電網(wǎng)企業(yè)基于PDCA的信息安全治理提升方法研究與應用論文

　　1 引言

　　“十一五”期間，國網(wǎng)公司按照“雙網(wǎng)雙機、分區分域、等級防護、多層防御”的信息安全防護總體策略，完成了等級保護縱深防御體系建設，信息安全整體防護能力顯著(zhù)增強。但是，深入分析信息安全現狀，部分單位還存在人員意識不強、自建系統防護能力不高、管理技術(shù)措施落實(shí)不嚴格等問(wèn)題；另外，傳統分專(zhuān)業(yè)條塊式的信息安全管理模式制約整體安全管理水平提升。更重要的是，隨著(zhù)智能電網(wǎng)和“三集五大”的快速推進(jìn)，對現有信息安全工作提出了更高的要求。

　　2 治理提升的目標

　　通過(guò)對全部在運的電力二次系統、管理信息系統、電力通信網(wǎng)絡(luò )、統推系統及自建系統存在的信息安全風(fēng)險隱患進(jìn)行治理提升，最終實(shí)現如圖1所示的信息安全治理提升目標全景視圖。

　�。�1）解決長(cháng)期以來(lái)信息安全分專(zhuān)業(yè)條塊式管理被遺漏的問(wèn)題，實(shí)現統一管理、多方聯(lián)動(dòng)，從查漏補缺、被動(dòng)防御向整體掌控、主動(dòng)防御轉變。

　�。�2）解決各級單位、各專(zhuān)業(yè)存在的問(wèn)題和薄弱環(huán)節，避免信息安全“碎片化”和“木桶效應”，有效降低縣供電企業(yè)信息化延伸覆蓋建設帶來(lái)的信息安全風(fēng)險。

　�。�3）實(shí)現信息安全責任全面覆蓋、措施全面落實(shí)、對象全面管控、風(fēng)險全面監控，消除思想認識的誤區、管理與技術(shù)的盲區、執行規定的死區。

　�。�4）深入落實(shí)12項安全管理手段和8項技術(shù)措施，實(shí)現生產(chǎn)控制大區和管理信息大區的物理安全、設備安全和數據安全等覆蓋所有對象和環(huán)節的全方位安全。

　　3 基于PDCA的三段式治理提升方法

　　3.1 PDCA循環(huán)

　　PDCA循環(huán)又名戴明環(huán)，包括Plan（計劃）、Do（執行）、Check（檢查）和Act（修正）四個(gè)環(huán)節，是全面質(zhì)量管理所應遵循的科學(xué)程序，具體含義：（1）P （P lan） 計劃，包括方針和目標的確定，以及活動(dòng)規劃的制定；（2）D （Do） 執行，根據已知信息設計具體方法、方案和計劃，再具體運作，實(shí)現計劃；（3）C （Check） 檢查，總結執行計劃的結果，明確效果，找出問(wèn)題；（4）A （Act）修正，對檢查結果進(jìn)行處理，對成功經(jīng)驗加以肯定并標準化，對失敗教訓進(jìn)行總結，引起重視。對于沒(méi)有解決的問(wèn)題，提交下一個(gè)PDCA循環(huán)解決。以上四個(gè)過(guò)程周而復始進(jìn)行，一次循環(huán)結束，解決一些問(wèn)題，未解決的問(wèn)題進(jìn)入下一次循環(huán)，如此階梯式上升。

　　3.2 治理提升理念

　　基于業(yè)界關(guān)于信息安全治理提升方法的研究成果并結合實(shí)踐經(jīng)驗，提出了一個(gè)實(shí)效性更強的模式，如圖2所示。通過(guò)清查摸底、達標治理、長(cháng)效提升三個(gè)主要階段開(kāi)展工作，將PDCA 方法融入治理提升各個(gè)階段，堅持“嚴清查、抓治理、促提升”的三段式理念，站在覆蓋“全業(yè)務(wù)、全單位、全系統、全過(guò)程”的高度，按照“橫向到邊、縱向到底”的原則，有效解決當前信息安全工作的缺陷和不足，從根本上降低信息安全風(fēng)險，加快信息安全主動(dòng)防御體系建設。

　　3.3 治理提升的流程

　　如圖3所示，治理提升工作主要分三個(gè)階段開(kāi)展：第一階段是清查摸底，完成宣貫培訓、問(wèn)題自查和安全備案等工作；第二階段是達標治理，依據頂層優(yōu)化設計開(kāi)展問(wèn)題隱患整改實(shí)施；第三階段是長(cháng)效提升，制定持續整改方案，鞏固治理成效，推進(jìn)長(cháng)效提升。專(zhuān)項活動(dòng)由省、市、縣三級工作組整體管控，各單位具體開(kāi)展各項工作，最終實(shí)現信息安全長(cháng)效提升。

　　3.3.1 嚴格清查摸底

　　該階段工作應抓好幾個(gè)關(guān)鍵方面。

　�。�1）重視方案編制、創(chuàng )新培訓宣貫。通過(guò)編制總體工作方案等指導性文件，明確做什么、誰(shuí)來(lái)做、怎么做，分解工作任務(wù)，列出工作重點(diǎn)，通過(guò)任務(wù)表明確具體內容、責任單位和時(shí)間節點(diǎn)。編制人員應涉及各部門(mén)，以及省、市、縣各層面的代表單位。

