電網(wǎng)企業(yè)基于PDCA的信息安全治理提升方法研究與應(yīng)用

1、電網(wǎng)企業(yè)基于PDCA的信息安全治理提升方法研究與應(yīng)用【 摘 要 】 近年來，各級電網(wǎng)企業(yè)高度重視信息安全工作，初步建成了覆蓋省、市、縣各級單位的信息安全保障體系，有力提升了綜合安全防護能力，但安全工作依然存在被動防御、專業(yè)壁壘等諸多問題。文章通過深入分析當前工作存在的主要問題，基于業(yè)界信息安全治理提升方法研究成果并結(jié)合實踐經(jīng)驗，提出了一個實效性更強的模式：通過清查摸底、達標治理、長效提升三個主要階段開展工作，并將PDCA 方法融入治理提升各個階段。實踐表明，該方法能夠?qū)崿F(xiàn)問題隱患的切實治理和信息安全總體水平的有效提升，有力確保信息網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定運行?！?關(guān)鍵詞 】 信息安全；治理提升；重點工作

2、目錄；反常規(guī)檢查【 Abstract 】 At present， power grid enterprises pay high attention to information security， and the system of information security covering all levels of provincial， city and county was bulit initially ， enhancing the comprehensive security protection effectively ， but the system of informat

3、ion security remains passive defense， professional barriers and many other issues. This paper through in-depth analysis of main problems existing in the current work， based on the industry of information security governance methods for research and combined with practical experience，put forward a mo

4、re effective mode： through long-term inventory parts， standard management， improve work three main stages， PDCA method into governance at various stages. Practice shows that the method can realize issues of governance and the information security improved overall level， ensure the stable operation o

5、f the information network system.【 Keywords 】 information security； governance； the key work directory； informal to check1 引言十一五;期間，國網(wǎng)公司按照雙網(wǎng)雙機、分區(qū)分域、等級防護、多層防御;的信息安全防護總體策略，完成了等級保護縱深防御體系建設(shè)，信息安全整體防護能力顯著增強。但是，深入分析信息安全現(xiàn)狀，部分單位還存在人員意識不強、自建系統(tǒng)防護能力不高、管理技術(shù)措施落實不嚴格等問題；另外，傳統(tǒng)分專業(yè)條塊式的信息安全管理模式制約整體安全管理水平提升。更重要的是，隨著智能電網(wǎng)

6、和三集五大;的快速推進，對現(xiàn)有信息安全工作提出了更高的要求。2 治理提升的目標通過對全部在運的電力二次系統(tǒng)、管理信息系統(tǒng)、電力通信網(wǎng)絡(luò)、統(tǒng)推系統(tǒng)及自建系統(tǒng)存在的信息安全風險隱患進行治理提升，最終實現(xiàn)如圖1所示的信息安全治理提升目標全景視圖。（1）解決長期以來信息安全分專業(yè)條塊式管理被遺漏的問題，實現(xiàn)統(tǒng)一管理、多方聯(lián)動，從查漏補缺、被動防御向整體掌控、主動防御轉(zhuǎn)變。（2）解決各級單位、各專業(yè)存在的問題和薄弱環(huán)節(jié)，避免信息安全碎片化;和木桶效應(yīng);，有效降低縣供電企業(yè)信息化延伸覆蓋建設(shè)帶來的信息安全風險。（3）實現(xiàn)信息安全責任全面覆蓋、措施全面落實、對象全面管控、風險全面監(jiān)控，消除思想認識的誤區(qū)、管

