- 相關(guān)推薦
電網(wǎng)企業(yè)基于PDCA的信息安全治理提升方法研究與應(yīng)用論文
1 引言
“十一五”期間,國(guó)網(wǎng)公司按照“雙網(wǎng)雙機(jī)、分區(qū)分域、等級(jí)防護(hù)、多層防御”的信息安全防護(hù)總體策略,完成了等級(jí)保護(hù)縱深防御體系建設(shè),信息安全整體防護(hù)能力顯著增強(qiáng)。但是,深入分析信息安全現(xiàn)狀,部分單位還存在人員意識(shí)不強(qiáng)、自建系統(tǒng)防護(hù)能力不高、管理技術(shù)措施落實(shí)不嚴(yán)格等問題;另外,傳統(tǒng)分專業(yè)條塊式的信息安全管理模式制約整體安全管理水平提升。更重要的是,隨著智能電網(wǎng)和“三集五大”的快速推進(jìn),對(duì)現(xiàn)有信息安全工作提出了更高的要求。
2 治理提升的目標(biāo)
通過對(duì)全部在運(yùn)的電力二次系統(tǒng)、管理信息系統(tǒng)、電力通信網(wǎng)絡(luò)、統(tǒng)推系統(tǒng)及自建系統(tǒng)存在的信息安全風(fēng)險(xiǎn)隱患進(jìn)行治理提升,最終實(shí)現(xiàn)如圖1所示的信息安全治理提升目標(biāo)全景視圖。
(1)解決長(zhǎng)期以來信息安全分專業(yè)條塊式管理被遺漏的問題,實(shí)現(xiàn)統(tǒng)一管理、多方聯(lián)動(dòng),從查漏補(bǔ)缺、被動(dòng)防御向整體掌控、主動(dòng)防御轉(zhuǎn)變。
(2)解決各級(jí)單位、各專業(yè)存在的問題和薄弱環(huán)節(jié),避免信息安全“碎片化”和“木桶效應(yīng)”,有效降低縣供電企業(yè)信息化延伸覆蓋建設(shè)帶來的信息安全風(fēng)險(xiǎn)。
(3)實(shí)現(xiàn)信息安全責(zé)任全面覆蓋、措施全面落實(shí)、對(duì)象全面管控、風(fēng)險(xiǎn)全面監(jiān)控,消除思想認(rèn)識(shí)的誤區(qū)、管理與技術(shù)的盲區(qū)、執(zhí)行規(guī)定的死區(qū)。
(4)深入落實(shí)12項(xiàng)安全管理手段和8項(xiàng)技術(shù)措施,實(shí)現(xiàn)生產(chǎn)控制大區(qū)和管理信息大區(qū)的物理安全、設(shè)備安全和數(shù)據(jù)安全等覆蓋所有對(duì)象和環(huán)節(jié)的全方位安全。
3 基于PDCA的三段式治理提升方法
3.1 PDCA循環(huán)
PDCA循環(huán)又名戴明環(huán),包括Plan(計(jì)劃)、Do(執(zhí)行)、Check(檢查)和Act(修正)四個(gè)環(huán)節(jié),是全面質(zhì)量管理所應(yīng)遵循的科學(xué)程序,具體含義:(1)P (P lan) 計(jì)劃,包括方針和目標(biāo)的確定,以及活動(dòng)規(guī)劃的制定;(2)D (Do) 執(zhí)行,根據(jù)已知信息設(shè)計(jì)具體方法、方案和計(jì)劃,再具體運(yùn)作,實(shí)現(xiàn)計(jì)劃;(3)C (Check) 檢查,總結(jié)執(zhí)行計(jì)劃的結(jié)果,明確效果,找出問題;(4)A (Act)修正,對(duì)檢查結(jié)果進(jìn)行處理,對(duì)成功經(jīng)驗(yàn)加以肯定并標(biāo)準(zhǔn)化,對(duì)失敗教訓(xùn)進(jìn)行總結(jié),引起重視。對(duì)于沒有解決的問題,提交下一個(gè)PDCA循環(huán)解決。以上四個(gè)過程周而復(fù)始進(jìn)行,一次循環(huán)結(jié)束,解決一些問題,未解決的問題進(jìn)入下一次循環(huán),如此階梯式上升。
3.2 治理提升理念
