2011年第03期，第44卷总第231期
通信技术
Communications Technology
浅淡核电企业ISMS建设
何新华，春增军
（中科华核电技术研究院有限公司信息技术中心，广东深圳518028）
Vo1.44, No. 03,2011
No. 231, Totally
【摘要】简要介绍了核安全文化的起源和特点，核安全文化与信息安全相结合、IS027001信息安全管理体系和国际原子能机构推荐的核机构和核行业的信息安全管理体系（ISMS，InforlationSecurityManagementSystem）体系建设最佳实践模型。并对ISMS体系建设生命周期中的现状调研阶段、资产识别与风险评估阶段、架构设计阶段、总体规划阶段、体系建立阶投、体系试运行阶投，体系认证阶段和体系维护阶段中的主要关键点进行规要分析，供社会各组织进行ISMS体系建设时参考。
【关键词】信息安全管理体系；内审；管理评审；弱性；风险评估
【中图分类号】TP393.08
【文献标识码】A
【文章编号】1002-0802(2011)03-0086-04
DiscussesonISMsConstructionofNuclearPowerEnterprise
HEXin-hua，CHUN Zeng-jun
(Information Technology Center, China Nuclear Technology Research Institute, Shenzhen Guangdong 518028, China)
【Abstract] The origin and character of nuclear safety culture, the nuclear safety culture combined with information security, the IS0 27001 information security management system, and the best practice moldel of ISMS construction used in the nuclear agency and unclear industry recommended by the International Atomic Energy Agency are briefly described, and the key points in the life cycle of the ISMS system consturction, including the current situation investigation phase, assets identification and risk assessment phase, architecture design phase, whole planning phase, systen establish phase, system experimental phase, system authentication phase, systenmaintenance phase, are analyzed. These descriptions and analyses could provide a reference for social organizations in ISMS construction
【Keywords] ISMS;internal audits; management review;vulnerability:risk assessment
0引言
在信息化程度快速提高的今天，社会各组织或机构的各类业务越来越依赖于计算机、网络和信息系统。然而，此类信息资产却遵受到来自组织机构内部和外部的各种威胁。一且信息资产遭到破坏，必将产生不良后果。核电作为一种特殊的清洁型能源，保护信息系统安全，确保信息的机密性、完整性和可用性，使之健康平稳运行是十分重要的。为了防止信息安全事件的发生，通行的做法是通过部署防火增、入侵检测/入侵防范系统、防病毒系统、上网行为管理系统等进行防范。然而，此类技术手段，却无法阻止人因失效所导致的破坏。只有全面提高人员的信息安全意识，将信息安全收稿日期：2010-08-31。
何新华（1975-），男，硕士研究生，工程师，主要研究方向
作者简介：1
为网络与信息安全、编程与密码理论及应用：春增军（1973-），男，博士研究生，高级工程师，主要研究方向为管理科学与工程和信息安全，
86
万方数据
管理纳入到组织或机构的管理体系框架内，建立健全各类信息安全规章制度，将技术手段与管理手段相结合，才能有效地杜绝信息安全事件的发生，保障组织或机构各项业务的有效开展。
1核安全文化简介 1.1核安全文化的起源
核电站的“安全文化”是国际核能界在三里岛和切尔诺贝利事故后，结合“企业文化”的管理思想，提出的这一新的安全管理思想和原则。它是传统的纵深防御原则的扩充，也是安全管理思想的一次重大变革。大亚湾核电站从运行初
安全管理思想上的，即认为设备、人和管理都是可能出现失效的，为把这种失效的可能性减为最小，除提高设备质量人员素质和改进管理外，还必须采取一系列的防范措施，即