返回
电网企业信息安全管理体系建设中的风险管理实践.pdf

电网企业信息安全管理体系建设中的风险管理实践.pdf

ID:52493155

大小:300.76 KB

页数:4页

时间:2020-03-28

电网企业信息安全管理体系建设中的风险管理实践.pdf_第1页
电网企业信息安全管理体系建设中的风险管理实践.pdf_第2页
电网企业信息安全管理体系建设中的风险管理实践.pdf_第3页
电网企业信息安全管理体系建设中的风险管理实践.pdf_第4页
资源描述:

《电网企业信息安全管理体系建设中的风险管理实践.pdf》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、电网企业信息安全管理体系建设中的风险管理实践张浩,詹辉红,钱洪珍(湖州电力局,浙江湖州313000)摘要:阐述了作为电网企业信息安全管理体系建立过程核心环节的风险管理,其组织策划、评估实施处理与控制环节的具体实践,得出了必须以风险管理为基础,科学,系统地分析网络与信息系统所面l豳的风险,有针对性地制定控制策略和控制措施,才能有效建立信息安全管理体系并持续改进的结论。关键词:风险管理;电网;信息安全;体系1信息安全风险管理的概念解决的问题,根据“成本、利益、风0引言险”综合平衡的原则,利用有限的资目

2、前,企业内部对信息系统的依不同业务类型的企业,其业务特源,达到适当的和最大的安全控制。赖越来越强,如何保证信息系统的保点不同、信息资产和信息系统特点不密性、完整性和可用性,不发生系统同,信息安全的需求不同;甚至同一信息安全风险管理是从满足信息非稳定运行,不发生数据被篡改、泄企业,运用在不同领域的信息系统的系统对完整性、可用性、保密性和法露和丢失的问题显得非常重要。ISO/安全需求也不尽相同。例如电力安全律法规符合性的需求出发,运用科学IEC27000系列国际标准的信息安全生产管理系统、调度scAD

3、A/EMs的方法和手段,系统地分析网络与信管理理念为电力企业的信息安全管理系统、PI实时数据库系统强调的是信息系统所面临的威胁及其存在的薄弱提供了有效的解决方案和最佳实践。息系统的完整性、可用性;电力营销点,评估安全事件可能造成的危害程在信息安全管理体系的建立过程中,业务技术支持系统、SAP财务管理系度,提出有针对性的抵御威胁的防护风险管理是其中的基础工作与关键环统强调的是信息系统的保密性、完整对策和控制措施,防范和化解信息安节。结合湖州电力局的实践,具体论性。为了实现上述需求,在信息安全全风险,

4、或将风险控制在可接受的水述体系建立过程中的风险管理组织与体系的建立过程中,应评估信息系统平,为确定和调整信息安全管理体系策划、风险评估和风险处理与控制。的安全现状、面临的安全风险、亟待的范围和边界,选择信息安全控制目2010年第8卷第6期EIECTR'ACPOWERIT固9fi}·一,,;曼eTRiCPOWERlT标,制定(适用性声明》,提供依据。规范。业务系统。对重要业务系统进行全面的、系统的、完善的风险评估。国际标准化组织在ISO/IEC27001:2005信息技术~安全技术一2风险管理的组织

5、与策划评估时,对信息资产,特别是重要业务系统的信息资产,进行资产分信息安全管理体系要求,标准中对为保证信息安全风险管理的科学整个风险管理过程提出了明确框架目和规范,首先应对风险管理过程进行类赋值,对资产在自身价值、信息分类、保密性、完整性、可用性和标和总的要求,ISO/IEC27005信策划。在湖州电力局信息安全管理体法规合同上的达成程度进行分析,息技术一安全技术一信息安全风险管系建立的风险管理实践中,分析了风理》则具体描述了信息安全风险管理险管理各阶段、环节的工作内容、特并在此基础上确定重要资产

6、,对重的要求。风险管理包括:风险评估、点、接口关系,按照“严密组织、规要资产进行风险评估。风险处理、风险接受、风险沟通和风范操作、讲求科学、注重实效”的原险监视与评审等各阶段,它们之间的则,策划开展风险管理。3风险评估的实施关系如图1所示,其中风险评估、风(1)严密组织。首先成立了由3.1确认重要资产险处理和控制2个环节处于关键地领导挂帅,包括各部门代表参加的风首先识别资产,列出资产清单,险评估小组,按照资产的风险然后将资产按硬件、软件、设施、数应由其所有者评估的原则,将据、文档、服务人力资源、无

7、形资产评估职责落实到了相关的部门等进行分类赋值。对资产的赋值不仅和责任人。同时,制定了风险要考虑资产本身的价值,更重要的是评估计划,对风险评估各阶段要考虑资产的安全状况对企业的重要的工作内容、工作要求、培训性。另外,要考虑资产的安全状况对和沟通、以及时间进度进行了法律、法规、上级规定、合同协议的安排。重要性。达成程度可由安全属性缺失(2)规范操作。在实践时造成的影响来表示,这种影响可能中制定了《信息安全风险管理造成某些资产的损害以至危及信息系企业标准》,明确了风险评估统。的具体组织、策划和实施及监

8、按照资产自身的价值赋值结果、视与评审的要求,并规定了具信息分类的赋值结果和资产在C(保密体的评估方法。在实施的主要性)、I(完整性)、A(可用性)、L(法律图1风险管理各环节的逻辑关系阶段,按计划的安排进行了培法规合同符合性)上的赋值结果,经训和沟通交流。过综合评定得出资产的重要性等级。位,此2个环节实施效果如何,关系(3)讲求科学。采用了量化赋根据确定的重要资产判定准则,确定到整个风险管理工作的结果。值评估的方法,按照科学的数学模重要资产。型,对资产价值、信息安全事件发生国家电网

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。