電力信息安全管理體系應(yīng)用及發(fā)展研究

2013-11-27 15:47:53 智能電網(wǎng)知識(shí)庫網(wǎng)　點(diǎn)擊量：評(píng)論 (0)

摘要信息安全管理體系作為組織對(duì)信息安全工作實(shí)施管理的有效方法之一，在信息安全領(lǐng)域獲得了廣泛的應(yīng)用。本文從信息安全管理體系的特點(diǎn)出發(fā)，基于風(fēng)險(xiǎn)管理和持續(xù)改進(jìn)的思想，從實(shí)踐出發(fā)，提出了行之有效的實(shí)

管理體系運(yùn)行的效果很大程度上取決于風(fēng)險(xiǎn)管理方法的適宜性和有效性。

2.2 信息安全管理體系的持續(xù)改進(jìn)機(jī)制

信息安全管理體系的一個(gè)突出特點(diǎn)是持續(xù)改進(jìn)，通過體系的建設(shè)，可以有效實(shí)現(xiàn)信息安全工作的持續(xù)改進(jìn)，不斷提高信息安全的防護(hù)水平和能力，應(yīng)對(duì)不斷涌現(xiàn)的新的信息安全威脅。

信息安全管理體系的持續(xù)改進(jìn)機(jī)制主要體現(xiàn)在下列方面：

(1)過程方法

在管理活動(dòng)中，過程單元是控制的基本要素，過程方法已成為管理活動(dòng)的基本方法，研究過程之間的相互聯(lián)系和作用，有利于對(duì)這些過程進(jìn)行有效的、連續(xù)的控制，從而確保整體管理的有效性。過程方法模型如圖1所示。

圖1 過程方法模型

為使組織有效運(yùn)作，必須識(shí)別和管理眾多相互關(guān)聯(lián)的活動(dòng)，通過使用資源和管理，將輸入轉(zhuǎn)化為輸出的活動(dòng)可視為過程。通常，一個(gè)過程的輸出直接形成下一個(gè)過程的輸入。而過程方法則是指組織內(nèi)諸過程的系統(tǒng)的應(yīng)用，連同這些過程的識(shí)別和相互作用及其管理。

(2)PDCA循環(huán)

PDCA模型又叫戴明環(huán)，是管理學(xué)中的一個(gè)通用模型，如圖2所示。

圖2 PDCA模型PDCA模型在實(shí)施時(shí)，呈現(xiàn)出如下特點(diǎn)：

1)循環(huán)進(jìn)行

2)相互嵌套

3)不斷改進(jìn)

(3)內(nèi)部審核

信息安全管理體系內(nèi)部審核的總目標(biāo)是以規(guī)定的時(shí)間間隔(一般不超過一年)檢查信息安全管理體系的各方面是否按預(yù)期功能運(yùn)行。審核的次數(shù)應(yīng)按計(jì)劃進(jìn)行，使得審核工作能均勻地分布在所確定的期間。當(dāng)信息安全管理體系有重大變化或發(fā)生重大不符合項(xiàng)時(shí)，要增加審核頻次。

(4)管理評(píng)審

信息安全管理體系管理評(píng)審是管理者按照計(jì)劃的時(shí)間間隔組織實(shí)施的信息安全管理體系的評(píng)審，其目標(biāo)是要檢查信息安全管理體系是否有效，識(shí)別可以改進(jìn)的地方，并采取措施，以保證信息安全管理體系保持持續(xù)的適宜性、充分性和有效性。當(dāng)確定當(dāng)前的安全狀況是滿意時(shí)，為了預(yù)見未來信息安全管理體系的變化和確保其持續(xù)的有效性，注意力應(yīng)放在變化中的技術(shù)與業(yè)務(wù)要求、新威脅與脆弱性的攻擊上。

(5)糾正和預(yù)防措施

首先應(yīng)該認(rèn)識(shí)到糾正與糾正措施的區(qū)別：糾正是指為消除已發(fā)現(xiàn)的不符合所采取的措施，而糾正措施是指為消除已發(fā)現(xiàn)的不符合或其他不期望情況的原因所采取的措施，其目的是消除不符合的原因，防止不符合項(xiàng)的再次發(fā)生。采取糾正措施的范圍和程度要根據(jù)不符合項(xiàng)對(duì)組織的綜合影響程度而定，包括風(fēng)險(xiǎn)、利益和投入成本等，要評(píng)價(jià)確保不符合項(xiàng)不再發(fā)生的措施需求。

2.3 信息安全管理體系的實(shí)施方法

組織需要信息安全，一方面是業(yè)務(wù)連續(xù)性發(fā)展的要求，另一方面是適用的法律法規(guī)和標(biāo)準(zhǔn)的要求。這些要求是不斷發(fā)展和變化的，組織必須持續(xù)的增強(qiáng)其信息安全能力和改進(jìn)其信息安全水平以滿足不斷發(fā)展的信息安全要求。

信息安全管理體系方法指導(dǎo)組織分析信息安全要求，識(shí)別和規(guī)定相關(guān)過程，并使其持續(xù)受控，以實(shí)現(xiàn)組織能接受的信息安全目標(biāo)。信息安全管理體系提供持續(xù)改進(jìn)的框架，以增強(qiáng)組織信息安全能力，同時(shí)向組織的其它利益相關(guān)方提供信心和信任。信息安全管理體系的實(shí)施方法應(yīng)重點(diǎn)關(guān)注下列三個(gè)方面：

1)應(yīng)用PDCA模型

在信息安全管理體系的建設(shè)過程中，應(yīng)用PDCA模型，可以有效規(guī)范各類活動(dòng)的階段性，充分體現(xiàn)其持續(xù)改進(jìn)機(jī)制，最大程度發(fā)揮信息安全管理體系的特點(diǎn)

責(zé)任編輯：和碩涵

免責(zé)聲明：本文僅代表作者個(gè)人觀點(diǎn)，與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，請(qǐng)讀者僅作參考，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。

我要收藏

個(gè)贊