電網(wǎng)企業(yè)基于PDCA的信息安全治理提升方法研究與應(yīng)用論文

　　1 引言

　　“十一五”期間，國網(wǎng)公司按照“雙網(wǎng)雙機(jī)、分區(qū)分域、等級防護(hù)、多層防御”的信息安全防護(hù)總體策略，完成了等級保護(hù)縱深防御體系建設(shè)，信息安全整體防護(hù)能力顯著增強(qiáng)。但是，深入分析信息安全現(xiàn)狀，部分單位還存在人員意識不強(qiáng)、自建系統(tǒng)防護(hù)能力不高、管理技術(shù)措施落實(shí)不嚴(yán)格等問題；另外，傳統(tǒng)分專業(yè)條塊式的信息安全管理模式制約整體安全管理水平提升。更重要的是，隨著智能電網(wǎng)和“三集五大”的快速推進(jìn)，對現(xiàn)有信息安全工作提出了更高的要求。

　　2 治理提升的目標(biāo)

　　通過對全部在運(yùn)的電力二次系統(tǒng)、管理信息系統(tǒng)、電力通信網(wǎng)絡(luò)、統(tǒng)推系統(tǒng)及自建系統(tǒng)存在的信息安全風(fēng)險(xiǎn)隱患進(jìn)行治理提升，最終實(shí)現(xiàn)如圖1所示的信息安全治理提升目標(biāo)全景視圖。

　�。�1）解決長期以來信息安全分專業(yè)條塊式管理被遺漏的問題，實(shí)現(xiàn)統(tǒng)一管理、多方聯(lián)動(dòng)，從查漏補(bǔ)缺、被動(dòng)防御向整體掌控、主動(dòng)防御轉(zhuǎn)變。

　�。�2）解決各級單位、各專業(yè)存在的問題和薄弱環(huán)節(jié)，避免信息安全“碎片化”和“木桶效應(yīng)”，有效降低縣供電企業(yè)信息化延伸覆蓋建設(shè)帶來的信息安全風(fēng)險(xiǎn)。

　�。�3）實(shí)現(xiàn)信息安全責(zé)任全面覆蓋、措施全面落實(shí)、對象全面管控、風(fēng)險(xiǎn)全面監(jiān)控，消除思想認(rèn)識的誤區(qū)、管理與技術(shù)的盲區(qū)、執(zhí)行規(guī)定的死區(qū)。

　�。�4）深入落實(shí)12項(xiàng)安全管理手段和8項(xiàng)技術(shù)措施，實(shí)現(xiàn)生產(chǎn)控制大區(qū)和管理信息大區(qū)的物理安全、設(shè)備安全和數(shù)據(jù)安全等覆蓋所有對象和環(huán)節(jié)的全方位安全。

　　3 基于PDCA的三段式治理提升方法

　　3.1 PDCA循環(huán)

　　PDCA循環(huán)又名戴明環(huán)，包括Plan（計(jì)劃）、Do（執(zhí)行）、Check（檢查）和Act（修正）四個(gè)環(huán)節(jié)，是全面質(zhì)量管理所應(yīng)遵循的科學(xué)程序，具體含義：（1）P （P lan） 計(jì)劃，包括方針和目標(biāo)的確定，以及活動(dòng)規(guī)劃的制定；（2）D （Do） 執(zhí)行，根據(jù)已知信息設(shè)計(jì)具體方法、方案和計(jì)劃，再具體運(yùn)作，實(shí)現(xiàn)計(jì)劃；（3）C （Check） 檢查，總結(jié)執(zhí)行計(jì)劃的結(jié)果，明確效果，找出問題；（4）A （Act）修正，對檢查結(jié)果進(jìn)行處理，對成功經(jīng)驗(yàn)加以肯定并標(biāo)準(zhǔn)化，對失敗教訓(xùn)進(jìn)行總結(jié)，引起重視。對于沒有解決的問題，提交下一個(gè)PDCA循環(huán)解決。以上四個(gè)過程周而復(fù)始進(jìn)行，一次循環(huán)結(jié)束，解決一些問題，未解決的問題進(jìn)入下一次循環(huán)，如此階梯式上升。

