风采，Display
上海电力信息安全体系的
建设与实践 O文/卢士达
电力行业是国家的基础和支柱行业，也是关乎国计民生的重要行业，经过近年来的信息化建设，上海电力已建成了以电力营销系统、企业资源计划（ERP）、电力生产管理系统等为核心的一批信息系统。信息系统的安全可靠运行，直接影响电力生产工作，信息系统安全已经从单一的IT系统安全转变为电力安全生产的重要组成部分。
上海电力逐步引进ISO 27001，建立立足于国际标准并结合上海电力自身特色的信息安全管理体系，以提高电力生产经营的安全性，提高公司在系统安全管理方面的可信任度，为上海电力的安全稳定运行提供有利的保障。
一、上海电力信息安全管理面临的主要问题
在深入分析信息系统运行制度之后，上海电力认为，信息安全管理主要面临如下几个方面的问题。
1.信息安全管理形态还主要以“事件驱动”和“技术驱动”为主，未真正转变为以“流程驱动”
乃至“风险驱动”。片证持准》2011·06
2.在公司范围内建立了一批信息安全管理制度，但缺乏统一的信息安全管理规范，存在文件制度重复、冲突、引用不清的问题。
3.初步建立了信息安全管理组织，但组织架构职能不清，角色分工，职责落实矛盾突出。
4.缺乏对信息安全“全寿命周期”的管理。
5.员工信息安全意识函待提高，对合作单位和第三方人员缺乏足够的规范约束。
6.信息资产定位不清，缺乏有效规范的赋值标准。
7.重技术、轻管理，未能真正形成技术为管理服务，体系化的信息安全管理方针。
上述7个问题不仅是上海电力垂待解决的问题，也是电力行业推进信息安全管理工作的难点。
二、信息安全体系建设方法与过程
1.体系建设方法论
上海电力的信息安全体系建设起步于2006年，在引入信息安全风险评估机制的基础上，全面
编辑／肖秀玲
跟踪BS7799、ISO17799、ISO 27000标准的发展，此后的3年内，不断评估上海电力信息安全管理现状，每年均编制形成《上海电力信息安全体系建设差异性分析报告》，充分了解自身存在的不足和改进的方向和目标。在体系建设的过程中，遵从成熟的管理体系实施方法—PROC过程模型（PreparationRealization Operation-Certification），得出一套切实可行的方法论，以符合体系建设过程实施的要求。通过 PROC模式将整个信息安全管理体系建设项目划分成四个阶段，包含若干项关键的活动，如果每项具有前后关联关系的活动都能很好地完成，最终就能建立起有效的信息安全管理体系（ISMS），实现信息安全建设整体蓝图。
2.体系建设过程
上海电力的信息安全体系建设遵从标准化的建设思路和步骤，大致分为以下几个步骤。
（1）系统规划
系统规划主要是明确上海电力信息安全的目标、范围和政