创新信息安全管理上世纪 90 年代以来,嘉兴电力局逐步建立了办公自动化(OA)、SAP 系统、营销管理、95598 客户服务、负荷管理、PI 数据库等诸多信息系统,企业信息化在安全生产、经营管理、优质服务中发挥了极其重要的作用。与此同时,信息安全的篱笆墙也越扎越紧,有效地防范了外部的攻击和内部管理失控带来的种种威胁。因此嘉兴电力局先后被中电联授予“信息化先进单位”、“信息化标杆企业”等光荣称号。2025 年贯彻 ISO/IEC27001:2025 信息安全管理标准,获得了挪威船级社 DNV 公司认证证书。运用系统的思想和方法,查找信息安全管理的“不足”管理思想和方法落后。过去基本上是参考电网安全管理的一些传统做法,没有体现信息化特点和要求,这样就越来越不适应信息系统的快速进展和变革。管理对象不够全面。以往只考虑硬件、软件,忽视了人、数据和文档、服务、无形资产等重要对象,对外来人员也缺乏有效的识别管理。管理制度不够系统。以前虽然制订了不少制度和标准,但随着信息化的进展,这些制度渐渐变得与现实要求不相适应。就事论事的管理方式必定会产生安全管理的盲区,有些制度内容重复、交叉、不一致,有些制度不切合实际,往往束之高阁。风险评估不够科学。以往的信息风险评估就事论事,不够系统,主观性过强,缺乏综合平衡,抓不住重点,易过度保护,或产生管理死角,事后控制多,事前预控少,不能涵盖信息系统的生命周期。上述情形是企业在信息化建设中普遍感觉到比较迷茫的问题,随着科学技术的进步,企业信息运转管理模式也发生了巨大的变化,为企业采纳先进管理方式、建立信息安全管理体系打下了扎实的基础。为此,嘉兴电力局根据国际上信息安全管理的最佳实践,结合实际情况,从信息安全风险评估管理人手,贯彻 ISO/IEC27001:2025 信息安全管理标准,建立了信息安全管理体系。通过体系有效运作,达到了供电企业信息安全管理“预控、能控、可控、在控”的目的。从资产识别入手,搞好信息安全风险评估嘉兴电力局按《信息安全风险评估控制程序》,对所有的资产进行了列表识别,并识别了资产的所有者。这些资产包括硬件与设施、软件与系统、数据与文档、服务及人力资源。对每一项资产按自身价值、信息分类、保密性、完整性、法律法规符合性要求进行了量化赋值。在风险评估中,共识别资产 2810项,其中确定的重要资产总数为 312 项,形成了《重要资产清单》。图 1 重要信息资产按部门分布图对重要的信息资产,由...
