县级供电企业信息安全建设和管理探讨

进入21世纪，我国信息化进程不断加快，信息化业务将会覆盖我国各地区以及每一个公司，供电企业也不例外，信息化业务将会渗透到电力企业的各个环节。县级供电企业在信息化建设已经取得了重大进展和显著成效，特别是在省电力企业信息系统全方面推广应用之后，建立高效与合理的信息安全管理体系就显得特别重要。

1工作思路

1.1现状分析

县级供电企业在原有的局域网络，由于没有外网进行隔离，管理制度不健全，且管理比较混乱，在局域网内的计算机终端可以随意联网，缺乏桌面管理的相关软件，个人私自乱交换机与路由器的情况也时有发生，这已经严重的威胁县级供电企业内部网络信息安全并且影响企业的经济效益。

1.2工作思路

为了加强县级信息安全的管理，强化企业日常信息安全的监督与应急处理能力，防范信息安全问题的发生，提高县级供电企业整体信息安全建设水平，企业应该重新制定与规划信息安全的监管制度，以及企业内部计算机使用规范，与一定的惩罚措施等。指定企业内部信息安全的负责人，对造成企业信息安全问题的人员给予严重的处罚。在企业内部的局域网增加防火墙，企业局域网内的所有终端设备统一安装由省供电企业统一部署的桌面管理系统与趋势杀毒软件，再配备高质量的移动存储介质用来备份重要的信息资源，最大限度的降低信息安全所带来的隐患，确保企业的信息安全。

2主要做法

2.1加快组织机构和制度的建设

县级供电企业应该成立主管信息安全工作的组织，以企业中层信息管理者为组长，建立一整套企业信息安全管理体系，实行统一领导，分级管理，各个部门主要负责本单位内部信息安全的管理工作。企业信息安全管理小组主要负责本企业信息安全的重大事项的决策与企业内部的协调工作。企业领导者与各部门签订信息安全责任书，且企业全体员工签订安全保密工作承诺书，并对企业的全体员工进行“八不准、三个不发生”信息安全宣传，明确谁使用，谁负责的信息安全原则。将信息安全管理纳入企业的战略管理层面上来，实行专业化管理与监督，企业的信息部门负责管理企业信息安全保障工作，并负责指导、检查与协调企业各部门的信息安全工作，组织落实企业信息安全工作的制度，对企业的信息系统的安全性进行评估。组织企业信息系统安全的宣传与对企业员工进行信息安全基本常识的培训。

2.2全企业信息系统的管理体系

完善信息安全管理的制度，主要包括：企业各级信息安全岗位职责与巡视制度。建立健全信息流程控制，员工进行数据录用之前，首先要保证信息系统数据的合理性与合法性以及安全性，更为重要的是进行信息系统的安全管理，于此时同时，引进与强化计算机自动控制系统，以确保计算机系统与数据的安全性和数据处理的可靠性。

2.3建立信息系统的管理模型

信息主要体现三个方面的属性：信息的可行性、信息的保密性以及信息的完整性。在信息安全管理工作中者三个属性都是非常重要，对于县级供电企业而言，保障信息安全的直接原因是确保企业信息的保密性。县级供电企业信息的完整性与信息的可用性在从一方面来讲是信息安全属性中的附属属性，因此信息的保密性对于县级供电企业来讲显得尤为重要。由此，而提出了有针对性的管理方法与管理模型。管理模型具体内容“执行力”、“堵”、“护”是信息安全管理简化的总结。

2.3.1执行力：县级供电企业建设企业文化与信息安全相互适应的体系县级供电企业的信息安全系统必须能够适应县级供电企业文化。信息安全的管理方法不能与企业文化相互冲突，信息安全要有与之相适应的技术支持、监督管理方法等都会有效的提高县级供电企业的信息安全水平。如果信息安全系统不能适应企业文化，企业的信息安全工作就不能有效的进行。

2.3.2堵：信息传播途径的管理“堵”针对的是信息传递的途径管理，研究分析信息传输的各个途径，禁止非法信息的访问及传递。“堵”的工作在信息安全管理中是一个长期的工作，并且会随着技术水平的进步，信息传播的途径也会越来越多，传播的方法也会不断的更新。“堵”的方法主要是由技术人员在信息的安全管理和计算机系统以及通信管理等方面进行。人员的安全管理是“堵”的核心内容，电力企业的信息资料都是由人来控制与管理的。对于人的管理也就是信息资料的管理，对于人的管理也是信息安全管理体系中最难的一部分。其中有这样一句话“在企业中信息安全最大的风险在于一些心怀不测的员工可能带来的风险”。即使这样我们依旧可以使用一些有效的措施，对供电企业核心涉密人员的管理，进而提升信息安全管理的水平。物力安全管理也是信息安全管理的重要一部分，对于县级供电企业的机房等核心涉密区域，要加强其管理力度，可以建立门禁系统，在此方面来减少信息安全的一些漏洞。网络安全和计算机系统如今是发展最快的内容。市面上已经有非常多的安全产品用来解决一些安全方面的问题。对于安全产品的选择应结合县级供电企业现有系统，选择的产品要能与现有系统相互兼容，有效的提高信息安全管理的水平。

2.3.3护：信息资源的保护信息安全的保护工作的根本目的是针对县级供电企业重要且价值巨大的信息资料进行保护，这样县级供电公司信息安全工作可以有效的提高工作效率。一个县级供电企业来说企业的投入的资源总是有限的，对于信息安全投入也是同样的道理，怎样才能在有限的投入为企业来取得最大的经济效益，才是最明智的选择。对于县级供电企业来讲重要的、价值巨大的信息资料的保护才是企业领导最应该关心的问题。核心信息资产的保护主要是通过核心流程梳理、容灾和备份、文档安全管理、数据保密、资产分级管理等一系列方法与手段对企业的核心信息进行管理保护。核心流程梳理：主要是由企业核心的业务流程，对其进行有效梳理，对于企业核心流程产生的信息进行分权与分级管理，这种管理是对企业核心信息在企业的整个生命周期进行管理。主要是由一些专业人员来主导进行的。容灾和备份：对一些重要的信息，应该定期的进行备份，这样可以在发生信息资源丢失或者损坏的情况下可以避免企业的损失。文档安全管理：主要是对于企业比较重要的纸质文档通过人工手段采取保护的手段，确保企业核心文档资料的保密性。可以借助于文档安全类的产品来实现。数据保密：数据的保密工作可以采用多种形式进行，以防止第三方盗取数据。县级供电企业的大多数信息是存放在应用系统和数据库中，对于数据库的安全保护线的尤为重要。可以采取数据加密，数据备份等形式加以保护。

3结束语

执行力、堵、护在县级供电企业的信息安全管理特别是在县级供电企业信息安全管理的起步阶段，会起到非常不错的指导效果。随着县级供电企业信息安全管理的不断完善，信息安安管理体系的建设可以这对企业所处不同的环境做进一步具体内容。信息安全管理水平的提高可以有效地提升县级供电企业的市场竞争力，提高企业的经济效益。

作者:马远 李恒 单位:国网河南省电力公司荥阳市供电公司

参考文献:

[1]王凯丽.加强县级供电企业信息安全建设和管理[J].科技与企业，2013（10）：77~79.

[2]王卫平.企业信息安全管理研究[J].学术研究，2007（6）：113~116.

[3]邹梦婕.企业信息安全管理问题研究[J].科学管理，2014（3）：88~89.

[4]于鸿洁.我国企业信息安全管理体系建设研究[J].管理观察，2009（6）：134~136.