　　3.2 治理提升理念

　　基于業(yè)界關(guān)于信息安全治理提升方法的研究成果并結(jié)合實(shí)踐經(jīng)驗(yàn)，提出了一個(gè)實(shí)效性更強(qiáng)的模式，如圖2所示。通過清查摸底、達(dá)標(biāo)治理、長效提升三個(gè)主要階段開展工作，將PDCA 方法融入治理提升各個(gè)階段，堅(jiān)持“嚴(yán)清查、抓治理、促提升”的三段式理念，站在覆蓋“全業(yè)務(wù)、全單位、全系統(tǒng)、全過程”的高度，按照“橫向到邊、縱向到底”的原則，有效解決當(dāng)前信息安全工作的缺陷和不足，從根本上降低信息安全風(fēng)險(xiǎn)，加快信息安全主動(dòng)防御體系建設(shè)。

　　3.3 治理提升的流程

　　如圖3所示，治理提升工作主要分三個(gè)階段開展：第一階段是清查摸底，完成宣貫培訓(xùn)、問題自查和安全備案等工作；第二階段是達(dá)標(biāo)治理，依據(jù)頂層優(yōu)化設(shè)計(jì)開展問題隱患整改實(shí)施；第三階段是長效提升，制定持續(xù)整改方案，鞏固治理成效，推進(jìn)長效提升。專項(xiàng)活動(dòng)由省、市、縣三級工作組整體管控，各單位具體開展各項(xiàng)工作，最終實(shí)現(xiàn)信息安全長效提升。

　　3.3.1 嚴(yán)格清查摸底

　　該階段工作應(yīng)抓好幾個(gè)關(guān)鍵方面。

　　（1）重視方案編制、創(chuàng)新培訓(xùn)宣貫。通過編制總體工作方案等指導(dǎo)性文件，明確做什么、誰來做、怎么做，分解工作任務(wù)，列出工作重點(diǎn)，通過任務(wù)表明確具體內(nèi)容、責(zé)任單位和時(shí)間節(jié)點(diǎn)。編制人員應(yīng)涉及各部門，以及省、市、縣各層面的代表單位。

　　為規(guī)范工作方法，統(tǒng)一工作標(biāo)準(zhǔn)，采取現(xiàn)場集中、電視電話、網(wǎng)絡(luò)視頻等多種形式，省市縣三級聯(lián)動(dòng)，三級聯(lián)訓(xùn)，三級釋疑，演示講解工作方法，答疑解惑，提煉方法。通過網(wǎng)站、海報(bào)、滾動(dòng)屏等多種途徑，大力宣傳治理提升工作。編制專項(xiàng)工作簡報(bào)，建立各單位學(xué)習(xí)交流平臺，共享典型經(jīng)驗(yàn)和創(chuàng)新做法。

　�。�2）注重工作方法、嚴(yán)抓工作落實(shí)。問題自查方面，檢查對象要涵蓋系統(tǒng)、終端、網(wǎng)絡(luò)、通信、責(zé)任、機(jī)房等六個(gè)方面，檢查內(nèi)容包括管理責(zé)任、運(yùn)維責(zé)任、督查責(zé)任、安  監(jiān)責(zé)任、安全準(zhǔn)入、建設(shè)安全、運(yùn)行安全、數(shù)據(jù)安全、安全審計(jì)及監(jiān)測九大項(xiàng)涉及的所有檢查點(diǎn)。通過設(shè)計(jì)科學(xué)合理的考核指標(biāo)（自查階段發(fā)現(xiàn)上報(bào)問題隱患但數(shù)量越多、質(zhì)量越高予以加分）來激勵(lì)各單位充分發(fā)現(xiàn)暴露問題隱患。安全備案方面，對在用信息資產(chǎn)全部進(jìn)行備案，生成唯一備案編號；根據(jù)備案信息逐個(gè)核查安全現(xiàn)狀，以及參數(shù)配置、防護(hù)拓?fù)涞汝P(guān)鍵信息與實(shí)際現(xiàn)狀的符合情況。

　　實(shí)行省市縣三級專人包干負(fù)責(zé)制，省級工作組每人負(fù)責(zé)2家地市公司（直屬單位），地市級工作組每人負(fù)責(zé)1家縣公司。包干負(fù)責(zé)人要既管進(jìn)度、又控質(zhì)量，每日跟蹤進(jìn)度、匯總問題、督促指導(dǎo)。

