內(nèi)蒙古電力公司作為省級管理電網(wǎng)企業(yè)，經(jīng)過近幾年的信息化基礎(chǔ)設(shè)施建設(shè)，信息化水平穩(wěn)步提高，但信息安全水平仍處于起步階段，面臨著各類信息安全風(fēng)險。在自身發(fā)展需求和外部推動下，內(nèi)蒙古電力公司迫切需要建立健全信息安全保障體系，全面提升信息安全水平。

1、項目背景

內(nèi)蒙古電力公司作為省級管理電網(wǎng)企業(yè)，經(jīng)過近幾年的信息化基礎(chǔ)設(shè)施建設(shè)，信息化水平穩(wěn)步提高，但信息安全水平仍處于起步階段，面臨著各類信息安全風(fēng)險。在自身發(fā)展需求和外部推動下，內(nèi)蒙古電力公司迫切需要建立健全信息安全保障體系，全面提升信息安全水平。

在此背景下，針對管理信息大

區(qū)，內(nèi)蒙古電力公司啟動安全咨詢項目，開展信息安全保障體系的規(guī)劃設(shè)計，指導(dǎo)未來3-5年的信息安全保障體系建設(shè)工作。

2、解決方案

■  項目目標

內(nèi)蒙古電力公司信息化建設(shè)三期安全咨詢項目的項目目標為：

1. 通過開展信息安全體系建設(shè)工作，全面識別內(nèi)蒙古電力集團相關(guān)業(yè)務(wù)系統(tǒng)在信息安全技術(shù)層面、信息安全管理層面、信息安全運維層面存在的不足和差距，充分借鑒國內(nèi)信息安全實踐和成熟的理論模型，設(shè)計合理的信息安全保障體系，從而保證業(yè)務(wù)系統(tǒng)能夠長期穩(wěn)定運行和不斷完善和發(fā)展，適應(yīng)內(nèi)蒙古電力集團不斷擴展的業(yè)務(wù)應(yīng)用和管理需求。

2. 根據(jù)ISO20000和ISO27001認證體系流程，對內(nèi)蒙古電力信息通信分公司信息機房開展信息技術(shù)服務(wù)管理體系的建設(shè)輔導(dǎo)，對內(nèi)蒙古電力信息通信分公司開展信息安全管理體系建設(shè)輔導(dǎo)，并協(xié)助其完成ISO20000和ISO27001體系認證，獲得《信息技術(shù)服務(wù)管理體系認證證書》和《信息安全管理體系認證證書》。

基于上述項目目標，結(jié)合項目具體實施內(nèi)容，制定項目個性化的實施路線，如下圖所示：

■  核心內(nèi)容

1. 信息安全保障體系規(guī)劃

依據(jù)國家信息安全等級保護、ISO/IEC 27001及ISO/IEC 20000等信息安全標準規(guī)范，參考銀行業(yè)、電信行業(yè)信息安全保障體系的最佳實踐，結(jié)合管理信息大區(qū)信息安全現(xiàn)狀診斷成果，在保障信息安全體系合規(guī)的基礎(chǔ)要求下，融合新型網(wǎng)絡(luò)攻擊解決方案，從全體系、全覆蓋角度，整合內(nèi)蒙古電力公司管理信息大區(qū)人員、設(shè)備、信息、環(huán)境、流程等各項因素，對內(nèi)蒙古電力公司管理信息大區(qū)信息安全保障體系進行規(guī)劃，所規(guī)劃的信息安全保障體系從三個層次體現(xiàn)：

▲  信息安全合規(guī)保障

安全合規(guī)是信息安全保障體系的根基及前提。通過構(gòu)建“一個中心、三重防護”實現(xiàn)信息安全技術(shù)保障體系的建設(shè)；參考ISO/IEC 27001及ISO/IEC 20000，采用PDCA模型動態(tài)構(gòu)建信息安全管理及運維體系，以實現(xiàn)人員、技術(shù)、操作三要素的緊密結(jié)合，為內(nèi)蒙古電力公司管理信息大區(qū)信息系統(tǒng)提供基礎(chǔ)合規(guī)體系化的安全防護能力，確保系統(tǒng)安全運行。

▲  信息安全自適應(yīng)保障（下一代防御體系）

為了幫助內(nèi)蒙古電力公司管理信息大區(qū)信息系統(tǒng)抵御目前層出不窮的諸如APT攻擊、大規(guī)模分布式DDOS攻擊等新型攻擊或威脅，在信息安全合規(guī)保障體系的基礎(chǔ)上，建立防御-檢測-響應(yīng)-預(yù)測的信息安全自適應(yīng)保障體系。