7、理與技術(shù)的盲區(qū)、執(zhí)行規(guī)定的死區(qū)。（4）深入落實12項安全管理手段和8項技術(shù)措施，實現(xiàn)生產(chǎn)控制大區(qū)和管理信息大區(qū)的物理安全、設(shè)備安全和數(shù)據(jù)安全等覆蓋所有對象和環(huán)節(jié)的全方位安全。3 基于PDCA的三段式治理提升方法3.1 PDCA循環(huán)PDCA循環(huán)又名戴明環(huán)，包括Plan（計劃）、Do（執(zhí)行）、Check（檢查）和Act（修正）四個環(huán)節(jié)，是全面質(zhì)量管理所應(yīng)遵循的科學程序，具體含義：（1）P （P lan） 計劃，包括方針和目標的確定，以及活動規(guī)劃的制定；（2）D （Do） 執(zhí)行，根據(jù)已知信息設(shè)計具體方法、方案和計劃，再具體運作，實現(xiàn)計劃；（3）C （Check） 檢查，總結(jié)執(zhí)行計劃的結(jié)果，明確效果，

8、找出問題；（4）A （Act）修正，對檢查結(jié)果進行處理，對成功經(jīng)驗加以肯定并標準化，對失敗教訓進行總結(jié)，引起重視。對于沒有解決的問題，提交下一個PDCA循環(huán)解決。以上四個過程周而復(fù)始進行，一次循環(huán)結(jié)束，解決一些問題，未解決的問題進入下一次循環(huán)，如此階梯式上升。3.2 治理提升理念基于業(yè)界關(guān)于信息安全治理提升方法的研究成果并結(jié)合實踐經(jīng)驗，提出了一個實效性更強的模式，如圖2所示。通過清查摸底、達標治理、長效提升三個主要階段開展工作，將PDCA 方法融入治理提升各個階段，堅持嚴清查、抓治理、促提升;的三段式理念，站在覆蓋全業(yè)務(wù)、全單位、全系統(tǒng)、全過程;的高度，按照橫向到邊、縱向到底;的原則，有效解決

9、當前信息安全工作的缺陷和不足，從根本上降低信息安全風險，加快信息安全主動防御體系建設(shè)。3.3 治理提升的流程如圖3所示，治理提升工作主要分三個階段開展：第一階段是清查摸底，完成宣貫培訓、問題自查和安全備案等工作；第二階段是達標治理，依據(jù)頂層優(yōu)化設(shè)計開展問題隱患整改實施；第三階段是長效提升，制定持續(xù)整改方案，鞏固治理成效，推進長效提升。專項活動由省、市、縣三級工作組整體管控，各單位具體開展各項工作，最終實現(xiàn)信息安全長效提升。3.3.1 嚴格清查摸底該階段工作應(yīng)抓好幾個關(guān)鍵方面。（1）重視方案編制、創(chuàng)新培訓宣貫。通過編制總體工作方案等指導(dǎo)性文件，明確做什么、誰來做、怎么做，分解工作任務(wù)，列出工作重

10、點，通過任務(wù)表明確具體內(nèi)容、責任單位和時間節(jié)點。編制人員應(yīng)涉及各部門，以及省、市、縣各層面的代表單位。為規(guī)范工作方法，統(tǒng)一工作標準，采取現(xiàn)場集中、電視電話、網(wǎng)絡(luò)視頻等多種形式，省市縣三級聯(lián)動，三級聯(lián)訓，三級釋疑，演示講解工作方法，答疑解惑，提煉方法。通過網(wǎng)站、海報、滾動屏等多種途徑，大力宣傳治理提升工作。編制專項工作簡報，建立各單位學習交流平臺，共享典型經(jīng)驗和創(chuàng)新做法。（2）注重工作方法、嚴抓工作落實。問題自查方面，檢查對象要涵蓋系統(tǒng)、終端、網(wǎng)絡(luò)、通信、責任、機房等六個方面，檢查內(nèi)容包括管理責任、運維責任、督查責任、安監(jiān)責任、安全準入、建設(shè)安全、運行安全、數(shù)據(jù)安全、安全審計及監(jiān)測九大項涉及的所