　　3.3.2 狠抓達(dá)標(biāo)治理

　　組織開展現(xiàn)場檢查督導(dǎo)，徹底摸清信息通信安全方面存在的風(fēng)險(xiǎn)和隱患，確保治理提升各項(xiàng)工作扎實(shí)開展、取得實(shí)效。事前制定標(biāo)準(zhǔn)化檢查大綱，確定檢查詳細(xì)內(nèi)容，為量化評價(jià)提供依據(jù)。檢查大綱應(yīng)包括責(zé)任落實(shí)、機(jī)房基礎(chǔ)環(huán)境、網(wǎng)絡(luò)邊界、業(yè)務(wù)系統(tǒng)、終端、通信安全、安全備案等工作，涵蓋管理制度、反措、機(jī)房供電、機(jī)房環(huán)境、通信網(wǎng)絡(luò)、信息網(wǎng)絡(luò)、信息系統(tǒng)、信息安全、通信光纜、通信設(shè)備、備品備件、應(yīng)急管理十二個(gè)方面的所有檢查內(nèi)容。

　　通過匯報(bào)座談，資料查閱、現(xiàn)場查看等方式，對照大綱逐項(xiàng)逐條檢查，主要采取現(xiàn)場測試查驗(yàn)的方式。檢查完畢即刻組織召開反饋會議，指出存在的問題隱患，分析具體原因，深入討論整改措施和意見，形成整改指導(dǎo)意見和手冊，督促各單位實(shí)施整改。

　　3.3.3 督促長效提升

　�。�1）樹典型、立標(biāo)桿。根據(jù)階段工作審查結(jié)果和現(xiàn)場檢查督導(dǎo)情況，綜合分析各單位的優(yōu)勢和劣勢，樹立機(jī)房基礎(chǔ)環(huán)境、設(shè)備線纜標(biāo)簽、日常運(yùn)行維護(hù)、辦公終端安全和通信網(wǎng)絡(luò)安全等單項(xiàng)工作典型示范單位，由典型示范單位編制單項(xiàng)工作優(yōu)化提升經(jīng)驗(yàn)方案，促動(dòng)各單位向典型示范單位學(xué)習(xí)。建立對口幫扶關(guān)系，典型示范單位聯(lián)系對應(yīng)幫扶單位，指導(dǎo)問題整改，實(shí)現(xiàn)工作提升。將幫扶成效納入年度同業(yè)對標(biāo)，形成典型示范單位深入幫扶、扎實(shí)幫扶的良好氛圍，確保被幫扶單位問題隱患得到整改。

　�。�2）強(qiáng)化管控、落實(shí)整改。將各單位還未完成整改的問題列入管控表，同時(shí)納入信息安全督查管理。強(qiáng)化安全督查工作，嚴(yán)格執(zhí)行“紅黃牌”制度和整改督辦機(jī)制，指定專人負(fù)責(zé)并明確職責(zé)，對限期內(nèi)未整改的發(fā)放黃牌督辦警告，對督辦期內(nèi)未整改的發(fā)放紅牌通報(bào)處理，并對其進(jìn)行約談，采用“說清楚”方式，曉以利害，讓其分析原因，陳述理由，簽訂軍令狀，做出承諾保證。

　　4 治理提升經(jīng)驗(yàn)與主要做法

　　4.1 重點(diǎn)工作目錄機(jī)制

　　為做到既突出重點(diǎn)，又彌補(bǔ)短板，建立了重點(diǎn)工作目錄機(jī)制，將信息安全重中之重和日常關(guān)注較少的內(nèi)容進(jìn)行重點(diǎn)治理，針對每一項(xiàng)重點(diǎn)工作設(shè)立專門的管控組跟蹤負(fù)責(zé)，管控組成員涵蓋主專業(yè)和相關(guān)專業(yè)，實(shí)行一人多責(zé)制。重點(diǎn)治理內(nèi)容包括生產(chǎn)控制大區(qū)系統(tǒng)設(shè)備、配網(wǎng)自動(dòng)化建設(shè)等多個(gè)方面，可根據(jù)自身實(shí)際情況確定。如圖4所示。

　　4.2 反常規(guī)檢查機(jī)制

　　長期以來，電網(wǎng)企業(yè)缺乏對信息安全和保密工作負(fù)責(zé)部門相應(yīng)工作進(jìn)行有效監(jiān)督的機(jī)制。信息安全工作方面，安全督查由信通部門組織，督查隊(duì)伍具體執(zhí)行，督查工作中信通部門和督查隊(duì)伍所在單位的問題隱患發(fā)現(xiàn)處理的真實(shí)性和有效性不能得到有效保證。保密管理工作方面，保密委員會下設(shè)保密辦，掛靠在辦公室，保密檢查工作開展過程中對辦公室問題隱患發(fā)現(xiàn)處理的真實(shí)性和有效性也不能得到嚴(yán)格保證。深入分析這一現(xiàn)實(shí)問題，首次將回避原則引入監(jiān)督檢查，建立反常規(guī)檢查機(jī)制，如圖5所示，將信息安全督查和保密管理檢查有機(jī)結(jié)合，保密部門參與信息安全督查，對信息安全工作部門和單位督查時(shí)承擔(dān)牽頭負(fù)責(zé)職能；信息安全部門和督查隊(duì)伍參與保密檢查，對保密工作部門檢查時(shí)承擔(dān)牽頭負(fù)責(zé)職能。

