论文部分内容阅读
摘要:供电企业近年来加强了信息安全风险评估工作常态化、制度化、规范化,完善和改进信息安全工作,在管理上构建了较为全面的信息安全管理体系,但还需要加强信息安全教育培训,加强对信息防护人员技术培训,加强对全员的信息风险防范、网络保密意识教育,完善信息安全防护工作。
关键词:教育培训;信息;安全
作者简介:冯驰(1969-),男,江苏张家港人,安徽省电力公司安庆供电公司,高级讲师。(安徽 安庆 246000)
中图分类号:G712 文献标识码:A 文章编号:1007-0079(2011)24-0040-02
供电企业面临着信息系统及信息点较多,分步广,信息安全工作面临着前所未有的挑战。通过全面加强供电企业管理,加强公司信息安全组织领导,落实岗位责任制,健全信息安全管理体系、机制,加强信息安全制度和标准规范体系建设,加大信息安全监督检查力度,大力开展风险评估,实施等级保护,加强信息安全监控体系建设,供电企业的信息安全工作取得了一定进展,有力地保证了生产、营销、管理工作的开展。
在工作中,还是有部分人员认为信息系统事故不会造成严重后果,对信息安全重视程度不够,信息安全责任意识和保密意识有待进一步加强。随着工作的深入开展,我们认识到只有广泛、深入开展信息安全宣传教育活动,增强全员信息安全意识,信息安全工作才能取得突破性业绩。
一、供电企业信息安全现状
信息技术已广泛应用在供电公司的调度自动化、继电保护、电力负荷控制、变电站综合自动化等电力二次生产控制系统,以及财务电算化、电力营销信息化、办公自动化等企业经营管理领域,信息技术已渗透到电力生产、经营、管理等各个环节。安庆供电公司建立了上下贯通的调度和各电压等级变电站(换流站)的电力二次生产控制系统,管理信息系统贯通电力信息网络及企业内部局域网络,现有主机房1个,容灾机房1个,远程交换机房1个、调度机房1个,服务器数量达到60台,有效管控联网设备IP地址数1000个。支撑公司各类业务的信息系统70套。
二、信息安全困境
安庆电力信息网络与信息的安全一旦遭到破坏,造成的影响和损失将是巨大的。目前信息安全面临着挑战:一是仍有部分人员认为信息系统事故不会造成严重后果,对信息安全重视程度不够,信息安全责任意识和保密意识有待进一步加强。二是存在信息安全管理制度尚不十分健全、制度执行不十分到位现象。三是一体化企业级信息系统的建设,将使信息纵向贯通、横向集成,网络规模不断扩大,系统结构日益复杂,局部信息安全隐患有影响到整个系统安全稳定运行的可能。
信息系统在公司的基础性、全局性和全员性作用日益增强,信息安全已经成为促进信息化进一步深入、保障信息化成果的重要手段,成为电网安全和国家安全的重要组成部分。
三、保障措施思路
公司参考国际标准ISO/IEC27001:2005信息安全管理体系,结合公司实际,提出坚持积极防御、综合防范方针,在加快信息化建设的同时,高度重视信息安全工作,贯彻执行信息安全与信息化同步规划、同步建设、同步投入运行的“三同步”原则,不断提高公司信息安全防护能力,初步构建了信息安全保障体系,加强培训,保证了信息内容安全,保障了电力二次生产控制系统和管理信息系统的安全稳定运行,维护了电力系统安全稳定的局面,促进了公司信息化的进一步发展。
四、加强全员信息安全教育
目前,供电企业现实的威胁主要为信息泄露和内部危害。信息安全的全局性和全员性作用日益增强,信息安全培训是实施信息安全的基础,必须对公司内部人员进行安全培训,从而强化从高层到基础员工的安全意识,完善信息安全保障体系,提高企业的整体安全管理。
公司邀请了公安部门网监大队开展信息方面的法律法规培训,公司还邀请了市保密局领导开展信息保密及安全防护方面的讲座。通过这些全员安全教育,加强了每位员工的信息安全责任感,提高了保密意识和防范意识。
