本文是一篇安全管理论文,从广义上看,质量包涵安全工作质量,安全概念也内涵着质量,交互作用,互为因果。安全第一,质量第一,两个第一并不矛盾。安全第一是从保护生产因素的角度提出的,而质量第一则是从关心产品成果的角度而强调的。安全为质量服务,质量需要安全保证。生产过程丢掉哪一头,都要陷于失控状态。(以上内容来自百度百科)今天上海论文网为大家推荐一篇安全管理论文,供大家参考。
第 1 章 绪 论
1.1 背景
2006 年国网公司开始提出“SG186”工程的规划并组建实施,不断加大公司信息化建设投入,不断提高建设水平,形成覆盖国网总部-网省公司-地县公司三级的信息通信网络,构筑了纵向贯通、横向融合的现代化企业级信息通信综合平台,建成现代化供电企业的八大业务应用及六个保障体系,引进先进的信息化技术在公司营销、生产和管理等业务范畴开展深化应用,信息化建设成果丰硕。伴随着国网公司一系列的信息化项目的推广实施和深化应用,国网公司信息化水平进入了应用深度优化持续发展的阶段,供电企业信息化基础设施也得到迅速完善,同时,供电企业也面临复杂多样的内外网络环境的制约,企业面对来自内外部的信息安全漏洞,网络黑客攻击、敏感信息泄露等信息安全事件的发生。一旦应用数据因受到网络攻击致使敏感信息泄露等事件发生,势必会影响到供电企业正常的生产、营销等业务,给企业带来无法弥补影响及损失。近年来,各县级供电企业加大信息化建设,众多先进的信息化技术在县级供电企业的营销、生产和管理等方面推广应用,大量的信息化系统、信息化设备充实进县级供电企业的机房,呈现出一片欣欣向荣的景象。随着各级供电企业不断完善信息安全管理体系,以信息系统建设“同步规划、同步建设、同步运行”的原则,在信息安全管理取得长足进步。2015 年各县级供电公司(以下简称:县公司)集中上划各网省公司,由省公司垂直管理,地市公司分管,提高信息化投入,进一步加快县公司信息化建设步伐。但是县公司信息安全管理发展滞后信息安全管理的问题逐渐显现,给县公司信息化建设的道路上埋下了巨大的安全隐患。就如何提高县级供电企业信息安全管理体系建设,特别是县公司对信息化建设所能提供的安全可靠的保障能力,这是目前县级供电企业所要面临的巨大挑战。
..........
1.2 意义
随着社会的发展和进步,先进的科学技术,信息化技术在电力企业中深化应用,信息安全保障问题成为业界关注焦点,国际组织先后发布了 BS 7799、 ISO27001 等一系列信息安全管理标准和实施指南,国家标准化管理委员会结合国际形势先后出台了关于信息安全管理体系、信息安全风险评估等国家信息安全标准。同时,国网公司结合国内网行业信息安全发展趋势,为了更好地加快信息化建设发展进程,发布了《国家电网公司安全防护总体方案》、《国家电网公司嘻嘻安全风险评估实施细则》等防护方案和实施细则,进一步的细化信息安全防护措施。由于县公司整体条件的限制,在信息化建设方面规模较小、投入较少,国网公司信息安全防护方案和措施在县公司实施和执行存在不适用局限性。县公司为建设信息安全管理体系,将国际上或行业上现成的信息安全管理体系标准照搬照抄的到县公司,但这样是不能满足和适用于县公司信息化建设发展所需要的信息安全保障能力,这样的信息安全管理体系是偏离供电企业实际需要的[2]。县公司的信息安全体系必须结合所在区域的经济发展现状,自身的信息化建设实际情况,充分解析企业信息安全防护体系及各业务应用之间的联系,再多次进行全方位的信息安全风险评估,查漏补缺,不断循环逐渐的形成一套实用、高效符合县公司信息化可持续发展的信息安全防护体系。本文将通过对国网公司及各级供电企业,尤其是县级供电企业,当前信息化建设现状进行剖析,针对县公司营销、生产和管理等方面,综合县公司信息安全建设理性基本情况,结合国际上和行业上的信息安全管理要求,建立适用于县公司的信息安全管理体系,从多角度提出改进和完善县公司信息安全管理的措施[3],为县公司建设“一强三优”现代公司提供坚实的信息安全防护基础。
........
