內(nèi)蒙古電力公司作為省級管理電網(wǎng)企業(yè)，經(jīng)過近幾年的信息化基礎設施建設，信息化水平穩(wěn)步提高，但信息安全水平仍處于起步階段，面臨著各類信息安全風險。在自身發(fā)展需求和外部推動下，內(nèi)蒙古電力公司迫切需要建立健全信息安全保障體系，全面提升信息安全水平。

1、項目背景

內(nèi)蒙古電力公司作為省級管理電網(wǎng)企業(yè)，經(jīng)過近幾年的信息化基礎設施建設，信息化水平穩(wěn)步提高，但信息安全水平仍處于起步階段，面臨著各類信息安全風險。在自身發(fā)展需求和外部推動下，內(nèi)蒙古電力公司迫切需要建立健全信息安全保障體系，全面提升信息安全水平。

在此背景下，針對管理信息大

區(qū)，內(nèi)蒙古電力公司啟動安全咨詢項目，開展信息安全保障體系的規(guī)劃設計，指導未來3-5年的信息安全保障體系建設工作。

2、解決方案

■  項目目標

內(nèi)蒙古電力公司信息化建設三期安全咨詢項目的項目目標為：

1. 通過開展信息安全體系建設工作，全面識別內(nèi)蒙古電力集團相關業(yè)務系統(tǒng)在信息安全技術層面、信息安全管理層面、信息安全運維層面存在的不足和差距，充分借鑒國內(nèi)信息安全實踐和成熟的理論模型，設計合理的信息安全保障體系，從而保證業(yè)務系統(tǒng)能夠長期穩(wěn)定運行和不斷完善和發(fā)展，適應內(nèi)蒙古電力集團不斷擴展的業(yè)務應用和管理需求。

2. 根據(jù)ISO20000和ISO27001認證體系流程，對內(nèi)蒙古電力信息通信分公司信息機房開展信息技術服務管理體系的建設輔導，對內(nèi)蒙古電力信息通信分公司開展信息安全管理體系建設輔導，并協(xié)助其完成ISO20000和ISO27001體系認證，獲得《信息技術服務管理體系認證證書》和《信息安全管理體系認證證書》。

基于上述項目目標，結合項目具體實施內(nèi)容，制定項目個性化的實施路線，如下圖所示：

■  核心內(nèi)容

1. 信息安全保障體系規(guī)劃

依據(jù)國家信息安全等級保護、ISO/IEC 27001及ISO/IEC 20000等信息安全標準規(guī)范，參考銀行業(yè)、電信行業(yè)信息安全保障體系的最佳實踐，結合管理信息大區(qū)信息安全現(xiàn)狀診斷成果，在保障信息安全體系合規(guī)的基礎要求下，融合新型網(wǎng)絡攻擊解決方案，從全體系、全覆蓋角度，整合內(nèi)蒙古電力公司管理信息大區(qū)人員、設備、信息、環(huán)境、流程等各項因素，對內(nèi)蒙古電力公司管理信息大區(qū)信息安全保障體系進行規(guī)劃，所規(guī)劃的信息安全保障體系從三個層次體現(xiàn)：

▲  信息安全合規(guī)保障

安全合規(guī)是信息安全保障體系的根基及前提。通過構建“一個中心、三重防護”實現(xiàn)信息安全技術保障體系的建設；參考ISO/IEC 27001及ISO/IEC 20000，采用PDCA模型動態(tài)構建信息安全管理及運維體系，以實現(xiàn)人員、技術、操作三要素的緊密結合，為內(nèi)蒙古電力公司管理信息大區(qū)信息系統(tǒng)提供基礎合規(guī)體系化的安全防護能力，確保系統(tǒng)安全運行。

▲  信息安全自適應保障（下一代防御體系）

為了幫助內(nèi)蒙古電力公司管理信息大區(qū)信息系統(tǒng)抵御目前層出不窮的諸如APT攻擊、大規(guī)模分布式DDOS攻擊等新型攻擊或威脅，在信息安全合規(guī)保障體系的基礎上，建立防御-檢測-響應-預測的信息安全自適應保障體系。

運用大數(shù)據(jù)分析技術，建立安全策略可視化平臺，重點解決業(yè)務網(wǎng)絡中存在的安全不可視、不可管、被動不可控的現(xiàn)狀，讓不懂安全的人看透安全，同時解決管理技術運行體系矛盾、安全運維效率低等信息安全合規(guī)保障體系無法解決的問題。在此基礎上，實現(xiàn)諸APT防御能力、安全取證能力、業(yè)務性能分析能力、安全態(tài)勢預警能力等新型安全能力的疊加，整體提升其應對新型攻擊及威脅的信息安全防護能力，使信息安全保障體系具備響應預警能力，并實現(xiàn)安全事件追溯和風險預測。

▲  業(yè)務風險治理

信息安全保障體系的建設歸根到底是為了保障業(yè)務安全，內(nèi)蒙古電力公司管理信息大區(qū)信息安全保障體系的第三個層次，即對業(yè)務風險治理體系的設計。借助定制開發(fā)的業(yè)務安全管控平臺，將風險防控嵌入日常業(yè)務流程中，對業(yè)務流程進行梳理，制定業(yè)務合規(guī)操作指引，通過業(yè)務合規(guī)操作指引規(guī)范員工日常業(yè)務活動，規(guī)避不合規(guī)而產(chǎn)生的業(yè)務風險、財務風險、運營風險等，形成業(yè)務風險防范、合規(guī)管理和法律監(jiān)督的一體化業(yè)務合規(guī)治理體系。不僅為業(yè)務發(fā)展提供安全保障，更能從內(nèi)部升華業(yè)務需求，使其業(yè)務發(fā)展走在電力行業(yè)前沿。

2. ISO/IEC 27001及ISO/IEC 20000認證

根據(jù)評審通過的信息安全保障體系設計方案，開展ISMS及ITSMS融合體系的建設及落地工作，融合體系采用如下模型開展建設工作：

其中融合體系文件架構如下圖所示：

按照文件的控制要求對體系進行審核、批準并發(fā)布實施，體系正式運行3個月，開展體系認證工作，并獲取成ISO/IEC 27001及ISO/IEC 20000認證證書。

3、應用價值

內(nèi)蒙古電力公司信息安全發(fā)展滯后于信息化，本項目的開展為內(nèi)蒙古電力公司管理信息大區(qū)信息安全保障體系的建設實施提供了實施藍圖及建設計劃，從而提升了以下三個方面的能力：

■  ISO/IEC 27001及ISO/IEC 20000證書的獲取，標志著內(nèi)蒙古電力公司已經(jīng)建立起一套科學有效的信息安全管理體系及IT服務管理體系，服務于內(nèi)蒙古電力公司的信通中心具備規(guī)范及持續(xù)優(yōu)化的信息化及信息安全服務水平。

■  通過外部專家評審的管理信息大區(qū)信息安全保障體系在合規(guī)保障體系的基礎上創(chuàng)造性地提出了自適應安全能力疊加的理念，使所規(guī)劃的信息安全保障體系在滿足安全合規(guī)、落地可執(zhí)行的基礎上，具備信息安全策略可視、可管、可控、可持續(xù)，風險管理精細化，信息安全防御主動化，智能化的能力，具備先進性。

■  安全不應該成為信息化發(fā)展的瓶頸，本項目將業(yè)務風險治理納入信息安全保障體系中，通過實施業(yè)務風險治理，實現(xiàn)業(yè)務合規(guī)，同時從內(nèi)部升華業(yè)務需求，實現(xiàn)業(yè)務的發(fā)展。