◆馮 馳

（國網(wǎng)安慶供電公司 安徽 246000）

五位一體促管理 管理提升保安全

◆馮 馳

（國網(wǎng)安慶供電公司 安徽 246000）

通過“五位一體”深化應(yīng)用工作在公司信息安全工作的順利推進(jìn)，全面提高了信息安全管理和運(yùn)行維護(hù)水平，對專項(xiàng)工作中發(fā)現(xiàn)的信息隱患和缺陷，分階段、分重點(diǎn)、分層次地進(jìn)行采用PDCA持續(xù)的閉環(huán)整改，多管齊下地加強(qiáng)信息安全持續(xù)改進(jìn)的力度。確保信息安全管理有章可循、執(zhí)行有力，操作規(guī)范，保障公司在“三集五大”體系建設(shè)、企業(yè)運(yùn)營、專業(yè)管理后，建立健全“職責(zé)、流程、制度、標(biāo)準(zhǔn)、考核”五位一體“新機(jī)制深入推進(jìn)，促進(jìn)各部門信息安全融合、協(xié)同，為公司信息大安全打下堅定基礎(chǔ)。公司2個總體指標(biāo)和4個具體指標(biāo)完成效果優(yōu)良。

信息；安全；管理；五位一體

0 前言

公司信息網(wǎng)絡(luò)覆蓋有與國網(wǎng)公司互聯(lián)的三級網(wǎng)、與下屬供電公司和變電站互聯(lián)的廣域網(wǎng)、企業(yè)內(nèi)部局域網(wǎng)等“三大板塊”。ERP、SG186系統(tǒng)覆蓋了辦公自、財務(wù)、營銷、安全、生產(chǎn)等企業(yè)生產(chǎn)經(jīng)營管理“三大領(lǐng)域”。其特點(diǎn)是點(diǎn)多、面廣、用戶數(shù)量大，迫切需要進(jìn)一步加強(qiáng)信息安全的保障作用，更好地服務(wù)于企業(yè)朝著國家電網(wǎng)公司提出的“集團(tuán)化動作、集約化發(fā)展、精益化管理、標(biāo)準(zhǔn)化建設(shè)”目標(biāo)邁進(jìn)。

特別是通過“十一五”、“十二五”以來持續(xù)的信息化建設(shè)，公司各項(xiàng)業(yè)務(wù)已與信息化深度融合?！叭宕蟆斌w系建設(shè)后，更加高度依賴于信息通信的配套建設(shè)。公司通過不斷加大對信息安全設(shè)備的資金投入，信息化安全技術(shù)上得到了改進(jìn)，但信息安全仍面臨著諸多新的挑戰(zhàn)。

一是機(jī)構(gòu)的調(diào)整，人員的變動中，全員的信息安全、保密意識有所松懈，對信息安全工作的長期性、艱巨性、復(fù)雜性認(rèn)識不夠，規(guī)章制度執(zhí)行不到位。

二是“三集五大”深化應(yīng)用體系下的SG-ERP信息安全防范體系尚需提升，一體化企業(yè)級信息系統(tǒng)的建設(shè)和深化應(yīng)用，系統(tǒng)結(jié)構(gòu)日益復(fù)雜，局部信息安全隱患大有影響到整個系統(tǒng)安全穩(wěn)定運(yùn)行的可能；三是新的內(nèi)、外部信息保密工作，面臨的挑戰(zhàn)日益增大，如果個別員工有意識或無意識的破壞、泄密，或者個別服務(wù)器存在漏洞、服務(wù)器和公司用戶電腦存在弱口令現(xiàn)象，未及時安裝升級補(bǔ)丁，都可能對企業(yè)、甚至整個廣域網(wǎng)系統(tǒng)造成數(shù)據(jù)泄密、信息系統(tǒng)停運(yùn)的惡果。

在逐步加強(qiáng)和規(guī)范信息安全管理的同時，具體實(shí)踐中仍存在一些難點(diǎn)，尚待改進(jìn)?！叭宕蟆鄙罨瘧?yīng)用工作中，我們發(fā)現(xiàn)公司開展的各項(xiàng)信息安全技術(shù)工作中，部分信息安全隱患和缺陷，因資金、管理、技術(shù)等種種的原因，尚不能做到根本消除；在信息安全整改過程中存在的不嚴(yán)密、不閉環(huán)等問題；對信息安全事件的發(fā)生，仍無法做到提前防范，信息系統(tǒng)設(shè)備缺陷，無法做到超前預(yù)警，即使是發(fā)現(xiàn)了系統(tǒng)缺陷，在應(yīng)急措施和處理時效上，仍無法令人滿意。

