電網(wǎng)企業(yè)基于PDCA的信息安全治理提升方法研究與應用論文

　　1 引言

　　“十一五”期間，國網(wǎng)公司按照“雙網(wǎng)雙機、分區(qū)分域、等級防護、多層防御”的信息安全防護總體策略，完成了等級保護縱深防御體系建設(shè)，信息安全整體防護能力顯著增強。但是，深入分析信息安全現(xiàn)狀，部分單位還存在人員意識不強、自建系統(tǒng)防護能力不高、管理技術(shù)措施落實不嚴格等問題；另外，傳統(tǒng)分專業(yè)條塊式的信息安全管理模式制約整體安全管理水平提升。更重要的是，隨著智能電網(wǎng)和“三集五大”的快速推進，對現(xiàn)有信息安全工作提出了更高的要求。

　　2 治理提升的目標

　　通過對全部在運的電力二次系統(tǒng)、管理信息系統(tǒng)、電力通信網(wǎng)絡、統(tǒng)推系統(tǒng)及自建系統(tǒng)存在的信息安全風險隱患進行治理提升，最終實現(xiàn)如圖1所示的信息安全治理提升目標全景視圖。

　�。�1）解決長期以來信息安全分專業(yè)條塊式管理被遺漏的問題，實現(xiàn)統(tǒng)一管理、多方聯(lián)動，從查漏補缺、被動防御向整體掌控、主動防御轉(zhuǎn)變。

　�。�2）解決各級單位、各專業(yè)存在的問題和薄弱環(huán)節(jié)，避免信息安全“碎片化”和“木桶效應”，有效降低縣供電企業(yè)信息化延伸覆蓋建設(shè)帶來的信息安全風險。

　�。�3）實現(xiàn)信息安全責任全面覆蓋、措施全面落實、對象全面管控、風險全面監(jiān)控，消除思想認識的誤區(qū)、管理與技術(shù)的盲區(qū)、執(zhí)行規(guī)定的死區(qū)。

　　（4）深入落實12項安全管理手段和8項技術(shù)措施，實現(xiàn)生產(chǎn)控制大區(qū)和管理信息大區(qū)的物理安全、設(shè)備安全和數(shù)據(jù)安全等覆蓋所有對象和環(huán)節(jié)的全方位安全。

　　3 基于PDCA的三段式治理提升方法

　　3.1 PDCA循環(huán)

　　PDCA循環(huán)又名戴明環(huán)，包括Plan（計劃）、Do（執(zhí)行）、Check（檢查）和Act（修正）四個環(huán)節(jié)，是全面質(zhì)量管理所應遵循的科學程序，具體含義：（1）P （P lan） 計劃，包括方針和目標的確定，以及活動規(guī)劃的制定；（2）D （Do） 執(zhí)行，根據(jù)已知信息設(shè)計具體方法、方案和計劃，再具體運作，實現(xiàn)計劃；（3）C （Check） 檢查，總結(jié)執(zhí)行計劃的結(jié)果，明確效果，找出問題；（4）A （Act）修正，對檢查結(jié)果進行處理，對成功經(jīng)驗加以肯定并標準化，對失敗教訓進行總結(jié)，引起重視。對于沒有解決的問題，提交下一個PDCA循環(huán)解決。以上四個過程周而復始進行，一次循環(huán)結(jié)束，解決一些問題，未解決的問題進入下一次循環(huán)，如此階梯式上升。

　　3.2 治理提升理念

　　基于業(yè)界關(guān)于信息安全治理提升方法的研究成果并結(jié)合實踐經(jīng)驗，提出了一個實效性更強的模式，如圖2所示。通過清查摸底、達標治理、長效提升三個主要階段開展工作，將PDCA 方法融入治理提升各個階段，堅持“嚴清查、抓治理、促提升”的三段式理念，站在覆蓋“全業(yè)務、全單位、全系統(tǒng)、全過程”的高度，按照“橫向到邊、縱向到底”的原則，有效解決當前信息安全工作的缺陷和不足，從根本上降低信息安全風險，加快信息安全主動防御體系建設(shè)。

　　3.3 治理提升的流程

　　如圖3所示，治理提升工作主要分三個階段開展：第一階段是清查摸底，完成宣貫培訓、問題自查和安全備案等工作；第二階段是達標治理，依據(jù)頂層優(yōu)化設(shè)計開展問題隱患整改實施；第三階段是長效提升，制定持續(xù)整改方案，鞏固治理成效，推進長效提升。專項活動由省、市、縣三級工作組整體管控，各單位具體開展各項工作，最終實現(xiàn)信息安全長效提升。