11、有檢查點。通過設(shè)計科學合理的考核指標（自查階段發(fā)現(xiàn)上報問題隱患但數(shù)量越多、質(zhì)量越高予以加分）來激勵各單位充分發(fā)現(xiàn)暴露問題隱患。安全備案方面，對在用信息資產(chǎn)全部進行備案，生成唯一備案編號；根據(jù)備案信息逐個核查安全現(xiàn)狀，以及參數(shù)配置、防護拓撲等關(guān)鍵信息與實際現(xiàn)狀的符合情況。實行省市縣三級專人包干負責制，省級工作組每人負責2家地市公司（直屬單位），地市級工作組每人負責1家縣公司。包干負責人要既管進度、又控質(zhì)量，每日跟蹤進度、匯總問題、督促指導(dǎo)。3.3.2 狠抓達標治理組織開展現(xiàn)場檢查督導(dǎo)，徹底摸清信息通信安全方面存在的風險和隱患，確保治理提升各項工作扎實開展、取得實效。事前制定標準化檢查大綱，確定檢

12、查詳細內(nèi)容，為量化評價提供依據(jù)。檢查大綱應(yīng)包括責任落實、機房基礎(chǔ)環(huán)境、網(wǎng)絡(luò)邊界、業(yè)務(wù)系統(tǒng)、終端、通信安全、安全備案等工作，涵蓋管理制度、反措、機房供電、機房環(huán)境、通信網(wǎng)絡(luò)、信息網(wǎng)絡(luò)、信息系統(tǒng)、信息安全、通信光纜、通信設(shè)備、備品備件、應(yīng)急管理十二個方面的所有檢查內(nèi)容。通過匯報座談，資料查閱、現(xiàn)場查看等方式，對照大綱逐項逐條檢查，主要采取現(xiàn)場測試查驗的方式。檢查完畢即刻組織召開反饋會議，指出存在的問題隱患，分析具體原因，深入討論整改措施和意見，形成整改指導(dǎo)意見和手冊，督促各單位實施整改。3.3.3 督促長效提升（1）樹典型、立標桿。根據(jù)階段工作審查結(jié)果和現(xiàn)場檢查督導(dǎo)情況，綜合分析各單位的優(yōu)勢和劣勢

13、，樹立機房基礎(chǔ)環(huán)境、設(shè)備線纜標簽、日常運行維護、辦公終端安全和通信網(wǎng)絡(luò)安全等單項工作典型示范單位，由典型示范單位編制單項工作優(yōu)化提升經(jīng)驗方案，促動各單位向典型示范單位學習。建立對口幫扶關(guān)系，典型示范單位聯(lián)系對應(yīng)幫扶單位，指導(dǎo)問題整改，實現(xiàn)工作提升。將幫扶成效納入年度同業(yè)對標，形成典型示范單位深入幫扶、扎實幫扶的良好氛圍，確保被幫扶單位問題隱患得到整改。（2）強化管控、落實整改。將各單位還未完成整改的問題列入管控表，同時納入信息安全督查管理。強化安全督查工作，嚴格執(zhí)行紅黃牌;制度和整改督辦機制，指定專人負責并明確職責，對限期內(nèi)未整改的發(fā)放黃牌督辦警告，對督辦期內(nèi)未整改的發(fā)放紅牌通報處理，并對其進

14、行約談，采用說清楚;方式，曉以利害，讓其分析原因，陳述理由，簽訂軍令狀，做出承諾保證。4 治理提升經(jīng)驗與主要做法4.1 重點工作目錄機制為做到既突出重點，又彌補短板，建立了重點工作目錄機制，將信息安全重中之重和日常關(guān)注較少的內(nèi)容進行重點治理，針對每一項重點工作設(shè)立專門的管控組跟蹤負責，管控組成員涵蓋主專業(yè)和相關(guān)專業(yè)，實行一人多責制。重點治理內(nèi)容包括生產(chǎn)控制大區(qū)系統(tǒng)設(shè)備、配網(wǎng)自動化建設(shè)等多個方面，可根據(jù)自身實際情況確定。如圖4所示。4.2 反常規(guī)檢查機制長期以來，電網(wǎng)企業(yè)缺乏對信息安全和保密工作負責部門相應(yīng)工作進行有效監(jiān)督的機制。信息安全工作方面，安全督查由信通部門組織，督查隊伍具體執(zhí)行，督查工