公司充分利用安全培训有利条件——公司培训基地是省公司级培训基地。在培训基地,开展多种形式的培训,信息培训和信息安全培训中,尝试以教学及信息化推进为切入点,促进公司信息化工作和人才培养工作。如在农电培训师培训、新进员工培训中,能深入浅出地讲解信息相关知识,并通过实际事例分析指导大家开展工作。学员们既学到了知识,也找到了学习的方法,同时对在职工作有了进一步的理解和掌握。培训中精心谋划、细致安排,一是全程策划实施,二是精心策划培训计划,三是根据划定的人员范围名单,测试内容,组织专业人员搭建环境,组织深入学习;四是精心授课,以教促学;五是结合工作实际合理安排时间,确保不影响正常的安全生产工作。
公司通过有效组织,提高了全员参与积极性,不但公司信息运行维护人员掌握了一定的安全技术,而且公司全员教育上也取得一定成绩。在国家电网公司SG186信息知识竞赛中,我公司获得国家电网优秀组织奖;在国家电网公司“火炬杯”奥运信息安全知识竞赛,我公司获得了优秀组织奖。
更进一步,公司积极组织训练公司有兴趣的业余人员,参与各类信息及安全有关的学习竞赛活动,这些年取得了理想的名次,也激发了学习技术的积极性。
五、加强信息人员培训
信息人员的培训工作必不可少,信息安全“七分管理、三分技术”,信息安全管理是核心,技术是实现手段,将这两部分的内容以公司文件或标准的形式定下来,形成管理类文件,运行维护类文件,文件以宣传培训的方式落实信息安全工作规范化、常规化。信息安全管理规定具有严肃性、权威性、强制性,一旦形成就要严格执行,认真监督。如针对机房、保密的安全,制定了《信息安全风险评估常态化制度》、《安全区域控制程序》、《信息工作票制度》等制度,对安全区域的访问进行授权,制订了系统策划与验收类技术手册,包括:《信息系统建设管理规定》、《软件控制程序》等;在信息安全事件的控制类方面,制订了《信息系件安全管理程序》、《信息安全惩戒管理程序》手册。
针对市、县公司信息人员的培训,公司今年年初制定了《安庆供电公司信息运行维护人员持证上岗管理办法》,此制度适用于市、县公司从事信息工作的正式员工、三线运维单位人员,设置了应用系统与数据库管理、网络与安全管理和终端维护三个岗位,共分一、二、三级,明确只有取得岗位证书方可从事与证书岗位一致的工作。公司依托安徽省电力公司安庆培训基地,组织安排了考前培训和理论笔试、上机测试。通过此项工作,公司35人以优异成绩取得了证书。现在公司信息人员正为迎接国家电网公司的“国家电网公司信息运维人员技术资格考试”做准备,将参加2次集中培训,自此信息人员的岗位培训走上了国家电网统一的正规化道路。
对三线人员上岗前培训,重点学习理解了信息系统建设及维护在网上按流程操作的必要性和方法,通过涵盖了资源管理、接入变更管理、问题故障管理、运行分析管理、查询统计管理、报表管理功能的信息服务流程,配合公司运行维护、管理、运行人员对系统的资源、设备、系统、数据库、身份、网络的接入、运行、资产统计、ITIL等依照规范化的用户申请、审核、处理、确认、归档流程进行信息处理。
在信息隐患排查和应急培训中,通过定期信息应急脚本修订和演练,要求各主副岗人员需握系统及设备的安装、升级、变更和参数配置等详细操作,并对各系统、设备做好应急预案,坚持对预案进行持续的改进。建立健全快速反应机制,确保一旦出现故障,可以尽快恢复系统运行,保证信息系统的连续可用性。
在科技项目实施、信息项目实施中,公司原则上要求实施厂家为应用人员开展操作使用培训,为信息运维人员提供对口的厂家培训,保障科技项目、信息项目的建设、运行、维护。在公司中还设立了信息类省公司专家(首席工程师),作为技术带头人,言传身教传帮带。
六、加强教育后的考核工作
信息系统安全是全人员安全,为了做好人的工作,必须加强对人的培训和考核。公司发布了如国务院《关于加强政府信息系统和保密管理工作的通知》的五禁止等多种信息安全教育材料,组织了公司、县公司考试,并要求全体员工与公司签订保密协议,协议中明确了培训、考核、惩戒措施。
