内蒙古电力公司信息化建设三期安全咨询平台建设

2018-02-02 14:57:12 大云网　点击量：评论 (0)

内蒙古电力公司作为省级管理电网企业，经过近几年的信息化基础设施建设，信息化水平稳步提高，但信息安全水平仍处于起步阶段，面临着各类信

内蒙古电力公司作为省级管理电网企业，经过近几年的信息化基础设施建设，信息化水平稳步提高，但信息安全水平仍处于起步阶段，面临着各类信息安全风险。在自身发展需求和外部推动下，内蒙古电力公司迫切需要建立健全信息安全保障体系，全面提升信息安全水平。

1、项目背景

在此背景下，针对管理信息大

区，内蒙古电力公司启动安全咨询项目，开展信息安全保障体系的规划设计，指导未来3-5年的信息安全保障体系建设工作。

2、解决方案

■ 项目目标

内蒙古电力公司信息化建设三期安全咨询项目的项目目标为：

1. 通过开展信息安全体系建设工作，全面识别内蒙古电力集团相关业务系统在信息安全技术层面、信息安全管理层面、信息安全运维层面存在的不足和差距，充分借鉴国内信息安全实践和成熟的理论模型，设计合理的信息安全保障体系，从而保证业务系统能够长期稳定运行和不断完善和发展，适应内蒙古电力集团不断扩展的业务应用和管理需求。

2. 根据ISO20000和ISO27001认证体系流程，对内蒙古电力信息通信分公司信息机房开展信息技术服务管理体系的建设辅导，对内蒙古电力信息通信分公司开展信息安全管理体系建设辅导，并协助其完成ISO20000和ISO27001体系认证，获得《信息技术服务管理体系认证证书》和《信息安全管理体系认证证书》。

基于上述项目目标，结合项目具体实施内容，制定项目个性化的实施路线，如下图所示：

内蒙古电力公司信息化建设三期安全咨询平台建设

■ 核心内容

1. 信息安全保障体系规划

依据国家信息安全等级保护、ISO/IEC 27001及ISO/IEC 20000等信息安全标准规范，参考银行业、电信行业信息安全保障体系的最佳实践，结合管理信息大区信息安全现状诊断成果，在保障信息安全体系合规的基础要求下，融合新型网络攻击解决方案，从全体系、全覆盖角度，整合内蒙古电力公司管理信息大区人员、设备、信息、环境、流程等各项因素，对内蒙古电力公司管理信息大区信息安全保障体系进行规划，所规划的信息安全保障体系从三个层次体现：

▲ 信息安全合规保障

安全合规是信息安全保障体系的根基及前提。通过构建“一个中心、三重防护”实现信息安全技术保障体系的建设；参考ISO/IEC 27001及ISO/IEC 20000，采用PDCA模型动态构建信息安全管理及运维体系，以实现人员、技术、操作三要素的紧密结合，为内蒙古电力公司管理信息大区信息系统提供基础合规体系化的安全防护能力，确保系统安全运行。

▲ 信息安全自适应保障（下一代防御体系）

为了帮助内蒙古电力公司管理信息大区信息系统抵御目前层出不穷的诸如APT攻击、大规模分布式DDOS攻击等新型攻击或威胁，在信息安全合规保障体系的基础上，建立防御-检测-响应-预测的信息安全自适应保障体系。

内蒙古电力公司信息化建设三期安全咨询平台建设

运用大数据分析技术，建立安全策略可视化平台，重点解决业务网络中存在的安全不可视、不可管、被动不可控的现状，让不懂安全的人看透安全，同时解决管理技术运行体系矛盾、安全运维效率低等信息安全合规保障体系无法解决的问题。在此基础上，实现诸APT防御能力、安全取证能力、业务性能分析能力、安全态势预警能力等新型安全能力的叠加，整体提升其应对新型攻击及威胁的信息安全防护能力，使信息安全保障体系具备响应预警能力，并实现安全事件追溯和风险预测。

▲ 业务风险治理

信息安全保障体系的建设归根到底是为了保障业务安全，内蒙古电力公司管理信息大区信息安全保障体系的第三个层次，即对业务风险治理体系的设计。借助定制开发的业务安全管控平台，将风险防控嵌入日常业务流程中，对业务流程进行梳理，制定业务合规操作指引，通过业务合规操作指引规范员工日常业务活动，规避不合规而产生的业务风险、财务风险、运营风险等，形成业务风险防范、合规管理和法律监督的一体化业务合规治理体系。不仅为业务发展提供安全保障，更能从内部升华业务需求，使其业务发展走在电力行业前沿。

2. ISO/IEC 27001及ISO/IEC 20000认证

根据评审通过的信息安全保障体系设计方案，开展ISMS及ITSMS融合体系的建设及落地工作，融合体系采用如下模型开展建设工作：

内蒙古电力公司信息化建设三期安全咨询平台建设