　　為規范工作方法，統一工作標準，采取現場(chǎng)集中、電視電話(huà)、網(wǎng)絡(luò )視頻等多種形式，省市縣三級聯(lián)動(dòng)，三級聯(lián)訓，三級釋疑，演示講解工作方法，答疑解惑，提煉方法。通過(guò)網(wǎng)站、海報、滾動(dòng)屏等多種途徑，大力宣傳治理提升工作。編制專(zhuān)項工作簡(jiǎn)報，建立各單位學(xué)習交流平臺，共享典型經(jīng)驗和創(chuàng )新做法。

　�。�2）注重工作方法、嚴抓工作落實(shí)。問(wèn)題自查方面，檢查對象要涵蓋系統、終端、網(wǎng)絡(luò )、通信、責任、機房等六個(gè)方面，檢查內容包括管理責任、運維責任、督查責任、安  監責任、安全準入、建設安全、運行安全、數據安全、安全審計及監測九大項涉及的所有檢查點(diǎn)。通過(guò)設計科學(xué)合理的考核指標（自查階段發(fā)現上報問(wèn)題隱患但數量越多、質(zhì)量越高予以加分）來(lái)激勵各單位充分發(fā)現暴露問(wèn)題隱患。安全備案方面，對在用信息資產(chǎn)全部進(jìn)行備案，生成唯一備案編號；根據備案信息逐個(gè)核查安全現狀，以及參數配置、防護拓撲等關(guān)鍵信息與實(shí)際現狀的符合情況。

　　實(shí)行省市縣三級專(zhuān)人包干負責制，省級工作組每人負責2家地市公司（直屬單位），地市級工作組每人負責1家縣公司。包干負責人要既管進(jìn)度、又控質(zhì)量，每日跟蹤進(jìn)度、匯總問(wèn)題、督促指導。

　　3.3.2 狠抓達標治理

　　組織開(kāi)展現場(chǎng)檢查督導，徹底摸清信息通信安全方面存在的風(fēng)險和隱患，確保治理提升各項工作扎實(shí)開(kāi)展、取得實(shí)效。事前制定標準化檢查大綱，確定檢查詳細內容，為量化評價(jià)提供依據。檢查大綱應包括責任落實(shí)、機房基礎環(huán)境、網(wǎng)絡(luò )邊界、業(yè)務(wù)系統、終端、通信安全、安全備案等工作，涵蓋管理制度、反措、機房供電、機房環(huán)境、通信網(wǎng)絡(luò )、信息網(wǎng)絡(luò )、信息系統、信息安全、通信光纜、通信設備、備品備件、應急管理十二個(gè)方面的所有檢查內容。

　　通過(guò)匯報座談，資料查閱、現場(chǎng)查看等方式，對照大綱逐項逐條檢查，主要采取現場(chǎng)測試查驗的方式。檢查完畢即刻組織召開(kāi)反饋會(huì )議，指出存在的問(wèn)題隱患，分析具體原因，深入討論整改措施和意見(jiàn)，形成整改指導意見(jiàn)和手冊，督促各單位實(shí)施整改。

　　3.3.3 督促長(cháng)效提升

　�。�1）樹(shù)典型、立標桿。根據階段工作審查結果和現場(chǎng)檢查督導情況，綜合分析各單位的優(yōu)勢和劣勢，樹(shù)立機房基礎環(huán)境、設備線(xiàn)纜標簽、日常運行維護、辦公終端安全和通信網(wǎng)絡(luò )安全等單項工作典型示范單位，由典型示范單位編制單項工作優(yōu)化提升經(jīng)驗方案，促動(dòng)各單位向典型示范單位學(xué)習。建立對口幫扶關(guān)系，典型示范單位聯(lián)系對應幫扶單位，指導問(wèn)題整改，實(shí)現工作提升。將幫扶成效納入年度同業(yè)對標，形成典型示范單位深入幫扶、扎實(shí)幫扶的良好氛圍，確保被幫扶單位問(wèn)題隱患得到整改。

　�。�2）強化管控、落實(shí)整改。將各單位還未完成整改的問(wèn)題列入管控表，同時(shí)納入信息安全督查管理。強化安全督查工作，嚴格執行“紅黃牌”制度和整改督辦機制，指定專(zhuān)人負責并明確職責，對限期內未整改的發(fā)放黃牌督辦警告，對督辦期內未整改的發(fā)放紅牌通報處理，并對其進(jìn)行約談，采用“說(shuō)清楚”方式，曉以利害，讓其分析原因，陳述理由，簽訂軍令狀，做出承諾保證。

