风采Display
信息安全和IT服务体系在电力企业的实施与构建文/赵永彬刘颖
由于国网公司“SG186工程”
的峻工及其深化应用的整体部署，辽宁省电力有限公司（简称“辽宁公司”）将信息安全与信息系统按照“三同步”原则，在近几年的信息安全工作中，基本建立了信息系统安全防护体系，在分区、分级分域防护原则的基础上，将辽宁公司各业务单位的信息系统安全防护划分为边界安全防护、网络环境安全防护、主机系统安全防护及应用安全防护四个层次进行安全防护措施设计。同时，根据信息安全工作的需要，公司制定了相应的信息安全管理制度。
在IT服务的规范化方面，公司从2009年开始建设1T运维管理体系，初步建成了全省信息统一运维管理平台，基本实现了事件管理、问题管理、配置管理、变更管理和发布管理五个核心管理流程，实现了对全省信息化环境的管理调控和安全防护，建立规范化的运维流程和科学评价考核体系，不断提升公司的IT运维水平，全面实现“主业化”运维目标。
一、实施目标
基于辽宁公司业务安全和IT 服务要求，以及国家和电力行业的相关要求，公司提出：依据最
72《认证技术》2012·12 万方数据
新ISMS国际标准ISO/IEC27001： 2005和ITSMS国际标准ISO/IEC 20000-1：2005，建立和实施覆盖辽宁公司所有部门的信息安全和信息技术服务管理体系（ISMS和 ITSMS，以下简称“双体系”）。
降低和减少辽宁公司面临的信息安全风险，从而避免和减少因信息安全风险给公司业务带来的直接或间接的损失
规范IT部门所提供的IT服务，使其标准化、规范化，全面提升辽宁公司内部客户总体的服务体验与满意度。
二、信息安全和IT服务体系的构建
1.采用PDCA模型建立和实施
管理体系
通过整合公司关于信息化工作的组织原则和工作划分，设定了“两套组织架构，一套人马：两个管理手册，一套运行机制”的实施方案，即双体系设置各自独立的组织架构，但是架构设计由同一个领导机构来完成相应的职责；同时，双体系有各自的管理手册，依据公用的管理闭环来运行，保证了两个管理体系的相对独立性和灵活性，实现了双体系的互通互融。通过PDCA四个步骤成为一个闭环，
编辑/孔令欣
通过这个环的不断运转，使信息安全和运维服务管理系统建设得到持续改进，使服务绩效螺旋上升
2.引进国际标准ISO20000的指导思想
全面梳理工作流程，规范事
件管理流程、访问管理流程、告警处理流程、两票管理流程、配置管理流程、缺陷处理流程、系统部署流程、检修流程、紧急抢修流程、容灾业务流程等10个流程，实现了事件、问题、配置、变更和发布管理五个核心管理流程与两个体系的融合。自行开发调度运行管理系统，实现了检修计划上报、审批、执行的检修业务管理流程。形成了手册、制度、文件，记录四层信息安全和 IT服务管理体系文件共157个，整理记录清单90份。五大流程关系见附图。
三、两个体系在电力企业中的应用
1.形成“两票一单”管理制度辽宁公司借鉴电业安全生产保
证体系中最基本的制度“两票三制”的成功经验，结合IT服务管理体系制订了“两票一单” 制度（工作票、操作票、服务请