如今年6~7月,根据国家电网公司“信息安全生产月”活动要求,安全培训也是一项检查和互查内容。以《安全培训情况检查表》为例(见表1),分2项4个指标。此外,信息部门对公司及基层安全事故与教训进行总结;对基层单位信息安全月度考核,拉开差距,实施奖惩措施。
如为减少人为造成的风险——错误、偷窃、欺骗或资源误用等,要求保密协议签订100%,信息维护单位签订协议,一年全员安全教育培训不少于2次,参加信息竞赛不少于2次,内部信息安全培训5次以上,且要人人主讲;外来人员签订《信安全协议》、明确保密的义务及违约的责任。配合物理与环境安全:防止对组织办公场所和信息的非授权物理访问、破坏和干扰,系统运行率99.999%,三级系统和二级系统划在更高级别域中,重点信息设备利巡视;服务器平均运行率99.999%,对安全区域进行保护,以确保只有经过授权的人员才可以访问。通信与操作管理:确保网络信息的安全措施和支持基础结构的保护;防止资产被损坏和业务活动被干扰中断;防止组织间的交易信息遭受损坏、修改或误用等等。
七、安全教育培训效果
信息安全体系是一个动态的体系,安全教育培训同样也是一个动态的体系。它的建立是基于“计划-实施-检查-改进”(PDCA)模型。公司目前基本的信息安全体系已经初步建立,为保证公司信息安全都符合ISO/IEC 27001:2005标准和相关法律法规要求,符合信息安全的要求,确保监督体系得到有效实施,还应加强信息安全的培训的力度和广度。在实践中,我们对发现的不符合项制定整改计划,与人资部门、培训部门配合落实纠正措施,优化体系,力求实现过程管理、闭环管理、持续改进的思想。为确保信息体系被正确执行,公司制定了《信息安全教育规定》,并进行月度的自查、互查和考核评价,保证体系的有效执行。
近年以来,公司没有发生重大信息安全事件,信息系统运行总体平稳。公司广域网络平均运行率99.99%,局域网络平均运行率99.99%,服务器平均运行率为99.98%,达到了国内先进水平。信息安全监控指标持续正常无违规,取得了较好的成绩。
(责任编辑:刘辉)
关键词:教育培训;信息;安全
作者简介:冯驰(1969-),男,江苏张家港人,安徽省电力公司安庆供电公司,高级讲师。(安徽 安庆 246000)
中图分类号:G712 文献标识码:A 文章编号:1007-0079(2011)24-0040-02
供电企业面临着信息系统及信息点较多,分步广,信息安全工作面临着前所未有的挑战。通过全面加强供电企业管理,加强公司信息安全组织领导,落实岗位责任制,健全信息安全管理体系、机制,加强信息安全制度和标准规范体系建设,加大信息安全监督检查力度,大力开展风险评估,实施等级保护,加强信息安全监控体系建设,供电企业的信息安全工作取得了一定进展,有力地保证了生产、营销、管理工作的开展。
在工作中,还是有部分人员认为信息系统事故不会造成严重后果,对信息安全重视程度不够,信息安全责任意识和保密意识有待进一步加强。随着工作的深入开展,我们认识到只有广泛、深入开展信息安全宣传教育活动,增强全员信息安全意识,信息安全工作才能取得突破性业绩。
一、供电企业信息安全现状
信息技术已广泛应用在供电公司的调度自动化、继电保护、电力负荷控制、变电站综合自动化等电力二次生产控制系统,以及财务电算化、电力营销信息化、办公自动化等企业经营管理领域,信息技术已渗透到电力生产、经营、管理等各个环节。安庆供电公司建立了上下贯通的调度和各电压等级变电站(换流站)的电力二次生产控制系统,管理信息系统贯通电力信息网络及企业内部局域网络,现有主机房1个,容灾机房1个,远程交换机房1个、调度机房1个,服务器数量达到60台,有效管控联网设备IP地址数1000个。支撑公司各类业务的信息系统70套。
二、信息安全困境
