郭大亮：大型企业的信息安全管理保障体系建设思路与方法

                                                    

                               中国电力投资集团安全科技信息部信息化系统处郭大亮




       集团企业未来业务发展需要IT能力的强力支撑，而信息安全管理能力是企业IT能力的基础，当前企业信息化过程中出现的安全问题急待解决，否则会影响企业技术进步及业务发展。
       郭大亮认为集团企业信息安全重要性逐步得到管理层的重视，企业近年来加强了信息安全管理工作，但集团企业的信息安全管理工作存在以下难点：横向业务宽，业态多，安全要求不统一；纵向业务深，层次多，安全措施难落地；信息资产广，分类多、定秘管控任务重；安全治理弱，执行难，安全步调难一致；监管压力大，婆婆多，应付检查工作忙。
       如何解决当前企业中出现出现的安全问题，提高支撑业务发展所需要的IT能力，满足监管对信息安全的要求”的目标？我们是采取出现一个问题解决一个问题的方式，还是要建立一个完整的信息安全保障体系来应对已有或未知的各种信息安全风险？我们可定会选择后者。
郭大亮认为信息安全管理不应当只是应付上级检查的权宜之计，也不应当仅仅是应对当前信息安全与IT风险的、头痛医头、脚痛医脚的方法。企业信息安全保障体系建设要引入“七分养、三分治”的方法，要结合各类IT风险与信息安全控制标准规范及最佳实践，建立建立一套完善的IT风险保障体系和长效的管理机制，以应对已经出现或未来可能出现的各类IT风险，安全体系建设要遵循总体规划、安全规范、局部试点、全面推广分步来实施。
       中电投集团根据集团的实际情况，当前正在对集团信息安全进行总体规划，重点确定集团信息安全总纲、信息安全组织、信息安全架构和安全管理框架。在设计信息安全体系架构的基础上，需要根据企业的特点分阶段实施风险控制；信息安全保障体系应当是一种兼顾各种控制规范的可持续的管理体系；安全保障体系在建设过程中需要有
精细化的推进方法，确保相关控制措施可以落地。