供電企業信息安全論文

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了供電企業信息安全論文范文，希望能給你帶來靈感和參考，敬請閱讀。

1電力行業信息安全合規管控遇到的難題和挑戰

（1）檢查單位多、標準不一目前，供電企業經常面臨著諸如安全等級保護、IT治理、安全督查、一體化風險評估、入網安評等合規標準的檢查和執行問題。以上檢查標準的關注點、執行單位、檢查要求各不相同。

（2）檢查手段、結果重復每年國家、行業或上級單位會定期下發相關檢查要求，并通過現場檢查、遠程掃描、配置核查、滲透測試等手段對供電企業進行合規性安全檢查，檢查內容和結果容易存在一定的重復性，建立和整合統一風險庫也存在一定難度。

（3）安全合規工作繁重供電企業安全人員在執行安全合規工作的過程中，不可避免地要在每次合規檢查中面臨自查、加固、迎檢、整改、復查等一系列工作，當此系列工作在一定時間內重復出現的時候，合規管控工作將變得繁重且效率不高。

（4）相關人員協調難度大信息安全管控工作往往跨越多個部門，橫向溝通成本較大、難度也高。最常見的問題就是實施方和相關配合人員因關注點不同而導致的工作分歧，若合規檢查時需要相關部門及人員多次重復性工作，往往導致人員情緒抵觸并影響工作效率。

2多標準合規管控概念的提出

針對以上信息安全合規管控工作中遇到的難題和挑戰，本文提出了多標準合規管控的概念，試圖通過對各個合規標準進行研究和學習，探尋一條可以減輕合規管控過程中工作量繁重、重復的道路，研究一套把多個合規標準整合和統一的方法論。多標準合規管控，就是以現有的信息安全等級保護、IT治理、安全督查、一體化風險評估、入網安評、安全基線等標準為理論和參照基礎，通過進一步的比對梳理、分析、加工和整合，形成一個更具體的安全執行標準庫，覆蓋目前所有的檢查要求，是所有檢查標準的最大并集，利用此執行標準指導信息安全的合規管控工作，爭取達到一次配置滿足多個標準的目的。

3多標準合規管控體系建立

本文以信息安全等級保護、IT治理、安全督查、一體化風險評估、入網安評、安全基線等標準為理論和參照基礎，闡述多標準合規管控體系的建立過程。建立PDCA過程指導思想：通過對現有各個合規標準的體系文件、測評要求、規范標準進行對比、分析、梳理和整合，制作出多標準合規管控體系的相關組件文檔，具體包括體系文件、配置方法、規范標準。主要研究步驟如下：

（1）理解各信息安全檢查的要求、目的和目標

①安全等級保護信息安全等級保護是指對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護，對信息系統中使用的信息安全產品實行按等級管理，對信息系統中發生的信息安全事件分等級響應、處置。

②IT治理IT治理是企業治理在信息時代的重要發展，用于描述企業或政府是否采用有效的機制，使得IT的應用能夠完成組織賦予它的使命，同時平衡信息技術與過程的風險、確保實現組織的戰略目標。

③安全督查信息安全督查是供電企業根據國家信息安全管理體系要求、結合供電企業信息技術監督規范的要求建立的日常工作機制，負責各單位的信息安全技術指導、監督、檢查、督促改進等工作。

④入網安評為保障信息系統的正常運行，需加強系統及設備入網管理，規范新設備入網前的相關活動并進行安全評測，保障每一臺入網設備都符合企業安全規范要求，不會給現有網絡帶來新的安全隱患。

（2）對各合規標準進行對比分析，找出異同點通過仔細的分析對比，找出各合規標準要求項的差異并進行標注，研究差異的原因，探討差異點存在的價值。由于企業安全基線經過多年的實踐和修正，具有較高的規范性和實操價值，符合供電企業的IT現狀，故以安全基線文檔為底板進行增刪減優化操作。

（3）整合和梳理各合規標準，形成備查項將各合規標準整合到統一文檔表格中，并以安全基線、等級保護測評要求文檔為主要參照物，對其他合規要求進行梳理和排序。通過不同標準文件對相同控制點的不同描述進行再加工，整合出一個覆蓋各個標準要求的執行標準。此步驟不僅方便標準集合的制作，也保留了各個標準要求的原貌，方便日后查閱檢索。下表示例說明某個信息安全控制點執行標準集合：

（4）整合多個合規標準，形成具體執行標準要求通過上一步驟對統一文檔產生的執行標準集合進行提煉和整合，排序形成涵蓋多個合規標準的具體執行規范文檔。

4多標準合規管控設計重點難點分析

（1）設計過程考慮最小和最大安全保障問題信息系統安全基線是一個信息系統的最小安全保證，即該信息系統最基本需要滿足的安全要求；而信息安全執行標準在某一個程度上是一個信息系統的最大安全保證，即信息安全執行標準已經覆蓋了合規管控的多個標準要求。如何在最小安全保證和最大安全保證之間進行取舍與平衡，是企業面臨的首要問題。本文建議解決辦法是保留各個標準的要求文檔，供執行人員備查，在實際執行過程中根據系統級別進行相應的取舍。

（2）設計過程考慮結果文檔的來源問題信息安全執行標準是一個實踐性文檔，在實踐的過程中難免會存在疑問和顧慮，如何快速并準確地定位到配置要求的來源和依據是面臨的第二個問題。由于短期無法一次性創造一個安全合規體系，只能先對多個標準體系進行整合和梳理，因此建議保留初始合規標準的原型，在執行人員出現疑問的時候能夠找到相關的依據。

5結語

本文以多年的供電企業信息安全合規管控執行工作實踐為基礎，對信息安全多標準合規管控體系的研究與實踐進行了初步探討，也充分認識到多標準合規管控執行過程中存在的問題和難點，將結合信息安全要求及技術發展不斷評審、完善，逐步體現該體系的實用性和執行價值，為信息安全合規管控工作提供一定的指導和參考作用。

作者：鄧雄榮 單位:廣東電網公司東莞供電局