安庆电力信息网络与信息的安全一旦遭到破坏,造成的影响和损失将是巨大的。目前信息安全面临着挑战:一是仍有部分人员认为信息系统事故不会造成严重后果,对信息安全重视程度不够,信息安全责任意识和保密意识有待进一步加强。二是存在信息安全管理制度尚不十分健全、制度执行不十分到位现象。三是一体化企业级信息系统的建设,将使信息纵向贯通、横向集成,网络规模不断扩大,系统结构日益复杂,局部信息安全隐患有影响到整个系统安全稳定运行的可能。
信息系统在公司的基础性、全局性和全员性作用日益增强,信息安全已经成为促进信息化进一步深入、保障信息化成果的重要手段,成为电网安全和国家安全的重要组成部分。
三、保障措施思路
公司参考国际标准ISO/IEC27001:2005信息安全管理体系,结合公司实际,提出坚持积极防御、综合防范方针,在加快信息化建设的同时,高度重视信息安全工作,贯彻执行信息安全与信息化同步规划、同步建设、同步投入运行的“三同步”原则,不断提高公司信息安全防护能力,初步构建了信息安全保障体系,加强培训,保证了信息内容安全,保障了电力二次生产控制系统和管理信息系统的安全稳定运行,维护了电力系统安全稳定的局面,促进了公司信息化的进一步发展。
四、加强全员信息安全教育
目前,供电企业现实的威胁主要为信息泄露和内部危害。信息安全的全局性和全员性作用日益增强,信息安全培训是实施信息安全的基础,必须对公司内部人员进行安全培训,从而强化从高层到基础员工的安全意识,完善信息安全保障体系,提高企业的整体安全管理。
公司邀请了公安部门网监大队开展信息方面的法律法规培训,公司还邀请了市保密局领导开展信息保密及安全防护方面的讲座。通过这些全员安全教育,加强了每位员工的信息安全责任感,提高了保密意识和防范意识。
公司充分利用安全培训有利条件——公司培训基地是省公司级培训基地。在培训基地,开展多种形式的培训,信息培训和信息安全培训中,尝试以教学及信息化推进为切入点,促进公司信息化工作和人才培养工作。如在农电培训师培训、新进员工培训中,能深入浅出地讲解信息相关知识,并通过实际事例分析指导大家开展工作。学员们既学到了知识,也找到了学习的方法,同时对在职工作有了进一步的理解和掌握。培训中精心谋划、细致安排,一是全程策划实施,二是精心策划培训计划,三是根据划定的人员范围名单,测试内容,组织专业人员搭建环境,组织深入学习;四是精心授课,以教促学;五是结合工作实际合理安排时间,确保不影响正常的安全生产工作。
公司通过有效组织,提高了全员参与积极性,不但公司信息运行维护人员掌握了一定的安全技术,而且公司全员教育上也取得一定成绩。在国家电网公司SG186信息知识竞赛中,我公司获得国家电网优秀组织奖;在国家电网公司“火炬杯”奥运信息安全知识竞赛,我公司获得了优秀组织奖。
更进一步,公司积极组织训练公司有兴趣的业余人员,参与各类信息及安全有关的学习竞赛活动,这些年取得了理想的名次,也激发了学习技术的积极性。
五、加强信息人员培训
信息人员的培训工作必不可少,信息安全“七分管理、三分技术”,信息安全管理是核心,技术是实现手段,将这两部分的内容以公司文件或标准的形式定下来,形成管理类文件,运行维护类文件,文件以宣传培训的方式落实信息安全工作规范化、常规化。信息安全管理规定具有严肃性、权威性、强制性,一旦形成就要严格执行,认真监督。如针对机房、保密的安全,制定了《信息安全风险评估常态化制度》、《安全区域控制程序》、《信息工作票制度》等制度,对安全区域的访问进行授权,制订了系统策划与验收类技术手册,包括:《信息系统建设管理规定》、《软件控制程序》等;在信息安全事件的控制类方面,制订了《信息系件安全管理程序》、《信息安全惩戒管理程序》手册。
