大云網論文資料論文范文正文

電力信息安全管理體系應用及發展研究

2013-11-27 15:47:53 智能電網知識庫網　點擊量：評論 (0)

摘要信息安全管理體系作為組織對信息安全工作實施管理的有效方法之一，在信息安全領域獲得了廣泛的應用。本文從信息安全管理體系的特點出發，基于風險管理和持續改進的思想，從實踐出發，提出了行之有效的實

管理體系運行的效果很大程度上取決于風險管理方法的適宜性和有效性。

2.2 信息安全管理體系的持續改進機制

信息安全管理體系的一個突出特點是持續改進，通過體系的建設，可以有效實現信息安全工作的持續改進，不斷提高信息安全的防護水平和能力，應對不斷涌現的新的信息安全威脅。

信息安全管理體系的持續改進機制主要體現在下列方面：

(1)過程方法

在管理活動中，過程單元是控制的基本要素，過程方法已成為管理活動的基本方法，研究過程之間的相互聯系和作用，有利于對這些過程進行有效的、連續的控制，從而確保整體管理的有效性。過程方法模型如圖1所示。

圖1 過程方法模型

為使組織有效運作，必須識別和管理眾多相互關聯的活動，通過使用資源和管理，將輸入轉化為輸出的活動可視為過程。通常，一個過程的輸出直接形成下一個過程的輸入。而過程方法則是指組織內諸過程的系統的應用，連同這些過程的識別和相互作用及其管理。

(2)PDCA循環

PDCA模型又叫戴明環，是管理學中的一個通用模型，如圖2所示。

圖2 PDCA模型PDCA模型在實施時，呈現出如下特點：

1)循環進行

2)相互嵌套

3)不斷改進

(3)內部審核

信息安全管理體系內部審核的總目標是以規定的時間間隔(一般不超過一年)檢查信息安全管理體系的各方面是否按預期功能運行。審核的次數應按計劃進行，使得審核工作能均勻地分布在所確定的期間。當信息安全管理體系有重大變化或發生重大不符合項時，要增加審核頻次。

(4)管理評審

信息安全管理體系管理評審是管理者按照計劃的時間間隔組織實施的信息安全管理體系的評審，其目標是要檢查信息安全管理體系是否有效，識別可以改進的地方，并采取措施，以保證信息安全管理體系保持持續的適宜性、充分性和有效性。當確定當前的安全狀況是滿意時，為了預見未來信息安全管理體系的變化和確保其持續的有效性，注意力應放在變化中的技術與業務要求、新威脅與脆弱性的攻擊上。

(5)糾正和預防措施

首先應該認識到糾正與糾正措施的區別：糾正是指為消除已發現的不符合所采取的措施，而糾正措施是指為消除已發現的不符合或其他不期望情況的原因所采取的措施，其目的是消除不符合的原因，防止不符合項的再次發生。采取糾正措施的范圍和程度要根據不符合項對組織的綜合影響程度而定，包括風險、利益和投入成本等，要評價確保不符合項不再發生的措施需求。

2.3 信息安全管理體系的實施方法

組織需要信息安全，一方面是業務連續性發展的要求，另一方面是適用的法律法規和標準的要求。這些要求是不斷發展和變化的，組織必須持續的增強其信息安全能力和改進其信息安全水平以滿足不斷發展的信息安全要求。

信息安全管理體系方法指導組織分析信息安全要求，識別和規定相關過程，并使其持續受控，以實現組織能接受的信息安全目標。信息安全管理體系提供持續改進的框架，以增強組織信息安全能力，同時向組織的其它利益相關方提供信心和信任。信息安全管理體系的實施方法應重點關注下列三個方面：

1)應用PDCA模型

在信息安全管理體系的建設過程中，應用PDCA模型，可以有效規范各類活動的階段性，充分體現其持續改進機制，最大程度發揮信息安全管理體系的特點