◆馮 馳

（國網(wǎng)安慶供電公司 安徽 246000）

五位一體促管理 管理提升保安全

◆馮 馳

（國網(wǎng)安慶供電公司 安徽 246000）

通過“五位一體”深化應(yīng)用工作在公司信息安全工作的順利推進，全面提高了信息安全管理和運行維護水平，對專項工作中發(fā)現(xiàn)的信息隱患和缺陷，分階段、分重點、分層次地進行采用PDCA持續(xù)的閉環(huán)整改，多管齊下地加強信息安全持續(xù)改進的力度。確保信息安全管理有章可循、執(zhí)行有力，操作規(guī)范，保障公司在“三集五大”體系建設(shè)、企業(yè)運營、專業(yè)管理后，建立健全“職責、流程、制度、標準、考核”五位一體“新機制深入推進，促進各部門信息安全融合、協(xié)同，為公司信息大安全打下堅定基礎(chǔ)。公司2個總體指標和4個具體指標完成效果優(yōu)良。

信息；安全；管理；五位一體

0 前言

公司信息網(wǎng)絡(luò)覆蓋有與國網(wǎng)公司互聯(lián)的三級網(wǎng)、與下屬供電公司和變電站互聯(lián)的廣域網(wǎng)、企業(yè)內(nèi)部局域網(wǎng)等“三大板塊”。ERP、SG186系統(tǒng)覆蓋了辦公自、財務(wù)、營銷、安全、生產(chǎn)等企業(yè)生產(chǎn)經(jīng)營管理“三大領(lǐng)域”。其特點是點多、面廣、用戶數(shù)量大，迫切需要進一步加強信息安全的保障作用，更好地服務(wù)于企業(yè)朝著國家電網(wǎng)公司提出的“集團化動作、集約化發(fā)展、精益化管理、標準化建設(shè)”目標邁進。

特別是通過“十一五”、“十二五”以來持續(xù)的信息化建設(shè)，公司各項業(yè)務(wù)已與信息化深度融合?！叭宕蟆斌w系建設(shè)后，更加高度依賴于信息通信的配套建設(shè)。公司通過不斷加大對信息安全設(shè)備的資金投入，信息化安全技術(shù)上得到了改進，但信息安全仍面臨著諸多新的挑戰(zhàn)。

一是機構(gòu)的調(diào)整，人員的變動中，全員的信息安全、保密意識有所松懈，對信息安全工作的長期性、艱巨性、復(fù)雜性認識不夠，規(guī)章制度執(zhí)行不到位。

二是“三集五大”深化應(yīng)用體系下的SG-ERP信息安全防范體系尚需提升，一體化企業(yè)級信息系統(tǒng)的建設(shè)和深化應(yīng)用，系統(tǒng)結(jié)構(gòu)日益復(fù)雜，局部信息安全隱患大有影響到整個系統(tǒng)安全穩(wěn)定運行的可能；三是新的內(nèi)、外部信息保密工作，面臨的挑戰(zhàn)日益增大，如果個別員工有意識或無意識的破壞、泄密，或者個別服務(wù)器存在漏洞、服務(wù)器和公司用戶電腦存在弱口令現(xiàn)象，未及時安裝升級補丁，都可能對企業(yè)、甚至整個廣域網(wǎng)系統(tǒng)造成數(shù)據(jù)泄密、信息系統(tǒng)停運的惡果。

在逐步加強和規(guī)范信息安全管理的同時，具體實踐中仍存在一些難點，尚待改進?！叭宕蟆鄙罨瘧?yīng)用工作中，我們發(fā)現(xiàn)公司開展的各項信息安全技術(shù)工作中，部分信息安全隱患和缺陷，因資金、管理、技術(shù)等種種的原因，尚不能做到根本消除；在信息安全整改過程中存在的不嚴密、不閉環(huán)等問題；對信息安全事件的發(fā)生，仍無法做到提前防范，信息系統(tǒng)設(shè)備缺陷，無法做到超前預(yù)警，即使是發(fā)現(xiàn)了系統(tǒng)缺陷，在應(yīng)急措施和處理時效上，仍無法令人滿意。

1 主要做法

采用P-D-C-A持續(xù)的閉環(huán)整改，通過“五位一體”深化應(yīng)用工作在公司信息安全工作的順利推進，全面提高信息安全管理和運行維護水平。

1.1 提出主要工作目標（P）

根據(jù)“十二五”國網(wǎng)公司《2015年度科技、信息通信業(yè)績考核、同業(yè)對標考核細則》，梳理出主要的信息安全管理指標，見表1：

表1 主要的信息安全管理指標

2 增強全員信息安全意識，提高信息管理規(guī)范性。

具體的信息安全指標，見表2：

表2 具體信息安全指標

通過以上指標設(shè)置，確保信息安全管理和運行維護水平，實現(xiàn)信息安全管理有章可循、執(zhí)行有力，操作規(guī)范，保障公司生產(chǎn)、運行、辦公信息系統(tǒng)的持續(xù)穩(wěn)定運行。

