五位一体促管理 管理提升保安全

◆冯 驰

（国网安庆供电公司 安徽 246000）

五位一体促管理 管理提升保安全

◆冯 驰

（国网安庆供电公司 安徽 246000）

通过“五位一体”深化应用工作在公司信息安全工作的顺利推进，全面提高了信息安全管理和运行维护水平，对专项工作中发现的信息隐患和缺陷，分阶段、分重点、分层次地进行采用PDCA持续的闭环整改，多管齐下地加强信息安全持续改进的力度。确保信息安全管理有章可循、执行有力，操作规范，保障公司在“三集五大”体系建设、企业运营、专业管理后，建立健全“职责、流程、制度、标准、考核”五位一体“新机制深入推进，促进各部门信息安全融合、协同，为公司信息大安全打下坚定基础。公司2个总体指标和4个具体指标完成效果优良。

信息；安全；管理；五位一体

0 前言

公司信息网络覆盖有与国网公司互联的三级网、与下属供电公司和变电站互联的广域网、企业内部局域网等“三大板块”。ERP、SG186系统覆盖了办公自、财务、营销、安全、生产等企业生产经营管理“三大领域”。其特点是点多、面广、用户数量大，迫切需要进一步加强信息安全的保障作用，更好地服务于企业朝着国家电网公司提出的“集团化动作、集约化发展、精益化管理、标准化建设”目标迈进。

特别是通过“十一五”、“十二五”以来持续的信息化建设，公司各项业务已与信息化深度融合。“三集五大”体系建设后，更加高度依赖于信息通信的配套建设。公司通过不断加大对信息安全设备的资金投入，信息化安全技术上得到了改进，但信息安全仍面临着诸多新的挑战。

一是机构的调整，人员的变动中，全员的信息安全、保密意识有所松懈，对信息安全工作的长期性、艰巨性、复杂性认识不够，规章制度执行不到位。

二是“三集五大”深化应用体系下的SG-ERP信息安全防范体系尚需提升，一体化企业级信息系统的建设和深化应用，系统结构日益复杂，局部信息安全隐患大有影响到整个系统安全稳定运行的可能；三是新的内、外部信息保密工作，面临的挑战日益增大，如果个别员工有意识或无意识的破坏、泄密，或者个别服务器存在漏洞、服务器和公司用户电脑存在弱口令现象，未及时安装升级补丁，都可能对企业、甚至整个广域网系统造成数据泄密、信息系统停运的恶果。

在逐步加强和规范信息安全管理的同时，具体实践中仍存在一些难点，尚待改进。“三集五大”深化应用工作中，我们发现公司开展的各项信息安全技术工作中，部分信息安全隐患和缺陷，因资金、管理、技术等种种的原因，尚不能做到根本消除；在信息安全整改过程中存在的不严密、不闭环等问题；对信息安全事件的发生，仍无法做到提前防范，信息系统设备缺陷，无法做到超前预警，即使是发现了系统缺陷，在应急措施和处理时效上，仍无法令人满意。

1 主要做法

采用P-D-C-A持续的闭环整改，通过“五位一体”深化应用工作在公司信息安全工作的顺利推进，全面提高信息安全管理和运行维护水平。

1.1 提出主要工作目标（P）

根据“十二五”国网公司《2015年度科技、信息通信业绩考核、同业对标考核细则》，梳理出主要的信息安全管理指标，见表1：

表1 主要的信息安全管理指标

2 增强全员信息安全意识，提高信息管理规范性。

具体的信息安全指标，见表2：

表2 具体信息安全指标

通过以上指标设置，确保信息安全管理和运行维护水平，实现信息安全管理有章可循、执行有力，操作规范，保障公司生产、运行、办公信息系统的持续稳定运行。

1.2 宣贯、推进“五位一体”（D）

公司注重“学”、“用”两个环节的协同开展，构建分级宣贯培训责任体系，及时组织开展全员全方位的“五位一体”培训。宣贯“五位一体”管理理念、典型经验，引导全员积极参与“五位一体”深化应用。

将岗位“岗位标准五大要素”导出，编制了“岗位实际五大要素”比对分析模板，组织员工结合岗位实际，将业务执行情况与“岗位标准五大要素”表中的相关内容进行梳理比对，判断是否一致，不一致的要说明原因，需要整改的要明确整改时限。比对分析结果表经每位员工确认签字。

用“五位一体”方法论指导“基层、基础、基本功”三基方面的稳步提升，将“五位一体”协调机制的相关内容、要求接地气。

依据国网的具体考核指标，紧密结合实际薄弱点和信息安全管理工作要求，切实推动五位一体协调机制的扎根工作，推进“五位一体”在业务末端协同融合。

1.3 考核“五位一体“应用效果（C）

建立健全协同考核的形式和内容，强化基于业务流程的横向考核。对照平台检查业务执行情况，促进员工理清各项业务界面，消除流程短点，实行协同任务“牵头部门主导、分管领导审批、协同配合部门落实、任务全程监控”的运转机制。将协同工作考核全面纳入月度绩效考核指标体系，主管、牵头、配合各部门逐层考核评价，结合月度绩效例会充分沟通反馈，同步公告考核结果。