1 主要做法

采用P-D-C-A持續(xù)的閉環(huán)整改，通過“五位一體”深化應(yīng)用工作在公司信息安全工作的順利推進(jìn)，全面提高信息安全管理和運(yùn)行維護(hù)水平。

1.1 提出主要工作目標(biāo)（P）

根據(jù)“十二五”國網(wǎng)公司《2015年度科技、信息通信業(yè)績考核、同業(yè)對標(biāo)考核細(xì)則》，梳理出主要的信息安全管理指標(biāo)，見表1：

表1 主要的信息安全管理指標(biāo)

2 增強(qiáng)全員信息安全意識，提高信息管理規(guī)范性。

具體的信息安全指標(biāo)，見表2：

表2 具體信息安全指標(biāo)

通過以上指標(biāo)設(shè)置，確保信息安全管理和運(yùn)行維護(hù)水平，實(shí)現(xiàn)信息安全管理有章可循、執(zhí)行有力，操作規(guī)范，保障公司生產(chǎn)、運(yùn)行、辦公信息系統(tǒng)的持續(xù)穩(wěn)定運(yùn)行。

1.2 宣貫、推進(jìn)“五位一體”（D）

公司注重“學(xué)”、“用”兩個環(huán)節(jié)的協(xié)同開展，構(gòu)建分級宣貫培訓(xùn)責(zé)任體系，及時組織開展全員全方位的“五位一體”培訓(xùn)。宣貫“五位一體”管理理念、典型經(jīng)驗(yàn)，引導(dǎo)全員積極參與“五位一體”深化應(yīng)用。

將崗位“崗位標(biāo)準(zhǔn)五大要素”導(dǎo)出，編制了“崗位實(shí)際五大要素”比對分析模板，組織員工結(jié)合崗位實(shí)際，將業(yè)務(wù)執(zhí)行情況與“崗位標(biāo)準(zhǔn)五大要素”表中的相關(guān)內(nèi)容進(jìn)行梳理比對，判斷是否一致，不一致的要說明原因，需要整改的要明確整改時限。比對分析結(jié)果表經(jīng)每位員工確認(rèn)簽字。

用“五位一體”方法論指導(dǎo)“基層、基礎(chǔ)、基本功”三基方面的穩(wěn)步提升，將“五位一體”協(xié)調(diào)機(jī)制的相關(guān)內(nèi)容、要求接地氣。

依據(jù)國網(wǎng)的具體考核指標(biāo)，緊密結(jié)合實(shí)際薄弱點(diǎn)和信息安全管理工作要求，切實(shí)推動五位一體協(xié)調(diào)機(jī)制的扎根工作，推進(jìn)“五位一體”在業(yè)務(wù)末端協(xié)同融合。

1.3 考核“五位一體“應(yīng)用效果（C）

建立健全協(xié)同考核的形式和內(nèi)容，強(qiáng)化基于業(yè)務(wù)流程的橫向考核。對照平臺檢查業(yè)務(wù)執(zhí)行情況，促進(jìn)員工理清各項(xiàng)業(yè)務(wù)界面，消除流程短點(diǎn)，實(shí)行協(xié)同任務(wù)“牽頭部門主導(dǎo)、分管領(lǐng)導(dǎo)審批、協(xié)同配合部門落實(shí)、任務(wù)全程監(jiān)控”的運(yùn)轉(zhuǎn)機(jī)制。將協(xié)同工作考核全面納入月度績效考核指標(biāo)體系，主管、牽頭、配合各部門逐層考核評價，結(jié)合月度績效例會充分溝通反饋，同步公告考核結(jié)果。