基于業(yè)界關(guān)于信息安全治理提升方法的研究成果并結(jié)合實(shí)踐經(jīng)驗(yàn),提出了一個(gè)實(shí)效性更強(qiáng)的模式,如圖2所示。通過清查摸底、達(dá)標(biāo)治理、長(zhǎng)效提升三個(gè)主要階段開展工作,將PDCA 方法融入治理提升各個(gè)階段,堅(jiān)持“嚴(yán)清查、抓治理、促提升”的三段式理念,站在覆蓋“全業(yè)務(wù)、全單位、全系統(tǒng)、全過程”的高度,按照“橫向到邊、縱向到底”的原則,有效解決當(dāng)前信息安全工作的缺陷和不足,從根本上降低信息安全風(fēng)險(xiǎn),加快信息安全主動(dòng)防御體系建設(shè)。
3.3 治理提升的流程
如圖3所示,治理提升工作主要分三個(gè)階段開展:第一階段是清查摸底,完成宣貫培訓(xùn)、問題自查和安全備案等工作;第二階段是達(dá)標(biāo)治理,依據(jù)頂層優(yōu)化設(shè)計(jì)開展問題隱患整改實(shí)施;第三階段是長(zhǎng)效提升,制定持續(xù)整改方案,鞏固治理成效,推進(jìn)長(zhǎng)效提升。專項(xiàng)活動(dòng)由省、市、縣三級(jí)工作組整體管控,各單位具體開展各項(xiàng)工作,最終實(shí)現(xiàn)信息安全長(zhǎng)效提升。
3.3.1 嚴(yán)格清查摸底
該階段工作應(yīng)抓好幾個(gè)關(guān)鍵方面。
(1)重視方案編制、創(chuàng)新培訓(xùn)宣貫。通過編制總體工作方案等指導(dǎo)性文件,明確做什么、誰來做、怎么做,分解工作任務(wù),列出工作重點(diǎn),通過任務(wù)表明確具體內(nèi)容、責(zé)任單位和時(shí)間節(jié)點(diǎn)。編制人員應(yīng)涉及各部門,以及省、市、縣各層面的代表單位。
為規(guī)范工作方法,統(tǒng)一工作標(biāo)準(zhǔn),采取現(xiàn)場(chǎng)集中、電視電話、網(wǎng)絡(luò)視頻等多種形式,省市縣三級(jí)聯(lián)動(dòng),三級(jí)聯(lián)訓(xùn),三級(jí)釋疑,演示講解工作方法,答疑解惑,提煉方法。通過網(wǎng)站、海報(bào)、滾動(dòng)屏等多種途徑,大力宣傳治理提升工作。編制專項(xiàng)工作簡(jiǎn)報(bào),建立各單位學(xué)習(xí)交流平臺(tái),共享典型經(jīng)驗(yàn)和創(chuàng)新做法。
(2)注重工作方法、嚴(yán)抓工作落實(shí)。問題自查方面,檢查對(duì)象要涵蓋系統(tǒng)、終端、網(wǎng)絡(luò)、通信、責(zé)任、機(jī)房等六個(gè)方面,檢查內(nèi)容包括管理責(zé)任、運(yùn)維責(zé)任、督查責(zé)任、安 監(jiān)責(zé)任、安全準(zhǔn)入、建設(shè)安全、運(yùn)行安全、數(shù)據(jù)安全、安全審計(jì)及監(jiān)測(cè)九大項(xiàng)涉及的所有檢查點(diǎn)。通過設(shè)計(jì)科學(xué)合理的考核指標(biāo)(自查階段發(fā)現(xiàn)上報(bào)問題隱患但數(shù)量越多、質(zhì)量越高予以加分)來激勵(lì)各單位充分發(fā)現(xiàn)暴露問題隱患。安全備案方面,對(duì)在用信息資產(chǎn)全部進(jìn)行備案,生成唯一備案編號(hào);根據(jù)備案信息逐個(gè)核查安全現(xiàn)狀,以及參數(shù)配置、防護(hù)拓?fù)涞汝P(guān)鍵信息與實(shí)際現(xiàn)狀的符合情況。
實(shí)行省市縣三級(jí)專人包干負(fù)責(zé)制,省級(jí)工作組每人負(fù)責(zé)2家地市公司(直屬單位),地市級(jí)工作組每人負(fù)責(zé)1家縣公司。包干負(fù)責(zé)人要既管進(jìn)度、又控質(zhì)量,每日跟蹤進(jìn)度、匯總問題、督促指導(dǎo)。
3.3.2 狠抓達(dá)標(biāo)治理