　　4 治理提升經(jīng)驗與主要做法

　　4.1 重點(diǎn)工作目錄機制

　　為做到既突出重點(diǎn)，又彌補短板，建立了重點(diǎn)工作目錄機制，將信息安全重中之重和日常關(guān)注較少的內容進(jìn)行重點(diǎn)治理，針對每一項重點(diǎn)工作設立專(zhuān)門(mén)的管控組跟蹤負責，管控組成員涵蓋主專(zhuān)業(yè)和相關(guān)專(zhuān)業(yè)，實(shí)行一人多責制。重點(diǎn)治理內容包括生產(chǎn)控制大區系統設備、配網(wǎng)自動(dòng)化建設等多個(gè)方面，可根據自身實(shí)際情況確定。如圖4所示。

　　4.2 反常規檢查機制

　　長(cháng)期以來(lái)，電網(wǎng)企業(yè)缺乏對信息安全和保密工作負責部門(mén)相應工作進(jìn)行有效監督的機制。信息安全工作方面，安全督查由信通部門(mén)組織，督查隊伍具體執行，督查工作中信通部門(mén)和督查隊伍所在單位的問(wèn)題隱患發(fā)現處理的真實(shí)性和有效性不能得到有效保證。保密管理工作方面，保密委員會(huì )下設保密辦，掛靠在辦公室，保密檢查工作開(kāi)展過(guò)程中對辦公室問(wèn)題隱患發(fā)現處理的真實(shí)性和有效性也不能得到嚴格保證。深入分析這一現實(shí)問(wèn)題，首次將回避原則引入監督檢查，建立反常規檢查機制，如圖5所示，將信息安全督查和保密管理檢查有機結合，保密部門(mén)參與信息安全督查，對信息安全工作部門(mén)和單位督查時(shí)承擔牽頭負責職能；信息安全部門(mén)和督查隊伍參與保密檢查，對保密工作部門(mén)檢查時(shí)承擔牽頭負責職能。

　　4.3 人力資源保證和績(jì)效考核

　　成立以主管領(lǐng)導為組長(cháng)，治理提升主要部門(mén)負責人為副組長(cháng)的領(lǐng)導小組，領(lǐng)導小組下設工作組和檢查組。工作組組長(cháng)設置打破慣例，由信通、調控、運檢、營(yíng)銷(xiāo)部門(mén)主要負責人共同擔任，向領(lǐng)導小組匯報工作。工作組下設聯(lián)絡(luò )小組和重點(diǎn)工作管控小組，聯(lián)絡(luò )小組負責日常工作的通知傳達，管控小組對重點(diǎn)治理工作專(zhuān)門(mén)負責。檢查組人員覆蓋省、市、縣三個(gè)層面，信息安全、保密管理、調控、運檢、營(yíng)銷(xiāo)五個(gè)專(zhuān)業(yè)。實(shí)現多專(zhuān)業(yè)協(xié)同工作，各層面順暢溝通，如圖6所示。

　　制定績(jì)效考核辦法，將治理提升工作開(kāi)展情況納入同業(yè)對標考核范圍，一是自查階段發(fā)現上報問(wèn)題隱患分數量和質(zhì)量?jì)蓚�(gè)維度進(jìn)行考核，數量超過(guò)平均數、發(fā)現重大問(wèn)題予以加分；創(chuàng )新點(diǎn)二是現場(chǎng)檢查督導發(fā)現非常規問(wèn)題和較難發(fā)現的隱患不考核，但對自查階段發(fā)現問(wèn)題隱患的整改和計劃制定情況進(jìn)行考核。

　　5 結束語(yǔ)

　　本文提出的基于PDCA的三段式信息安全治理提升方法通過(guò)在國網(wǎng)甘肅省電力公司進(jìn)行實(shí)踐應用，取得了較好的成效，問(wèn)題隱患得到有效治理，信息安全總體水平有了一定提升，補丁安裝率提升8%，漏洞整改率提升12.7%，疑似敏感郵件數降低9.6%，月度內網(wǎng)掃描發(fā)現中高危漏洞數降低17%，月度互聯(lián)網(wǎng)途徑掃描發(fā)現中高危漏洞數降低至0個(gè)。該方法的成功實(shí)踐是電網(wǎng)企業(yè)的典型案例，并入選國網(wǎng)公司2013年同業(yè)對標信息通信管理專(zhuān)業(yè)典型經(jīng)驗，對于各級電網(wǎng)企業(yè)開(kāi)展信息安全治理提升工作具有一定借鑒價(jià)值。

【電網(wǎng)企業(yè)基于PDCA的信息安全治理提升方法研究與應用論文】相關(guān)文章：

關(guān)于物聯(lián)網(wǎng)的信息安全技術(shù)研究論文09-29

信息技術(shù)應用能力提升計劃范文12-15

信息技術(shù)應用能力提升培訓心得11-17

個(gè)人信息技術(shù)應用能力提升的計劃09-21

信息技術(shù)應用能力提升工程培訓心得12-14

個(gè)人信息技術(shù)應用能力提升計劃10-24

信息技術(shù)應用能力提升培訓個(gè)人總結11-24

企業(yè)知識管理應用論文12-30

信息技術(shù)應用能力提升心得體會(huì )11-24

個(gè)人信息技術(shù)應用能力提升計劃集錦10-18