15、作中信通部門和督查隊伍所在單位的問題隱患發(fā)現(xiàn)處理的真實性和有效性不能得到有效保證。保密管理工作方面，保密委員會下設(shè)保密辦，掛靠在辦公室，保密檢查工作開展過程中對辦公室問題隱患發(fā)現(xiàn)處理的真實性和有效性也不能得到嚴格保證。深入分析這一現(xiàn)實問題，首次將回避原則引入監(jiān)督檢查，建立反常規(guī)檢查機制，如圖5所示，將信息安全督查和保密管理檢查有機結(jié)合，保密部門參與信息安全督查，對信息安全工作部門和單位督查時承擔牽頭負責職能；信息安全部門和督查隊伍參與保密檢查，對保密工作部門檢查時承擔牽頭負責職能。4.3 人力資源保證和績效考核成立以主管領(lǐng)導(dǎo)為組長，治理提升主要部門負責人為副組長的領(lǐng)導(dǎo)小組，領(lǐng)導(dǎo)小組下設(shè)工作組和

16、檢查組。工作組組長設(shè)置打破慣例，由信通、調(diào)控、運檢、營銷部門主要負責人共同擔任，向領(lǐng)導(dǎo)小組匯報工作。工作組下設(shè)聯(lián)絡(luò)小組和重點工作管控小組，聯(lián)絡(luò)小組負責日常工作的通知傳達，管控小組對重點治理工作專門負責。檢查組人員覆蓋省、市、縣三個層面，信息安全、保密管理、調(diào)控、運檢、營銷五個專業(yè)。實現(xiàn)多專業(yè)協(xié)同工作，各層面順暢溝通，如圖6所示。制定績效考核辦法，將治理提升工作開展情況納入同業(yè)對標考核范圍，一是自查階段發(fā)現(xiàn)上報問題隱患分數(shù)量和質(zhì)量兩個維度進行考核，數(shù)量超過平均數(shù)、發(fā)現(xiàn)重大問題予以加分；創(chuàng)新點二是現(xiàn)場檢查督導(dǎo)發(fā)現(xiàn)非常規(guī)問題和較難發(fā)現(xiàn)的隱患不考核，但對自查階段發(fā)現(xiàn)問題隱患的整改和計劃制定情況進行考核

17、。5 結(jié)束語本文提出的基于PDCA的三段式信息安全治理提升方法通過在國網(wǎng)甘肅省電力公司進行實踐應(yīng)用，取得了較好的成效，問題隱患得到有效治理，信息安全總體水平有了一定提升，補丁安裝率提升8%，漏洞整改率提升12.7%，疑似敏感郵件數(shù)降低9.6%，月度內(nèi)網(wǎng)掃描發(fā)現(xiàn)中高危漏洞數(shù)降低17%，月度互聯(lián)網(wǎng)途徑掃描發(fā)現(xiàn)中高危漏洞數(shù)降低至0個。該方法的成功實踐是電網(wǎng)企業(yè)的典型案例，并入選國網(wǎng)公司2013年同業(yè)對標信息通信管理專業(yè)典型經(jīng)驗，對于各級電網(wǎng)企業(yè)開展信息安全治理提升工作具有一定借鑒價值。參考文獻【1】 馮馳.基于PDCA的信息安全過程管理.計算機安全. 2012（01）：62-64.【2】 劉金鎖，李筱煒，楊維永.企業(yè)實現(xiàn)有效的信息安全治理之路.中國管理信息化