組織開展現(xiàn)場(chǎng)檢查督導(dǎo),徹底摸清信息通信安全方面存在的風(fēng)險(xiǎn)和隱患,確保治理提升各項(xiàng)工作扎實(shí)開展、取得實(shí)效。事前制定標(biāo)準(zhǔn)化檢查大綱,確定檢查詳細(xì)內(nèi)容,為量化評(píng)價(jià)提供依據(jù)。檢查大綱應(yīng)包括責(zé)任落實(shí)、機(jī)房基礎(chǔ)環(huán)境、網(wǎng)絡(luò)邊界、業(yè)務(wù)系統(tǒng)、終端、通信安全、安全備案等工作,涵蓋管理制度、反措、機(jī)房供電、機(jī)房環(huán)境、通信網(wǎng)絡(luò)、信息網(wǎng)絡(luò)、信息系統(tǒng)、信息安全、通信光纜、通信設(shè)備、備品備件、應(yīng)急管理十二個(gè)方面的所有檢查內(nèi)容。
通過匯報(bào)座談,資料查閱、現(xiàn)場(chǎng)查看等方式,對(duì)照大綱逐項(xiàng)逐條檢查,主要采取現(xiàn)場(chǎng)測(cè)試查驗(yàn)的方式。檢查完畢即刻組織召開反饋會(huì)議,指出存在的問題隱患,分析具體原因,深入討論整改措施和意見,形成整改指導(dǎo)意見和手冊(cè),督促各單位實(shí)施整改。
3.3.3 督促長(zhǎng)效提升
(1)樹典型、立標(biāo)桿。根據(jù)階段工作審查結(jié)果和現(xiàn)場(chǎng)檢查督導(dǎo)情況,綜合分析各單位的優(yōu)勢(shì)和劣勢(shì),樹立機(jī)房基礎(chǔ)環(huán)境、設(shè)備線纜標(biāo)簽、日常運(yùn)行維護(hù)、辦公終端安全和通信網(wǎng)絡(luò)安全等單項(xiàng)工作典型示范單位,由典型示范單位編制單項(xiàng)工作優(yōu)化提升經(jīng)驗(yàn)方案,促動(dòng)各單位向典型示范單位學(xué)習(xí)。建立對(duì)口幫扶關(guān)系,典型示范單位聯(lián)系對(duì)應(yīng)幫扶單位,指導(dǎo)問題整改,實(shí)現(xiàn)工作提升。將幫扶成效納入年度同業(yè)對(duì)標(biāo),形成典型示范單位深入幫扶、扎實(shí)幫扶的良好氛圍,確保被幫扶單位問題隱患得到整改。
(2)強(qiáng)化管控、落實(shí)整改。將各單位還未完成整改的問題列入管控表,同時(shí)納入信息安全督查管理。強(qiáng)化安全督查工作,嚴(yán)格執(zhí)行“紅黃牌”制度和整改督辦機(jī)制,指定專人負(fù)責(zé)并明確職責(zé),對(duì)限期內(nèi)未整改的發(fā)放黃牌督辦警告,對(duì)督辦期內(nèi)未整改的發(fā)放紅牌通報(bào)處理,并對(duì)其進(jìn)行約談,采用“說清楚”方式,曉以利害,讓其分析原因,陳述理由,簽訂軍令狀,做出承諾保證。
4 治理提升經(jīng)驗(yàn)與主要做法
4.1 重點(diǎn)工作目錄機(jī)制
為做到既突出重點(diǎn),又彌補(bǔ)短板,建立了重點(diǎn)工作目錄機(jī)制,將信息安全重中之重和日常關(guān)注較少的內(nèi)容進(jìn)行重點(diǎn)治理,針對(duì)每一項(xiàng)重點(diǎn)工作設(shè)立專門的管控組跟蹤負(fù)責(zé),管控組成員涵蓋主專業(yè)和相關(guān)專業(yè),實(shí)行一人多責(zé)制。重點(diǎn)治理內(nèi)容包括生產(chǎn)控制大區(qū)系統(tǒng)設(shè)備、配網(wǎng)自動(dòng)化建設(shè)等多個(gè)方面,可根據(jù)自身實(shí)際情況確定。如圖4所示。
4.2 反常規(guī)檢查機(jī)制
長(zhǎng)期以來,電網(wǎng)企業(yè)缺乏對(duì)信息安全和保密工作負(fù)責(zé)部門相應(yīng)工作進(jìn)行有效監(jiān)督的機(jī)制。信息安全工作方面,安全督查由信通部門組織,督查隊(duì)伍具體執(zhí)行,督查工作中信通部門和督查隊(duì)伍所在單位的問題隱患發(fā)現(xiàn)處理的真實(shí)性和有效性不能得到有效保證。保密管理工作方面,保密委員會(huì)下設(shè)保密辦,掛靠在辦公室,保密檢查工作開展過程中對(duì)辦公室問題隱患發(fā)現(xiàn)處理的真實(shí)性和有效性也不能得到嚴(yán)格保證。深入分析這一現(xiàn)實(shí)問題,首次將回避原則引入監(jiān)督檢查,建立反常規(guī)檢查機(jī)制,如圖5所示,將信息安全督查和保密管理檢查有機(jī)結(jié)合,保密部門參與信息安全督查,對(duì)信息安全工作部門和單位督查時(shí)承擔(dān)牽頭負(fù)責(zé)職能;信息安全部門和督查隊(duì)伍參與保密檢查,對(duì)保密工作部門檢查時(shí)承擔(dān)牽頭負(fù)責(zé)職能。