1.4 持續(xù)改進(jìn)“五位一體”運(yùn)轉(zhuǎn)機(jī)制（A）

以先進(jìn)經(jīng)驗(yàn)、先進(jìn)做法和持續(xù)的自主創(chuàng)新進(jìn)一步優(yōu)化業(yè)務(wù)流程，匯總分析實(shí)際業(yè)務(wù)執(zhí)行流程與“五位一體”執(zhí)行要素不一致的問題，查找缺失、重疊、沖突點(diǎn)，并制定整改措施及計劃，協(xié)調(diào)解決跨部門、跨專業(yè)、跨層級問題整改，最終實(shí)現(xiàn)與“五位一體”執(zhí)行要素的100%一致性。增強(qiáng)專業(yè)協(xié)同，持續(xù)推進(jìn)“三集五大”體系扎根落地、高效運(yùn)轉(zhuǎn)。

2 具體案例分析

2.1 在加強(qiáng)信息安全組織領(lǐng)導(dǎo)上

公司通過“五位一體”協(xié)同機(jī)制深化應(yīng)用工作，逐步理順了信息通信管理職能，確保能夠更加有效協(xié)調(diào)推進(jìn)信息安全推進(jìn)工作，對原運(yùn)檢部、調(diào)控中心、信息通信公司在信息安全工作的分工進(jìn)行了優(yōu)化和調(diào)整，促進(jìn)各部門信息安全融合、協(xié)同，為公司信息大安全打下堅定基礎(chǔ)。

公司再次明確“一把手”是信息安全第一責(zé)任人，成立了信息化工作領(lǐng)導(dǎo)小組，本著“誰主管誰負(fù)責(zé)、誰運(yùn)營誰負(fù)責(zé)”的原則，按照“三個百分之百”的要求，把信息安全責(zé)任落實(shí)到每項(xiàng)工作的管理者、組織者、實(shí)施者的身上，切實(shí)做到組織、人員、管理、技術(shù)、責(zé)任“四到位”，切實(shí)提高信息安全工作的執(zhí)行力，自覺加強(qiáng)對信息安全工作的監(jiān)督檢查、整改、督察工作。

2.2 在統(tǒng)一部署實(shí)施信息系統(tǒng)上

圖1 信息系統(tǒng)實(shí)施過程管理流程

對所有下屬單位，在公司統(tǒng)一領(lǐng)導(dǎo)下統(tǒng)籌兼顧，務(wù)求實(shí)效，在具體工作中主動適應(yīng)、自覺應(yīng)用，落實(shí)“五位一體”協(xié)同機(jī)制建設(shè)的要求，及時做好信息投資計劃，通過統(tǒng)一招標(biāo)采購，按照“信息系統(tǒng)實(shí)施過程管理流程“（見圖1）。

2.3 在健全信息安全管理體系工作上

根據(jù)公司“五位一體”深化應(yīng)用方案，及時修訂發(fā)布了信息管理、運(yùn)行維護(hù)等文件，梳理出系統(tǒng)管理手冊。規(guī)范了信息資產(chǎn)、問題故障、運(yùn)行分析、查詢統(tǒng)計等管理模式。使系統(tǒng)的資源、系統(tǒng)、身份、網(wǎng)絡(luò)的接入、運(yùn)行、資產(chǎn)統(tǒng)計等工作有序開展。

陸續(xù)編寫，修訂的制度，為便于整理，分為管理類制度、運(yùn)維類技術(shù)文檔。梳理情況如下：

2.3.1 管理類制度

（1）法律類

全體員工簽訂《信息安全保密協(xié)議》，外來人員簽訂《信息安全協(xié)議》、明確規(guī)定了保密的義務(wù)及違約的責(zé)任。

（2）控制類

為控制包含重要信息處理設(shè)施的區(qū)域，如機(jī)房、保密的安全，制定了《安全區(qū)域控制程序》、《信息工作票制度》、等制度，對安全區(qū)域的訪問進(jìn)行授權(quán)，并對其安全周界實(shí)施保護(hù)；系統(tǒng)故障的控制，使系統(tǒng)故障風(fēng)險最小化，制訂了系統(tǒng)策劃與驗(yàn)收類管理規(guī)定，包括：《信息系統(tǒng)建設(shè)管理規(guī)定》等；信息安全事件的控制：為對各類信息安全事件進(jìn)行管理制訂了《信息系件安全管理程序》等。