1.4 持续改进“五位一体”运转机制（A）

以先进经验、先进做法和持续的自主创新进一步优化业务流程，汇总分析实际业务执行流程与“五位一体”执行要素不一致的问题，查找缺失、重叠、冲突点，并制定整改措施及计划，协调解决跨部门、跨专业、跨层级问题整改，最终实现与“五位一体”执行要素的100%一致性。增强专业协同，持续推进“三集五大”体系扎根落地、高效运转。

2 具体案例分析

2.1 在加强信息安全组织领导上

公司通过“五位一体”协同机制深化应用工作，逐步理顺了信息通信管理职能，确保能够更加有效协调推进信息安全推进工作，对原运检部、调控中心、信息通信公司在信息安全工作的分工进行了优化和调整，促进各部门信息安全融合、协同，为公司信息大安全打下坚定基础。

公司再次明确“一把手”是信息安全第一责任人，成立了信息化工作领导小组，本着“谁主管谁负责、谁运营谁负责”的原则，按照“三个百分之百”的要求，把信息安全责任落实到每项工作的管理者、组织者、实施者的身上，切实做到组织、人员、管理、技术、责任“四到位”，切实提高信息安全工作的执行力，自觉加强对信息安全工作的监督检查、整改、督察工作。

2.2 在统一部署实施信息系统上

图1 信息系统实施过程管理流程

对所有下属单位，在公司统一领导下统筹兼顾，务求实效，在具体工作中主动适应、自觉应用，落实“五位一体”协同机制建设的要求，及时做好信息投资计划，通过统一招标采购，按照“信息系统实施过程管理流程“（见图1）。

2.3 在健全信息安全管理体系工作上

根据公司“五位一体”深化应用方案，及时修订发布了信息管理、运行维护等文件，梳理出系统管理手册。规范了信息资产、问题故障、运行分析、查询统计等管理模式。使系统的资源、系统、身份、网络的接入、运行、资产统计等工作有序开展。

陆续编写，修订的制度，为便于整理，分为管理类制度、运维类技术文档。梳理情况如下：

2.3.1 管理类制度

（1）法律类

全体员工签订《信息安全保密协议》，外来人员签订《信息安全协议》、明确规定了保密的义务及违约的责任。

（2）控制类

为控制包含重要信息处理设施的区域，如机房、保密的安全，制定了《安全区域控制程序》、《信息工作票制度》、等制度，对安全区域的访问进行授权，并对其安全周界实施保护；系统故障的控制，使系统故障风险最小化，制订了系统策划与验收类管理规定，包括：《信息系统建设管理规定》等；信息安全事件的控制：为对各类信息安全事件进行管理制订了《信息系件安全管理程序》等。

2.3.2 运维类技术文档

（1）软件完整性控制

为保护软件和信息的完整性，制订了各类防范类管理规定，包括硬件设备的控制：《信息处理设施控制程序》、《交换机设备维护作业指导书》、《防火墙设备维护作业指导书》等，以防止资产的损失、损坏或丢失及业务活动的中断。

（2）应急预案

按照国网格式发布《网络与信息系统突发事件处置应急预案》等4个重要预案，及以往历年建立的重要应用系统的管理文件与应急预案，制订了系统的维护管理规定和应用控制程序，并重点修订了应急预案，明确了系统在出现异常状况时的处理步骤，确保能在最短时间内恢复应用。

2.4 在实施信息系统切换的安全评估工作上

结合“五位一体”深化应用的安全评估流程，公司对原“三集五大”建成的主要系统，开展了信息安全风险评估工作，对信息安全现状进行了科学的评估，提出了信息安全加固指导意见。为确保公司小型机的安全退役，以及退役后老营销系统数据接口问题的解决，邀请第三方单位，依据《国家电网公司信息安全风险评估管理暂行办法》、《国家电网公司信息安全风险评估实施指南》和《国家电网公司信息安全风险评估实施细则》，进行了系统的风险防范和应急准备工作，使信息安全风险评估了常态化、制度化、规范化，而且本次系统顺利安全切换、安全退出。

2.5 在开展全员信息安全培训上

信息管理部门牵头管理，对公司其他单位、部门自建信息系统的承包实施厂商及人员，统一进行安全教育工作，签订了保密协议，对实施队伍集中安排工作场所，并进行了单独的网络vlan划分，保证不同部门的信息系统第三方运维人员能统一遵守信息安全，促进各部门信息安全融合、协同，为公司信息大安全打下坚定基础。

3 工作成效

对照2个总体指标和4个具体指标，目前指标完成效果为优秀，具体情况为：

主要的信息安全指标，信息安全管理指标：

（1）公司信息化保障体系管理水平得到提升，信息隐患治理得到改进。

（2）公司全员信息安全意识得到加强，信息管理规范性得到提高。

具体指标上：

①公司信息安全管理中，信息系统事故及故障次数为0；关键信息安全技术采用率为100%；信息内外网络隔离完成率100%；内网桌面终端违规外联为0；桌面终端管理率为100%，网站系统未备案为0。广域网运行率、局域网运行率、信息系统运行率均在99.9%以上。

②安全督查、检查工作中，未发现违反国网和公司文件规定的重大安全问题，或者重要工作措施未落实。

③信息安全隐患或问题及时得到处理和解决。

④IMS等支撑系统中重要信息规范、完整、更新及时指标较好。