3. 核电企业信息安全保障架构设计

　　3.1 信息安全保障架构设计

　　在充分了解核安全文化与信息安全的相似点之后，结合信息安全领域的建设方法以及谷安天下在建立信息安全保障架构的方法论，为核电企业设计如下的信息安全保障架构。

　　我们的信息安全保障架构通过建立四个保障目标(信息安全、系统安全、运行安全、物理安全)，参考四种建设标准(ISO27001、ISO2000、等级保护、风险评估)为总体架构设计奠定了基础，总体架构包含五个主要部分(安全管理、安全组织、安全技术、安全运维、应急恢复)，通过两种监督措施(检查、审计)，实现三道防线的保护(事前控制、事中控制、事后控制)。

　　3.2保障架构与核安全文化的融合

　　为了更加贴近信息安全保障架构与核安全文化的融合，下面我们从安全架构的五个主要组成部分介绍一下它们是如何通过相同和相似之处进行融合的。

　　3.2.1 安全组织

　　信息安全管理组织的建立与核安全文化中提到的“凡事有人负责”有着许多相同的地方，通过建立信息安全组织明确岗位职责，做到了信息安全工作有组织协调管理，有人落实具体工作。

　　我们建立安全组织是确保信息安全决策落实、支持信息安全工作开展的基础。信息安全组织建设的目的主要是通过构建和完善信息安全组织架构，明确不同安全组织、不同安全角色的定位、职责以及相互关系，强化信息安全的专业化管理，实现对信息安全风险的有效控制。

　　3.2.2 安全管理

　　核安全文化中提到了“程序管理”、“凡事有章可循”，这些内容都是说明建立安全管理，必须要将现有和即将制定的安全管理制度通过落实到文件的形式固化下来，这样在执行的过程中才能够有依据，所以我们建立安全管理体系的目的也是通过制定出一套完整的信息安全管理体系文件来提高全企业的信息安全管理水平。

　　我们提供的安全管理即建立信息安全管理体系(简称“ISMS”)是整体安全建设的一部分，也是信息化管理中的重要一环。信息安全管理体系是信息安全策略、组织、运作、技术体系标准化、制度化后形成的一整套信息安全的管理规范。我们在结合ISO27001国际标注与国际原子能机构(IAEA)建立ISMS的最佳实践基础上提出15个域的信息安全管理体系建设方法。

　　3.2.3 安全运维

　　核安全思想中，对安全运维的要求也非常高，这是保证电厂能够稳定工作的重要条件。因此建立同样的信息安全运维保障体系也是要提高集团的信息安全运维水平，这与“凡事有人负责”，“凡事有据可查”，“凡事有人监督”的内容都有相似之处。

　　所以安全运维作为整体信息安全保障架构的一部分，它是通过安全的运行管理，结合安全产品和技术，保障对业务应用系统等各方面稳定运行。通过将静态的制度、人员、技术等“点”串联起来形成动态的流程“线”。清晰点明安全运维体系的各项工作的控制和内容，便于理清整体的运维过程。

　　3.2.4 安全技术

　　核安全技术保护中，通过四道屏障保证了反应堆的安全，通过在不同的区域使用不同的技术进行安全控制。

　　安全技术体系正是利用各种安全技术、产品以及工具作为安全管理和运行的落实的重要手段，最终支撑信息安全体系的建设。我们在建立信息安全技术保证体系的过程中同样借鉴了“纵深防御”的思想，通过制定不同的安全等级和过划分不同的安全区域，进行分区域的保护，通过在每个区域中实施各种技术手段实现域内的安全控制。

　　3.2.5 应急恢复

　　在核安全文化中，“核应急”也是保障核安全的重要一环，而在信息安全管理方面应急响应和信息安全事件管理同样也是保证业务持续运行的最后一道重要保障。建立应急保障体系将包括信息安全事件管理规定、应急响应计划建立和业务连续性计划的建立，同时为了保证这些计划能够在事件发生后被有效执行，还需要定期进行演练和测试，以保证计划的有效。

　　4. 总结

　　通过以上的安全保障架构设计可以非常清晰的看出来，只有很好的结合并融入到核安全文化之中所建立的安全保障体系架构才能够更加的贴合核电行业的安全需求实际，也才能够更好的满足客户的需要。相信谷安天下科学、先进的信息安全保障架构建立方法能够为核电企业的信息安全建设带来非常大的帮助。

上一页  [1] [2]