1.2 宣貫、推進“五位一體”（D）

公司注重“學(xué)”、“用”兩個環(huán)節(jié)的協(xié)同開展，構(gòu)建分級宣貫培訓(xùn)責任體系，及時組織開展全員全方位的“五位一體”培訓(xùn)。宣貫“五位一體”管理理念、典型經(jīng)驗，引導(dǎo)全員積極參與“五位一體”深化應(yīng)用。

將崗位“崗位標準五大要素”導(dǎo)出，編制了“崗位實際五大要素”比對分析模板，組織員工結(jié)合崗位實際，將業(yè)務(wù)執(zhí)行情況與“崗位標準五大要素”表中的相關(guān)內(nèi)容進行梳理比對，判斷是否一致，不一致的要說明原因，需要整改的要明確整改時限。比對分析結(jié)果表經(jīng)每位員工確認簽字。

用“五位一體”方法論指導(dǎo)“基層、基礎(chǔ)、基本功”三基方面的穩(wěn)步提升，將“五位一體”協(xié)調(diào)機制的相關(guān)內(nèi)容、要求接地氣。

依據(jù)國網(wǎng)的具體考核指標，緊密結(jié)合實際薄弱點和信息安全管理工作要求，切實推動五位一體協(xié)調(diào)機制的扎根工作，推進“五位一體”在業(yè)務(wù)末端協(xié)同融合。

1.3 考核“五位一體“應(yīng)用效果（C）

建立健全協(xié)同考核的形式和內(nèi)容，強化基于業(yè)務(wù)流程的橫向考核。對照平臺檢查業(yè)務(wù)執(zhí)行情況，促進員工理清各項業(yè)務(wù)界面，消除流程短點，實行協(xié)同任務(wù)“牽頭部門主導(dǎo)、分管領(lǐng)導(dǎo)審批、協(xié)同配合部門落實、任務(wù)全程監(jiān)控”的運轉(zhuǎn)機制。將協(xié)同工作考核全面納入月度績效考核指標體系，主管、牽頭、配合各部門逐層考核評價，結(jié)合月度績效例會充分溝通反饋，同步公告考核結(jié)果。

1.4 持續(xù)改進“五位一體”運轉(zhuǎn)機制（A）

以先進經(jīng)驗、先進做法和持續(xù)的自主創(chuàng)新進一步優(yōu)化業(yè)務(wù)流程，匯總分析實際業(yè)務(wù)執(zhí)行流程與“五位一體”執(zhí)行要素不一致的問題，查找缺失、重疊、沖突點，并制定整改措施及計劃，協(xié)調(diào)解決跨部門、跨專業(yè)、跨層級問題整改，最終實現(xiàn)與“五位一體”執(zhí)行要素的100%一致性。增強專業(yè)協(xié)同，持續(xù)推進“三集五大”體系扎根落地、高效運轉(zhuǎn)。

2 具體案例分析

2.1 在加強信息安全組織領(lǐng)導(dǎo)上

公司通過“五位一體”協(xié)同機制深化應(yīng)用工作，逐步理順了信息通信管理職能，確保能夠更加有效協(xié)調(diào)推進信息安全推進工作，對原運檢部、調(diào)控中心、信息通信公司在信息安全工作的分工進行了優(yōu)化和調(diào)整，促進各部門信息安全融合、協(xié)同，為公司信息大安全打下堅定基礎(chǔ)。

公司再次明確“一把手”是信息安全第一責任人，成立了信息化工作領(lǐng)導(dǎo)小組，本著“誰主管誰負責、誰運營誰負責”的原則，按照“三個百分之百”的要求，把信息安全責任落實到每項工作的管理者、組織者、實施者的身上，切實做到組織、人員、管理、技術(shù)、責任“四到位”，切實提高信息安全工作的執(zhí)行力，自覺加強對信息安全工作的監(jiān)督檢查、整改、督察工作。

2.2 在統(tǒng)一部署實施信息系統(tǒng)上

圖1 信息系統(tǒng)實施過程管理流程

對所有下屬單位，在公司統(tǒng)一領(lǐng)導(dǎo)下統(tǒng)籌兼顧，務(wù)求實效，在具體工作中主動適應(yīng)、自覺應(yīng)用，落實“五位一體”協(xié)同機制建設(shè)的要求，及時做好信息投資計劃，通過統(tǒng)一招標采購，按照“信息系統(tǒng)實施過程管理流程“（見圖1）。

2.3 在健全信息安全管理體系工作上

根據(jù)公司“五位一體”深化應(yīng)用方案，及時修訂發(fā)布了信息管理、運行維護等文件，梳理出系統(tǒng)管理手冊。規(guī)范了信息資產(chǎn)、問題故障、運行分析、查詢統(tǒng)計等管理模式。使系統(tǒng)的資源、系統(tǒng)、身份、網(wǎng)絡(luò)的接入、運行、資產(chǎn)統(tǒng)計等工作有序開展。