運用大數(shù)據(jù)分析技術(shù)，建立安全策略可視化平臺，重點解決業(yè)務(wù)網(wǎng)絡(luò)中存在的安全不可視、不可管、被動不可控的現(xiàn)狀，讓不懂安全的人看透安全，同時解決管理技術(shù)運行體系矛盾、安全運維效率低等信息安全合規(guī)保障體系無法解決的問題。在此基礎(chǔ)上，實現(xiàn)諸APT防御能力、安全取證能力、業(yè)務(wù)性能分析能力、安全態(tài)勢預(yù)警能力等新型安全能力的疊加，整體提升其應(yīng)對新型攻擊及威脅的信息安全防護能力，使信息安全保障體系具備響應(yīng)預(yù)警能力，并實現(xiàn)安全事件追溯和風(fēng)險預(yù)測。

▲  業(yè)務(wù)風(fēng)險治理

信息安全保障體系的建設(shè)歸根到底是為了保障業(yè)務(wù)安全，內(nèi)蒙古電力公司管理信息大區(qū)信息安全保障體系的第三個層次，即對業(yè)務(wù)風(fēng)險治理體系的設(shè)計。借助定制開發(fā)的業(yè)務(wù)安全管控平臺，將風(fēng)險防控嵌入日常業(yè)務(wù)流程中，對業(yè)務(wù)流程進行梳理，制定業(yè)務(wù)合規(guī)操作指引，通過業(yè)務(wù)合規(guī)操作指引規(guī)范員工日常業(yè)務(wù)活動，規(guī)避不合規(guī)而產(chǎn)生的業(yè)務(wù)風(fēng)險、財務(wù)風(fēng)險、運營風(fēng)險等，形成業(yè)務(wù)風(fēng)險防范、合規(guī)管理和法律監(jiān)督的一體化業(yè)務(wù)合規(guī)治理體系。不僅為業(yè)務(wù)發(fā)展提供安全保障，更能從內(nèi)部升華業(yè)務(wù)需求，使其業(yè)務(wù)發(fā)展走在電力行業(yè)前沿。

2. ISO/IEC 27001及ISO/IEC 20000認證

根據(jù)評審?fù)ㄟ^的信息安全保障體系設(shè)計方案，開展ISMS及ITSMS融合體系的建設(shè)及落地工作，融合體系采用如下模型開展建設(shè)工作：

其中融合體系文件架構(gòu)如下圖所示：

按照文件的控制要求對體系進行審核、批準并發(fā)布實施，體系正式運行3個月，開展體系認證工作，并獲取成ISO/IEC 27001及ISO/IEC 20000認證證書。

3、應(yīng)用價值

內(nèi)蒙古電力公司信息安全發(fā)展滯后于信息化，本項目的開展為內(nèi)蒙古電力公司管理信息大區(qū)信息安全保障體系的建設(shè)實施提供了實施藍圖及建設(shè)計劃，從而提升了以下三個方面的能力：

■  ISO/IEC 27001及ISO/IEC 20000證書的獲取，標志著內(nèi)蒙古電力公司已經(jīng)建立起一套科學(xué)有效的信息安全管理體系及IT服務(wù)管理體系，服務(wù)于內(nèi)蒙古電力公司的信通中心具備規(guī)范及持續(xù)優(yōu)化的信息化及信息安全服務(wù)水平。

■  通過外部專家評審的管理信息大區(qū)信息安全保障體系在合規(guī)保障體系的基礎(chǔ)上創(chuàng)造性地提出了自適應(yīng)安全能力疊加的理念，使所規(guī)劃的信息安全保障體系在滿足安全合規(guī)、落地可執(zhí)行的基礎(chǔ)上，具備信息安全策略可視、可管、可控、可持續(xù)，風(fēng)險管理精細化，信息安全防御主動化，智能化的能力，具備先進性。

■  安全不應(yīng)該成為信息化發(fā)展的瓶頸，本項目將業(yè)務(wù)風(fēng)險治理納入信息安全保障體系中，通過實施業(yè)務(wù)風(fēng)險治理，實現(xiàn)業(yè)務(wù)合規(guī)，同時從內(nèi)部升華業(yè)務(wù)需求，實現(xiàn)業(yè)務(wù)的發(fā)展。