楚雄供電局信息安全管理體系建設(shè)項(xiàng)目于2013年3月正式啟動，并于2014年7月通過了中國信息安全認(rèn)證中心信息安全管理體系初次外部認(rèn)證審核，取得認(rèn)證證書。

該局信息安全管理體系建設(shè)以風(fēng)險評估的結(jié)果為基礎(chǔ)，參考ISO27001標(biāo)準(zhǔn)11個控制域、39個控制目標(biāo)、130項(xiàng)控制措施，建立方針、管理手冊、業(yè)務(wù)技術(shù)指導(dǎo)書和記錄四級信息安全管理體系文件。使楚雄供電局的信息安全在策略、組織、運(yùn)行、技術(shù)以及應(yīng)急恢復(fù)方面得到保障，把風(fēng)險控制到組織可接受的水平。據(jù)悉，體系建設(shè)分為前期準(zhǔn)備階段、調(diào)研及差距分析階段、資產(chǎn)識別與風(fēng)險評估、體系策劃與編制階段、體系實(shí)施階段、體系審核階段等六個階段。楚雄供電局于2014年5月開展信息安全管理體系第一階段和第二階段外審工作； 5月27-28日局信息中心對體系第二階段審核發(fā)現(xiàn)的2個一般不符合項(xiàng)進(jìn)行整改，中國信息安全認(rèn)證中心已統(tǒng)一推薦認(rèn)證；6月楚雄供電局順利通過信息安全管理體系認(rèn)證，取得楚雄供電局信息安全管理體系認(rèn)證證書。

通過信息安全管理體系的有效實(shí)施、運(yùn)作、維護(hù)和完善，楚雄供電局把ISO27001 的要求引入到業(yè)務(wù)流程，使現(xiàn)有的業(yè)務(wù)運(yùn)作更加符合安全規(guī)范，減少流程和操作過程帶來的安全風(fēng)險，提高企業(yè)對內(nèi)部威脅和外部威脅的風(fēng)險防范能力，增強(qiáng)業(yè)務(wù)的可持續(xù)性并將損失降到最低程度。（何花）