陸續(xù)編寫，修訂的制度，為便于整理，分為管理類制度、運維類技術(shù)文檔。梳理情況如下：

2.3.1 管理類制度

（1）法律類

全體員工簽訂《信息安全保密協(xié)議》，外來人員簽訂《信息安全協(xié)議》、明確規(guī)定了保密的義務(wù)及違約的責任。

（2）控制類

為控制包含重要信息處理設(shè)施的區(qū)域，如機房、保密的安全，制定了《安全區(qū)域控制程序》、《信息工作票制度》、等制度，對安全區(qū)域的訪問進行授權(quán)，并對其安全周界實施保護；系統(tǒng)故障的控制，使系統(tǒng)故障風險最小化，制訂了系統(tǒng)策劃與驗收類管理規(guī)定，包括：《信息系統(tǒng)建設(shè)管理規(guī)定》等；信息安全事件的控制：為對各類信息安全事件進行管理制訂了《信息系件安全管理程序》等。

2.3.2 運維類技術(shù)文檔

（1）軟件完整性控制

為保護軟件和信息的完整性，制訂了各類防范類管理規(guī)定，包括硬件設(shè)備的控制：《信息處理設(shè)施控制程序》、《交換機設(shè)備維護作業(yè)指導(dǎo)書》、《防火墻設(shè)備維護作業(yè)指導(dǎo)書》等，以防止資產(chǎn)的損失、損壞或丟失及業(yè)務(wù)活動的中斷。

（2）應(yīng)急預(yù)案

按照國網(wǎng)格式發(fā)布《網(wǎng)絡(luò)與信息系統(tǒng)突發(fā)事件處置應(yīng)急預(yù)案》等4個重要預(yù)案，及以往歷年建立的重要應(yīng)用系統(tǒng)的管理文件與應(yīng)急預(yù)案，制訂了系統(tǒng)的維護管理規(guī)定和應(yīng)用控制程序，并重點修訂了應(yīng)急預(yù)案，明確了系統(tǒng)在出現(xiàn)異常狀況時的處理步驟，確保能在最短時間內(nèi)恢復(fù)應(yīng)用。

2.4 在實施信息系統(tǒng)切換的安全評估工作上

結(jié)合“五位一體”深化應(yīng)用的安全評估流程，公司對原“三集五大”建成的主要系統(tǒng)，開展了信息安全風險評估工作，對信息安全現(xiàn)狀進行了科學(xué)的評估，提出了信息安全加固指導(dǎo)意見。為確保公司小型機的安全退役，以及退役后老營銷系統(tǒng)數(shù)據(jù)接口問題的解決，邀請第三方單位，依據(jù)《國家電網(wǎng)公司信息安全風險評估管理暫行辦法》、《國家電網(wǎng)公司信息安全風險評估實施指南》和《國家電網(wǎng)公司信息安全風險評估實施細則》，進行了系統(tǒng)的風險防范和應(yīng)急準備工作，使信息安全風險評估了常態(tài)化、制度化、規(guī)范化，而且本次系統(tǒng)順利安全切換、安全退出。

2.5 在開展全員信息安全培訓(xùn)上

信息管理部門牽頭管理，對公司其他單位、部門自建信息系統(tǒng)的承包實施廠商及人員，統(tǒng)一進行安全教育工作，簽訂了保密協(xié)議，對實施隊伍集中安排工作場所，并進行了單獨的網(wǎng)絡(luò)vlan劃分，保證不同部門的信息系統(tǒng)第三方運維人員能統(tǒng)一遵守信息安全，促進各部門信息安全融合、協(xié)同，為公司信息大安全打下堅定基礎(chǔ)。

3 工作成效

對照2個總體指標和4個具體指標，目前指標完成效果為優(yōu)秀，具體情況為：

主要的信息安全指標，信息安全管理指標：

（1）公司信息化保障體系管理水平得到提升，信息隱患治理得到改進。

（2）公司全員信息安全意識得到加強，信息管理規(guī)范性得到提高。

具體指標上：

①公司信息安全管理中，信息系統(tǒng)事故及故障次數(shù)為0；關(guān)鍵信息安全技術(shù)采用率為100%；信息內(nèi)外網(wǎng)絡(luò)隔離完成率100%；內(nèi)網(wǎng)桌面終端違規(guī)外聯(lián)為0；桌面終端管理率為100%，網(wǎng)站系統(tǒng)未備案為0。廣域網(wǎng)運行率、局域網(wǎng)運行率、信息系統(tǒng)運行率均在99.9%以上。

②安全督查、檢查工作中，未發(fā)現(xiàn)違反國網(wǎng)和公司文件規(guī)定的重大安全問題，或者重要工作措施未落實。

③信息安全隱患或問題及時得到處理和解決。

④IMS等支撐系統(tǒng)中重要信息規(guī)范、完整、更新及時指標較好。