第 2 章 县级供电企业信息化与信息安全体系建设现状
随着国网公司信息化“SG-186”工程建设项目的实施县级供电企业信息化建设发生了巨大改变。
2.1 县级供电企业信息化建设现状
近年来,各级供电公司高度重视信息化建设发展,加强信息化与电力业务相融合,提高供电公司营销、生产和管理等业务水平,国网公司至上而下开展信息化基础设施建设和应用系统开发,信息化系统已覆盖供电公司营销、生产和日常管理等业务的各个流程环节,加快县公司信息化建设进程。信息化建设发展日新月异,信息化产品不断推陈出新,各级供电公司的信息化基础设施建设得到飞速发展。至上而下形成四级的信息网络架构覆盖国网公司总部、网省公司、地市公司、县公司,各生产场所信息网络 100%覆盖。采用逻辑强隔离方式组建成信息内网、信息外网,百兆带宽;通过通信传输设备承载高清视频会议专用网络,建立有效的应急联动机制。 在信息通信机房基础建设方面,为了更好地支撑县公司营销、生产和管理等方面业务工作,根据国网公司 C 类机房建设要求,县公司结合自身实际情况对信息通信中心机房及供电所 C2 类机房进行标准化改造,如信息通信中心机房增加机房动力环境监控系统、机房门禁系统、七氟丙烷气体消防系统、精密空调系统、UPS 电源系统等,供电所 C2 类机房增加视频监控、温湿度监控、UPS 电源、空调自启动等功能,进而完善各级机房基础设施,提高物理防护措施,为信息网络与信息系统安全稳定运行提供基础支持。
.........
2.2 县级供电企业信息安全体系现状
在 2006 年之前,国网公司各级供电公司的网络与互联网直接相连,信息网络和信息系统的安全风险高。信息安全工作主要集中在计算机安全防护方面,县级供电公司缺少完整的,行而有效的信息安全防护体系。国网公司 2006 年提出在全系统建设信息化“SG186”工程,当年开始全面实施,同时信息安全防护开始受到公司重视,并意识到信息安全防护体系建设必要性,国网公司制定了“双网双机、分区分域、等级防护、多层防御”的信息安全防护总体策略。2008 年,国网公司、网省公司、地市(县)公司开展网络隔离工作,对公司的信息网络与互联网隔离,采用逻辑强隔离装置进行隔离。并自主研发桌面管控系统,存储介质加密系统,建立信息内外网监控系统和一体化综合运维系统。逐步建立健全了信息安全技术监督检查机制。2009 年国网公司至上而下开展信息安全等级保护建设。“十二五”期间,国网公司各级供电公司深入开展健全信息安全防护体系工作,由被动防御向主动防御转变,开展红蓝队攻防演练,发现信息网络和信息系统的不足之处,及时修订整改。建立主动防御体系,实时全网监控,依据“双网双机、分区分域、安全接入、动态感知、精益管理、全面防护”的主动防御策略,将公司智能电网业务系统信息安全防护划分为物理环境安全防护、业务终端安全防护、边界安全防护、网络环境安全防护、主机系统安全防护、应用与数据安全防护六个层次部署安全防护措施。同时在已有信息安全网络隔离装置和正、反向隔离装置构筑的“三道防线”基础上,建设完善安全接入平台、动态感知监测预警、统一信任体系、安全加固和优化等措施,以满足智能电网信息安全保障需求[13]。
.........