4.3 人力資源保證和績(jī)效考核
成立以主管領(lǐng)導(dǎo)為組長(zhǎng),治理提升主要部門負(fù)責(zé)人為副組長(zhǎng)的領(lǐng)導(dǎo)小組,領(lǐng)導(dǎo)小組下設(shè)工作組和檢查組。工作組組長(zhǎng)設(shè)置打破慣例,由信通、調(diào)控、運(yùn)檢、營(yíng)銷部門主要負(fù)責(zé)人共同擔(dān)任,向領(lǐng)導(dǎo)小組匯報(bào)工作。工作組下設(shè)聯(lián)絡(luò)小組和重點(diǎn)工作管控小組,聯(lián)絡(luò)小組負(fù)責(zé)日常工作的通知傳達(dá),管控小組對(duì)重點(diǎn)治理工作專門負(fù)責(zé)。檢查組人員覆蓋省、市、縣三個(gè)層面,信息安全、保密管理、調(diào)控、運(yùn)檢、營(yíng)銷五個(gè)專業(yè)。實(shí)現(xiàn)多專業(yè)協(xié)同工作,各層面順暢溝通,如圖6所示。
制定績(jī)效考核辦法,將治理提升工作開展情況納入同業(yè)對(duì)標(biāo)考核范圍,一是自查階段發(fā)現(xiàn)上報(bào)問題隱患分?jǐn)?shù)量和質(zhì)量?jī)蓚(gè)維度進(jìn)行考核,數(shù)量超過平均數(shù)、發(fā)現(xiàn)重大問題予以加分;創(chuàng)新點(diǎn)二是現(xiàn)場(chǎng)檢查督導(dǎo)發(fā)現(xiàn)非常規(guī)問題和較難發(fā)現(xiàn)的隱患不考核,但對(duì)自查階段發(fā)現(xiàn)問題隱患的整改和計(jì)劃制定情況進(jìn)行考核。
5 結(jié)束語
本文提出的基于PDCA的三段式信息安全治理提升方法通過在國(guó)網(wǎng)甘肅省電力公司進(jìn)行實(shí)踐應(yīng)用,取得了較好的成效,問題隱患得到有效治理,信息安全總體水平有了一定提升,補(bǔ)丁安裝率提升8%,漏洞整改率提升12.7%,疑似敏感郵件數(shù)降低9.6%,月度內(nèi)網(wǎng)掃描發(fā)現(xiàn)中高危漏洞數(shù)降低17%,月度互聯(lián)網(wǎng)途徑掃描發(fā)現(xiàn)中高危漏洞數(shù)降低至0個(gè)。該方法的成功實(shí)踐是電網(wǎng)企業(yè)的典型案例,并入選國(guó)網(wǎng)公司2013年同業(yè)對(duì)標(biāo)信息通信管理專業(yè)典型經(jīng)驗(yàn),對(duì)于各級(jí)電網(wǎng)企業(yè)開展信息安全治理提升工作具有一定借鑒價(jià)值。
【電網(wǎng)企業(yè)基于PDCA的信息安全治理提升方法研究與應(yīng)用論文】相關(guān)文章:
企業(yè)應(yīng)用信息管理系統(tǒng)的問題研究論文10-09
基于網(wǎng)絡(luò)信息安全技術(shù)的計(jì)算機(jī)應(yīng)用探析論文10-11
基于當(dāng)前信息安全與數(shù)學(xué)科學(xué)研究論文10-10
關(guān)于基于電子商務(wù)的CRM應(yīng)用系統(tǒng)研究論文10-09
基于全面預(yù)算管理在企業(yè)成本控制中的應(yīng)用論文10-09
電網(wǎng)企業(yè)人力資源薪酬與績(jī)效管理研究論文10-08
基于企業(yè)社會(huì)責(zé)任的企業(yè)文化建設(shè)研究的論文10-08
電力信息安全監(jiān)控研究論文10-12