中國電力投資集團安全科技信息部信息化系統處郭大亮




       集團企業未來業務發展需要IT能力的強力支撐，而信息安全管理能力是企業IT能力的基礎，當前企業信息化過程中出現的安全問題急待解決，否則會影響企業技術進步及業務發展。
       郭大亮認為集團企業信息安全重要性逐步得到管理層的重視，企業近年來加強了信息安全管理工作，但集團企業的信息安全管理工作存在以下難點：橫向業務寬，業態多，安全要求不統一；縱向業務深，層次多，安全措施難落地；信息資產廣，分類多、定秘管控任務重；安全治理弱，執行難，安全步調難一致；監管壓力大，婆婆多，應付檢查工作忙。
       如何解決當前企業中出現出現的安全問題，提高支撐業務發展所需要的IT能力，滿足監管對信息安全的要求”的目標？我們是采取出現一個問題解決一個問題的方式，還是要建立一個完整的信息安全保障體系來應對已有或未知的各種信息安全風險？我們可定會選擇后者。
郭大亮認為信息安全管理不應當只是應付上級檢查的權宜之計，也不應當僅僅是應對當前信息安全與IT風險的、頭痛醫頭、腳痛醫腳的方法。企業信息安全保障體系建設要引入“七分養、三分治”的方法，要結合各類IT風險與信息安全控制標準規范及最佳實踐，建立建立一套完善的IT風險保障體系和長效的管理機制，以應對已經出現或未來可能出現的各類IT風險，安全體系建設要遵循總體規劃、安全規范、局部試點、全面推廣分步來實施。
       中電投集團根據集團的實際情況，當前正在對集團信息安全進行總體規劃，重點確定集團信息安全總綱、信息安全組織、信息安全架構和安全管理框架。在設計信息安全體系架構的基礎上，需要根據企業的特點分階段實施風險控制；信息安全保障體系應當是一種兼顧各種控制規范的可持續的管理體系；安全保障體系在建設過程中需要有
精細化的推進方法，確保相關控制措施可以落地。