针对市、县公司信息人员的培训,公司今年年初制定了《安庆供电公司信息运行维护人员持证上岗管理办法》,此制度适用于市、县公司从事信息工作的正式员工、三线运维单位人员,设置了应用系统与数据库管理、网络与安全管理和终端维护三个岗位,共分一、二、三级,明确只有取得岗位证书方可从事与证书岗位一致的工作。公司依托安徽省电力公司安庆培训基地,组织安排了考前培训和理论笔试、上机测试。通过此项工作,公司35人以优异成绩取得了证书。现在公司信息人员正为迎接国家电网公司的“国家电网公司信息运维人员技术资格考试”做准备,将参加2次集中培训,自此信息人员的岗位培训走上了国家电网统一的正规化道路。
对三线人员上岗前培训,重点学习理解了信息系统建设及维护在网上按流程操作的必要性和方法,通过涵盖了资源管理、接入变更管理、问题故障管理、运行分析管理、查询统计管理、报表管理功能的信息服务流程,配合公司运行维护、管理、运行人员对系统的资源、设备、系统、数据库、身份、网络的接入、运行、资产统计、ITIL等依照规范化的用户申请、审核、处理、确认、归档流程进行信息处理。
在信息隐患排查和应急培训中,通过定期信息应急脚本修订和演练,要求各主副岗人员需握系统及设备的安装、升级、变更和参数配置等详细操作,并对各系统、设备做好应急预案,坚持对预案进行持续的改进。建立健全快速反应机制,确保一旦出现故障,可以尽快恢复系统运行,保证信息系统的连续可用性。
在科技项目实施、信息项目实施中,公司原则上要求实施厂家为应用人员开展操作使用培训,为信息运维人员提供对口的厂家培训,保障科技项目、信息项目的建设、运行、维护。在公司中还设立了信息类省公司专家(首席工程师),作为技术带头人,言传身教传帮带。
六、加强教育后的考核工作
信息系统安全是全人员安全,为了做好人的工作,必须加强对人的培训和考核。公司发布了如国务院《关于加强政府信息系统和保密管理工作的通知》的五禁止等多种信息安全教育材料,组织了公司、县公司考试,并要求全体员工与公司签订保密协议,协议中明确了培训、考核、惩戒措施。
如今年6~7月,根据国家电网公司“信息安全生产月”活动要求,安全培训也是一项检查和互查内容。以《安全培训情况检查表》为例(见表1),分2项4个指标。此外,信息部门对公司及基层安全事故与教训进行总结;对基层单位信息安全月度考核,拉开差距,实施奖惩措施。
如为减少人为造成的风险——错误、偷窃、欺骗或资源误用等,要求保密协议签订100%,信息维护单位签订协议,一年全员安全教育培训不少于2次,参加信息竞赛不少于2次,内部信息安全培训5次以上,且要人人主讲;外来人员签订《信安全协议》、明确保密的义务及违约的责任。配合物理与环境安全:防止对组织办公场所和信息的非授权物理访问、破坏和干扰,系统运行率99.999%,三级系统和二级系统划在更高级别域中,重点信息设备利巡视;服务器平均运行率99.999%,对安全区域进行保护,以确保只有经过授权的人员才可以访问。通信与操作管理:确保网络信息的安全措施和支持基础结构的保护;防止资产被损坏和业务活动被干扰中断;防止组织间的交易信息遭受损坏、修改或误用等等。
七、安全教育培训效果
信息安全体系是一个动态的体系,安全教育培训同样也是一个动态的体系。它的建立是基于“计划-实施-检查-改进”(PDCA)模型。公司目前基本的信息安全体系已经初步建立,为保证公司信息安全都符合ISO/IEC 27001:2005标准和相关法律法规要求,符合信息安全的要求,确保监督体系得到有效实施,还应加强信息安全的培训的力度和广度。在实践中,我们对发现的不符合项制定整改计划,与人资部门、培训部门配合落实纠正措施,优化体系,力求实现过程管理、闭环管理、持续改进的思想。为确保信息体系被正确执行,公司制定了《信息安全教育规定》,并进行月度的自查、互查和考核评价,保证体系的有效执行。
近年以来,公司没有发生重大信息安全事件,信息系统运行总体平稳。公司广域网络平均运行率99.99%,局域网络平均运行率99.99%,服务器平均运行率为99.98%,达到了国内先进水平。信息安全监控指标持续正常无违规,取得了较好的成绩。
(责任编辑:刘辉)