　　4.3 人力資源保證和績效考核

　　成立以主管領(lǐng)導(dǎo)為組長，治理提升主要部門負(fù)責(zé)人為副組長的領(lǐng)導(dǎo)小組，領(lǐng)導(dǎo)小組下設(shè)工作組和檢查組。工作組組長設(shè)置打破慣例，由信通、調(diào)控、運(yùn)檢、營銷部門主要負(fù)責(zé)人共同擔(dān)任，向領(lǐng)導(dǎo)小組匯報(bào)工作。工作組下設(shè)聯(lián)絡(luò)小組和重點(diǎn)工作管控小組，聯(lián)絡(luò)小組負(fù)責(zé)日常工作的通知傳達(dá)，管控小組對重點(diǎn)治理工作專門負(fù)責(zé)。檢查組人員覆蓋省、市、縣三個(gè)層面，信息安全、保密管理、調(diào)控、運(yùn)檢、營銷五個(gè)專業(yè)。實(shí)現(xiàn)多專業(yè)協(xié)同工作，各層面順暢溝通，如圖6所示。

　　制定績效考核辦法，將治理提升工作開展情況納入同業(yè)對標(biāo)考核范圍，一是自查階段發(fā)現(xiàn)上報(bào)問題隱患分?jǐn)?shù)量和質(zhì)量兩個(gè)維度進(jìn)行考核，數(shù)量超過平均數(shù)、發(fā)現(xiàn)重大問題予以加分；創(chuàng)新點(diǎn)二是現(xiàn)場檢查督導(dǎo)發(fā)現(xiàn)非常規(guī)問題和較難發(fā)現(xiàn)的隱患不考核，但對自查階段發(fā)現(xiàn)問題隱患的整改和計(jì)劃制定情況進(jìn)行考核。

　　5 結(jié)束語

　　本文提出的基于PDCA的三段式信息安全治理提升方法通過在國網(wǎng)甘肅省電力公司進(jìn)行實(shí)踐應(yīng)用，取得了較好的成效，問題隱患得到有效治理，信息安全總體水平有了一定提升，補(bǔ)丁安裝率提升8%，漏洞整改率提升12.7%，疑似敏感郵件數(shù)降低9.6%，月度內(nèi)網(wǎng)掃描發(fā)現(xiàn)中高危漏洞數(shù)降低17%，月度互聯(lián)網(wǎng)途徑掃描發(fā)現(xiàn)中高危漏洞數(shù)降低至0個(gè)。該方法的成功實(shí)踐是電網(wǎng)企業(yè)的典型案例，并入選國網(wǎng)公司2013年同業(yè)對標(biāo)信息通信管理專業(yè)典型經(jīng)驗(yàn)，對于各級電網(wǎng)企業(yè)開展信息安全治理提升工作具有一定借鑒價(jià)值。

【電網(wǎng)企業(yè)基于PDCA的信息安全治理提升方法研究與應(yīng)用論文】相關(guān)文章：

企業(yè)應(yīng)用信息管理系統(tǒng)的問題研究論文10-09

基于網(wǎng)絡(luò)信息安全技術(shù)的計(jì)算機(jī)應(yīng)用探析論文10-11

基于當(dāng)前信息安全與數(shù)學(xué)科學(xué)研究論文10-10

基于電子商務(wù)的管理理論與方法研究論文10-09

關(guān)于基于電子商務(wù)的CRM應(yīng)用系統(tǒng)研究論文10-09

基于全面預(yù)算管理在企業(yè)成本控制中的應(yīng)用論文10-09

電網(wǎng)企業(yè)人力資源薪酬與績效管理研究論文10-08

基于企業(yè)社會責(zé)任的企業(yè)文化建設(shè)研究的論文10-08

基于信息處理的空中交通管理安全研究呂亞東理工論文10-12

電力信息安全監(jiān)控研究論文10-12