2.3.2 運(yùn)維類技術(shù)文檔

（1）軟件完整性控制

為保護(hù)軟件和信息的完整性，制訂了各類防范類管理規(guī)定，包括硬件設(shè)備的控制：《信息處理設(shè)施控制程序》、《交換機(jī)設(shè)備維護(hù)作業(yè)指導(dǎo)書》、《防火墻設(shè)備維護(hù)作業(yè)指導(dǎo)書》等，以防止資產(chǎn)的損失、損壞或丟失及業(yè)務(wù)活動的中斷。

（2）應(yīng)急預(yù)案

按照國網(wǎng)格式發(fā)布《網(wǎng)絡(luò)與信息系統(tǒng)突發(fā)事件處置應(yīng)急預(yù)案》等4個重要預(yù)案，及以往歷年建立的重要應(yīng)用系統(tǒng)的管理文件與應(yīng)急預(yù)案，制訂了系統(tǒng)的維護(hù)管理規(guī)定和應(yīng)用控制程序，并重點(diǎn)修訂了應(yīng)急預(yù)案，明確了系統(tǒng)在出現(xiàn)異常狀況時的處理步驟，確保能在最短時間內(nèi)恢復(fù)應(yīng)用。

2.4 在實(shí)施信息系統(tǒng)切換的安全評估工作上

結(jié)合“五位一體”深化應(yīng)用的安全評估流程，公司對原“三集五大”建成的主要系統(tǒng)，開展了信息安全風(fēng)險評估工作，對信息安全現(xiàn)狀進(jìn)行了科學(xué)的評估，提出了信息安全加固指導(dǎo)意見。為確保公司小型機(jī)的安全退役，以及退役后老營銷系統(tǒng)數(shù)據(jù)接口問題的解決，邀請第三方單位，依據(jù)《國家電網(wǎng)公司信息安全風(fēng)險評估管理暫行辦法》、《國家電網(wǎng)公司信息安全風(fēng)險評估實(shí)施指南》和《國家電網(wǎng)公司信息安全風(fēng)險評估實(shí)施細(xì)則》，進(jìn)行了系統(tǒng)的風(fēng)險防范和應(yīng)急準(zhǔn)備工作，使信息安全風(fēng)險評估了常態(tài)化、制度化、規(guī)范化，而且本次系統(tǒng)順利安全切換、安全退出。

2.5 在開展全員信息安全培訓(xùn)上

信息管理部門牽頭管理，對公司其他單位、部門自建信息系統(tǒng)的承包實(shí)施廠商及人員，統(tǒng)一進(jìn)行安全教育工作，簽訂了保密協(xié)議，對實(shí)施隊伍集中安排工作場所，并進(jìn)行了單獨(dú)的網(wǎng)絡(luò)vlan劃分，保證不同部門的信息系統(tǒng)第三方運(yùn)維人員能統(tǒng)一遵守信息安全，促進(jìn)各部門信息安全融合、協(xié)同，為公司信息大安全打下堅定基礎(chǔ)。

3 工作成效

對照2個總體指標(biāo)和4個具體指標(biāo)，目前指標(biāo)完成效果為優(yōu)秀，具體情況為：

主要的信息安全指標(biāo)，信息安全管理指標(biāo)：

（1）公司信息化保障體系管理水平得到提升，信息隱患治理得到改進(jìn)。

（2）公司全員信息安全意識得到加強(qiáng)，信息管理規(guī)范性得到提高。

具體指標(biāo)上：

①公司信息安全管理中，信息系統(tǒng)事故及故障次數(shù)為0；關(guān)鍵信息安全技術(shù)采用率為100%；信息內(nèi)外網(wǎng)絡(luò)隔離完成率100%；內(nèi)網(wǎng)桌面終端違規(guī)外聯(lián)為0；桌面終端管理率為100%，網(wǎng)站系統(tǒng)未備案為0。廣域網(wǎng)運(yùn)行率、局域網(wǎng)運(yùn)行率、信息系統(tǒng)運(yùn)行率均在99.9%以上。

②安全督查、檢查工作中，未發(fā)現(xiàn)違反國網(wǎng)和公司文件規(guī)定的重大安全問題，或者重要工作措施未落實(shí)。

③信息安全隱患或問題及時得到處理和解決。

④IMS等支撐系統(tǒng)中重要信息規(guī)范、完整、更新及時指標(biāo)較好。