　　3.3.1 嚴格清查摸底

　　該階段工作應抓好幾個關(guān)鍵方面。

　�。�1）重視方案編制、創(chuàng)新培訓宣貫。通過編制總體工作方案等指導性文件，明確做什么、誰來做、怎么做，分解工作任務，列出工作重點，通過任務表明確具體內(nèi)容、責任單位和時間節(jié)點。編制人員應涉及各部門，以及省、市、縣各層面的代表單位。

　　為規(guī)范工作方法，統(tǒng)一工作標準，采取現(xiàn)場集中、電視電話、網(wǎng)絡視頻等多種形式，省市縣三級聯(lián)動，三級聯(lián)訓，三級釋疑，演示講解工作方法，答疑解惑，提煉方法。通過網(wǎng)站、海報、滾動屏等多種途徑，大力宣傳治理提升工作。編制專項工作簡報，建立各單位學習交流平臺，共享典型經(jīng)驗和創(chuàng)新做法。

　�。�2）注重工作方法、嚴抓工作落實。問題自查方面，檢查對象要涵蓋系統(tǒng)、終端、網(wǎng)絡、通信、責任、機房等六個方面，檢查內(nèi)容包括管理責任、運維責任、督查責任、安  監(jiān)責任、安全準入、建設(shè)安全、運行安全、數(shù)據(jù)安全、安全審計及監(jiān)測九大項涉及的所有檢查點。通過設(shè)計科學合理的考核指標（自查階段發(fā)現(xiàn)上報問題隱患但數(shù)量越多、質(zhì)量越高予以加分）來激勵各單位充分發(fā)現(xiàn)暴露問題隱患。安全備案方面，對在用信息資產(chǎn)全部進行備案，生成唯一備案編號；根據(jù)備案信息逐個核查安全現(xiàn)狀，以及參數(shù)配置、防護拓撲等關(guān)鍵信息與實際現(xiàn)狀的符合情況。

　　實行省市縣三級專人包干負責制，省級工作組每人負責2家地市公司（直屬單位），地市級工作組每人負責1家縣公司。包干負責人要既管進度、又控質(zhì)量，每日跟蹤進度、匯總問題、督促指導。

　　3.3.2 狠抓達標治理

　　組織開展現(xiàn)場檢查督導，徹底摸清信息通信安全方面存在的風險和隱患，確保治理提升各項工作扎實開展、取得實效。事前制定標準化檢查大綱，確定檢查詳細內(nèi)容，為量化評價提供依據(jù)。檢查大綱應包括責任落實、機房基礎(chǔ)環(huán)境、網(wǎng)絡邊界、業(yè)務系統(tǒng)、終端、通信安全、安全備案等工作，涵蓋管理制度、反措、機房供電、機房環(huán)境、通信網(wǎng)絡、信息網(wǎng)絡、信息系統(tǒng)、信息安全、通信光纜、通信設(shè)備、備品備件、應急管理十二個方面的所有檢查內(nèi)容。

　　通過匯報座談，資料查閱、現(xiàn)場查看等方式，對照大綱逐項逐條檢查，主要采取現(xiàn)場測試查驗的方式。檢查完畢即刻組織召開反饋會議，指出存在的問題隱患，分析具體原因，深入討論整改措施和意見，形成整改指導意見和手冊，督促各單位實施整改。

　　3.3.3 督促長效提升

　　（1）樹典型、立標桿。根據(jù)階段工作審查結(jié)果和現(xiàn)場檢查督導情況，綜合分析各單位的優(yōu)勢和劣勢，樹立機房基礎(chǔ)環(huán)境、設(shè)備線纜標簽、日常運行維護、辦公終端安全和通信網(wǎng)絡安全等單項工作典型示范單位，由典型示范單位編制單項工作優(yōu)化提升經(jīng)驗方案，促動各單位向典型示范單位學習。建立對口幫扶關(guān)系，典型示范單位聯(lián)系對應幫扶單位，指導問題整改，實現(xiàn)工作提升。將幫扶成效納入年度同業(yè)對標，形成典型示范單位深入幫扶、扎實幫扶的良好氛圍，確保被幫扶單位問題隱患得到整改。

　�。�2）強化管控、落實整改。將各單位還未完成整改的問題列入管控表，同時納入信息安全督查管理。強化安全督查工作，嚴格執(zhí)行“紅黃牌”制度和整改督辦機制，指定專人負責并明確職責，對限期內(nèi)未整改的發(fā)放黃牌督辦警告，對督辦期內(nèi)未整改的發(fā)放紅牌通報處理，并對其進行約談，采用“說清楚”方式，曉以利害，讓其分析原因，陳述理由，簽訂軍令狀，做出承諾保證。

