,执行小组实现信息安全政策的执行落地。此外人事部、办公室、机关事务中心等部门对信息安全管理工作提供支撑,同时信息安全组织还与电监会、公安、以及专业团体等外架(

6、见图2),指导信息安全工作,2)以应用安全风险为导向,部组织建立良好的合作关系和沟将信息安全策略对应到各个信息加强应用系统安全防护能力,深通渠道。安全角色(如图3所示)。此外,基化PKI系统应用,实现基于数字安全政策的制定和发布以省于PDCA模型、安全需求类型、保签名的应用系统身份识别与认证公司为主,实现以省、地2级的监护对象类型等3个纬度,将30份登录,建设数据库、中间件、主机督审计体系和省、地、县的3级安等支撑平台安全基线管理,加强研安全策略进行再划分,确保信息全运维保障体系,在安全组织架安全配置审计,降低应用系统的究安全策略的全面性和有针对性。与构下,根

7、据职责的不同,确定不同综合安全风险,实现对业务管理2.3安全技术体系应类别的管理角色。工作的有力支持。用电网公司的信息安全管理体2.2安全策略体系3)通过强化桌面终端安全管系(ISMS)遵循统一的企业信息安在ISO27001安全策略体系理,建设桌面终端的安全准入控全架构模型(ESA,EnterpriseSer-制机制,加强终端信息数据安全的基础上结合南方电网三大标vicesArchitecture),采用成熟的保护,为电网内部用户的业务办准,根据南方电网提出的管理标架构化方法来规划安全技术架公提供安全环境。准、技术标准、工作标准三大类构;基于企业安全架构方法论

8、,确型,从133项控制点要求中梳理2.

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。