第 3 章 县级供电企业信息安全体系架构设计..... 19
3.1 信息安全.......19
3.2 信息安全管理.......19
3.3 信息安全管理体系.......21
3.4 信息安全技术体系.......23
3.4.1 信息安全技术体系结构........23
第 4 章 县级供电企业信息安全体系设计 .......... 25
4.1 县级供电企业信息安全体系目标.......25
4.2 县级供电企业信息安全体系原则.......25
4.3 县级供电企业信息安全管理体系架构.......26
4.4 县级供电企业信息安全管理策略.......26
4.5 县级供电企业信息安全技术体系框架.......29
4.6 县级供电企业信息安全技术措施.......29
第 5 章 国网浙江安吉县供电公司信息安全管理实例...... 34
5.1 国网浙江安吉县供电公司信息安全管理流程...........34#p#分页标题#e#
5.2 国网浙江安吉县供电公司信息安全体系建设准备...........34
5.3 国网浙江安吉县供电公司信息安全风险评估...........39
5.4 国网浙江安吉县供电公司信息安全改善...........42
5.5 国网浙江安吉县供电公司信息安全体系实施和运行.......43
5.6 国网浙江安吉县供电公司信息安全体系运维...........44
第 5 章 国网浙江安吉县供电公司信息安全管理实例
5.1 国网浙江安吉县供电公司信息安全管理流程
国网浙江安吉县供电公司(简称:安吉公司)信息安全管理建立过程遵从ISO27001:2005 提出的 PDCA 模型,通过质量环的不断循环,持续修缮国网浙江安吉县供电公司信息安全体系。信息安全体系的建设分为以下几步:(1)计划(Plan):建立机构组织,分组分责,分职明责,定制计划,开展信息安全文件学习宣贯、培训。(2)执行(Do):统一标准开展信息安全风险评估,初步评估、详细评估、选择防护措施、界定边界、获得评估结果,为公司信息安全改进提升的提供依据。(3)检查(Check):通过对评估报告的解析,查找出信息安全中管理策略及技术措施存在的漏洞及不足,针对两者的漏洞及不足进行修补。(4)改进(Action);就不能规避的威胁进行最小化处理,通过不管改进和完善管理策略和技术措施,提高县公司风险防御能力。为顺利开展信息安全体系建设,国网浙江安吉县供电公司推进工作小组统筹管控,编制信息安全管理体系建设方案,制定信息安全管理体系建设手册,明确各阶段各职能部门的工作任务,采取周例会形势协调管控建设进度。工作计划主要分为准备阶段、风险评估、问题查找、问题整改、实施整形、持续运行 6 个阶段,根据不同的阶段制定相关的工作任务,有专门的部门及人员负责跟进实施,分配职责、落实到人,确保工作任务实施到位。表 5-1 所示为国网浙江安吉县供电公司信息安全体系总体工作计划。
..........
结论
本文通过研究信息安全中的管理策略和技术措施,结合县级供电企业信息安全建设现状,设计出满足县级供电企业发展需求的信息安全体系,通过国网浙江安吉县供电公司信息安全风险评估实例,从多角度采取管理策略和技术措施来处理信息安全风险,从而使县公司信息安全防护水平更上一层楼。本人在本论文中的主要工作和研究成果如下:
(1)研究和剖析了国内、外典型的信息安全体系标准,通过对照国内、外标准的应用现状,融合安全风险评估安全风险控制方法,并结合县级供电公司所在区域经济发展趋势,择优选择国际标准化组织发布 ISO/IEC 27001 信息安全管理标准作为县级供电企业信息安管理全体系建设的参考依据。
(2)研究了我国县级供电公司的信息化建设现状,通过分析国网公司的信息安全体系架构及防护措施,为县公司信息安全体系设计与建设奠定了基础。
(3)设计并创建满足于县级供电企业持续发展的信息安全管理体系,通过对县公司进行全方面的信息安全风险评估,信息安全风险识别,以国网公司信息安全管理体系为前提,依照信息安全管理标准 ISO/IEC 27001 的管理要求,制定了符合县公司的信息安全方针,融合风险评估安全防护措施,从管理和技术等角度提出改进完善县级供电企业信息安全管理建设的措施,通过不断的调整和持续优化,保证县公司信息安全体系的可持续性。
..........
参考文献(略)