电力企业信息安全论文:信息安全控制措施

 

1.对信息安全管理目标考核的需要

 

电力企业在建立信息安全管理体系时会依据自身业务发展、各方利益需求及自身的信息安全管理能力等级，来设置自身信息安全管理的目标。通过有效性测量，不但可以对信息安全目标执行状况进行考核，准确评估信息安全管理体系的运行效果，而且还能为管理层对信息安全管理的资源投入提供数据依据。

 

2.信息安全管理体系持续改进的重要依据

 

通过有效性测量，能够反映出当前信息安全管理中所存在的问题及问题的严重程度，为今后的信息安全管理工作提供有力的依据。

 

3.信息安全管理工作绩效考核的需要

 

有效性测量结果不仅是评价信息安全管理体系绩效的重要标准，也是对信息安全管理工作绩效的展示。通过有效性测量的数据，不但可以使管理者清晰地了解信息安全管理工作，还能增强信息安全管理工作人员的信心。4.ISO/IEC27001信息安全管理体系的有效性要求在ISO/IEC27001：2005的4.2.2中有测量所选择的控制措施或控制措施集的有效性，并指明如何用这些测量措施来评估控制措施的有效性的要求。在ISO/IEC27001的4.2.3中，又要求定期对信息安全管理体系的有效性进行评审，以及通过对控制措施的有效性测量来检验安全需求是否被满足。最后在ISO/IEC27001的7.2中，将有效性测量的结果作为信息安全管理体系管理评审的一个输入内容，单独列成了一项。以上这些条款都在ISO/IEC27001的正文部分，足以说明有效性测量对信息安全管理体系的重要程度。

 

二、如何进行有效性测量

 

1.选择、设计测量指标

 

按照循序渐进原则，有效性测量工作，首先将集中在对电力企业而言相对重要的信息技术服务流程和信息安全的重点管控领域，测量的参考依据为体系各级文件管理制度。有效性测量主要包括且不限于以下各指标。信息技术服务管理体系运行指标、重要流程的运行指标、信息安全管理体系运行指标、员工信息安全意识管理指标、信息系统建设管理指标、信息系统运维管理指标和服务可用性连续性管理指标等。例如，信息技术服务管理体系运行指标包括且不限于以下内容：本地网络系统正常运行率；广域网系统正常运行率；业务应用平均运行率；已建立完备的运行记录的流程占流程总数的比例；依照制度要求组织评审并及时进行完善和修订的流程占流程总数的比例；各流程负责人依照制度要求按时提交相关服务报告的比例。信息安全管理体系运行指标可包括且不限于以下内容：信息安全管理人员占全体员工的比例；信息安全风险评估的实施频次；信息安全全员意识培训开展次数；信息安全管理制度的修订周期；信息安全相关法律法规的更新周期。员工信息安全管理指标可包括且不限于以下内容：接受信息安全培训的员工占全体员工的比例；员工内网办公电脑上桌面防护客户端软件的安装比例；信息安全检查中发现的员工违反信息安全制度的不符合项比例；因违反信息安全管理制度而受到惩戒的员工比例；重大信息安全事件发生的次数。信息系统建设管理指标可包括且不限于以下内容：根据相关制度要求在系统上线前及时移交所有文档（包括安全评审文档）的信息系统占所有新上线系统的比例。信息系统运维管理指标可包括且不限于以下内容：因操作不当而引起的重大信息安全事件的次数；已经制定了文档化的操作程序的信息系统比例。

 

2.实施有效性测量

 

测量的过程主要是指数据的收集、存贮和验证。收集是指定期通过设定的测量方法收集要求的数据，存贮是指对包括日期、地点、收集人、信息所有者、信息收集过程中发生的事件的文档化，最后是对所收集的数据进行验证和测量确认。在测量过程中，测量数据的客观准确应当被当作重点内容来对待，尽量避免操作者测量自己的工作，以确保后续流程不会受到测量的影响；在测量结果的记录时，也应将测量过程中产生的误差等因素考虑进去。每年组织召开一次管理评审会议。在管理评审会议之前，体系推进工作组应依据本规定，组织各部门开展企业范围内的信息技术服务和信息安全管理体系有效性测量活动。企业信息技术服务和信息安全管理体系有效性测量活动的完成时间也可安排在信息技术服务和信息安全管理体系内审活动开始之前，以保证通过内审活动能有效地检验测量指标的正确性。

 

3.有效性测量的持续改进

 

根据“循序渐进、持续改进”的原则，信息安全管理小组应负责对信息安全测量体系不断完善。电力企业内各部门应该对信息安全测量指标的建设和运行目标定期地组织评估，结合实际环境的变化，对现有的测量指标进行修订或完善。

 

三、结束语

 

为了更好管理和改进信息安全管理体系，需要对其进行有效性测量。测量的内容应当有意义，如果测量的结果对改进信息安全管理体系没有任何帮助或者难以理解，那么，该测量就是不成功的，也就没有必要进行该测量。

 

本文作者:陈志佳 秦峰