　　4 治理提升經(jīng)驗與主要做法

　　4.1 重點工作目錄機制

　　為做到既突出重點，又彌補短板，建立了重點工作目錄機制，將信息安全重中之重和日常關(guān)注較少的內(nèi)容進行重點治理，針對每一項重點工作設(shè)立專門的管控組跟蹤負責，管控組成員涵蓋主專業(yè)和相關(guān)專業(yè)，實行一人多責制。重點治理內(nèi)容包括生產(chǎn)控制大區(qū)系統(tǒng)設(shè)備、配網(wǎng)自動化建設(shè)等多個方面，可根據(jù)自身實際情況確定。如圖4所示。

　　4.2 反常規(guī)檢查機制

　　長期以來，電網(wǎng)企業(yè)缺乏對信息安全和保密工作負責部門相應工作進行有效監(jiān)督的機制。信息安全工作方面，安全督查由信通部門組織，督查隊伍具體執(zhí)行，督查工作中信通部門和督查隊伍所在單位的問題隱患發(fā)現(xiàn)處理的真實性和有效性不能得到有效保證。保密管理工作方面，保密委員會下設(shè)保密辦，掛靠在辦公室，保密檢查工作開展過程中對辦公室問題隱患發(fā)現(xiàn)處理的真實性和有效性也不能得到嚴格保證。深入分析這一現(xiàn)實問題，首次將回避原則引入監(jiān)督檢查，建立反常規(guī)檢查機制，如圖5所示，將信息安全督查和保密管理檢查有機結(jié)合，保密部門參與信息安全督查，對信息安全工作部門和單位督查時承擔牽頭負責職能；信息安全部門和督查隊伍參與保密檢查，對保密工作部門檢查時承擔牽頭負責職能。

　　4.3 人力資源保證和績效考核

　　成立以主管領(lǐng)導為組長，治理提升主要部門負責人為副組長的領(lǐng)導小組，領(lǐng)導小組下設(shè)工作組和檢查組。工作組組長設(shè)置打破慣例，由信通、調(diào)控、運檢、營銷部門主要負責人共同擔任，向領(lǐng)導小組匯報工作。工作組下設(shè)聯(lián)絡小組和重點工作管控小組，聯(lián)絡小組負責日常工作的通知傳達，管控小組對重點治理工作專門負責。檢查組人員覆蓋省、市、縣三個層面，信息安全、保密管理、調(diào)控、運檢、營銷五個專業(yè)。實現(xiàn)多專業(yè)協(xié)同工作，各層面順暢溝通，如圖6所示。

　　制定績效考核辦法，將治理提升工作開展情況納入同業(yè)對標考核范圍，一是自查階段發(fā)現(xiàn)上報問題隱患分數(shù)量和質(zhì)量兩個維度進行考核，數(shù)量超過平均數(shù)、發(fā)現(xiàn)重大問題予以加分；創(chuàng)新點二是現(xiàn)場檢查督導發(fā)現(xiàn)非常規(guī)問題和較難發(fā)現(xiàn)的隱患不考核，但對自查階段發(fā)現(xiàn)問題隱患的整改和計劃制定情況進行考核。

　　5 結(jié)束語

　　本文提出的基于PDCA的三段式信息安全治理提升方法通過在國網(wǎng)甘肅省電力公司進行實踐應用，取得了較好的成效，問題隱患得到有效治理，信息安全總體水平有了一定提升，補丁安裝率提升8%，漏洞整改率提升12.7%，疑似敏感郵件數(shù)降低9.6%，月度內(nèi)網(wǎng)掃描發(fā)現(xiàn)中高危漏洞數(shù)降低17%，月度互聯(lián)網(wǎng)途徑掃描發(fā)現(xiàn)中高危漏洞數(shù)降低至0個。該方法的成功實踐是電網(wǎng)企業(yè)的典型案例，并入選國網(wǎng)公司2013年同業(yè)對標信息通信管理專業(yè)典型經(jīng)驗，對于各級電網(wǎng)企業(yè)開展信息安全治理提升工作具有一定借鑒價值。

【電網(wǎng)企業(yè)基于PDCA的信息安全治理提升方法研究與應用論文】相關(guān)文章：

企業(yè)應用信息管理系統(tǒng)的問題研究論文10-09

基于網(wǎng)絡信息安全技術(shù)的計算機應用探析論文10-11

基于當前信息安全與數(shù)學科學研究論文10-10

基于電子商務的管理理論與方法研究論文10-09

關(guān)于基于電子商務的CRM應用系統(tǒng)研究論文10-09

基于全面預算管理在企業(yè)成本控制中的應用論文10-09

電網(wǎng)企業(yè)人力資源薪酬與績效管理研究論文10-08

基于企業(yè)社會責任的企業(yè)文化建設(shè)研究的論文10-08

基于信息處理的空中交通管理安全研究呂亞東理工論文10-12

電力信息安全監(jiān)控研究論文10-12