电网企业保密与信息安全管理提升研究

1 引言

保密工作历来是党和国家的一项重要工作。在新的历史时期，保密工作关系到深化改革、加快发展、维护稳定和保障民生的工作大局，是保证我国经济社会发展持续健康发展，实现中华民族伟大复兴的重要一环。随着企业信息化建设的不断推进，在为企业业务开展和日常运营带来便利的同时，也使保密管理的对象、领域、内容、手段和环境等发生了很大变化：保密管理的范围不断扩大，涉密载体呈现多样性，涉密活动日益频繁，泄密渠道增多，窃密手段隐蔽性强。这些都对中央企业保密工作提出了新的更高的新要求。新形势下，企业必须将传统的保密工作与信息安全管理紧密结合，探索使两者协同发挥彼此特长和优势的有效途径，互相支持、互为援护，共同构筑企业保密与信息安全的“钢铁长城”。

随着电力企业信息化的不断发展，保密与信息安全所面临的各类风险也同时渗透到电力企业生产、经营的各个方面，信息安全问题已成为影响电力安全生产的重大问题之一。电网企业作为公用事业企业以及关系国民经济命脉和国计民生的能源企业，运转着世界上用户规模巨大的信息系统，承担的保密和信息安全责任十分重大，一旦出现泄密或安全事件，将严重影响到国家经济社会和能源安全。特别是，随着电网企业创新步伐的加快，电网企业的商业秘密也不断增多，各类非密敏感信息数量迅速增长，如果对各类技术、经营信息等不予妥善保护，将严重影响到电网企业的核心竞争力和核心利益。

2 电网企业保密与信息安全管理存在的问题分析

目前，电网企业保密与信息安全工作存在如下主要问题：

一是保密与信息安全工作的战略地位有待加强。目前保密工作在电网企业战略管理中的地位与实际安全需求匹配程度不够，保密工作的战略地位亟待加强。信息化是一把双刃剑，其在为企业发展带来便利和高效的同时，也使企业面临着前所未有的高强度泄密风险。失泄密安全事件一旦发生，不仅会对国家和电网企业造成极大的恶劣影响和损失，而且其损害后果难以挽回和弥补，具有不可逆性。这就决定了电网企业应当将保密与信息安全工作上升到战略决策的高度，在制定和实施电网企业各项发展战略时必须将保密与信息安全工作同时纳入考虑，针对涉密事项制定完善的管理制度和周密的应对方案。

二是保密与信息安全的保护对象亟待扩张。对电网企业而言，国家秘密和商业秘密在日常生产经营中所占比重很小，而在这两类秘密之外，还有着另外一类数量和规模更为庞大、能反映电网企业生产经营状况的关键信息。这类关键信息虽因各种原因无法被界定为国家秘密或商业秘密，但其对电网企业的生存发展同样具有举足轻重的重要作用。当前，大数据等新型理念和方法的传播，使得对数据的收集、汇总、分析变得越来越便利，而藉由数据的逆向推导，竞争对手和意图不良者极可能轻易了解和掌握电网企业运营的全部过程和细节，无异于使电网企业完全暴露在公共视野中，其后果是十分可怕的，必须采取积极措施进行预防和应对。

三是保密与信息安全对新技术领域的管控力度不足。信息化时代，以云计算、物联网、移动互联网等为代表的一大批高新技术得到广泛使用，给信息和数据的传输、存储、使用、分析等各环节带来了革命性变化。新技术的运用固然为企业发展带来便利和助益，但如果缺乏对新技术运用的有效监管，企业面临的失密泄密风险将会以几何级数增长。

四是保密与信息安全与电网企业国际化战略的整合不足。当前，电网企业正积极实行国际化战略，通过参与国际竞争不断提升电网企业的整体经营效益和国际影响力。就保密与信息安全工作而言，电网企业目前尚未针对海外业务形成常态化、规范性的管理制度体系，如不能很好地适应海外业务保密工作的特殊需求，将使电网企业保密工作在整体上存在缺陷和漏洞。保密与信息安全形势是十分严峻的。

五是保密与信息安全的各项制度体系有待进一步完善。电网企业目前已经颁行了一系列关于保密工作的规章制度，现有保密与信息安全管理制度，尤其是针对保护范围的扩张、海外保密与信息安全工作的开展等重要问题，尚缺乏相对应的具体管理制度，电网企业系统内也尚未形成完善的保密与信息安全管理制度、运维体系和技术体系。这些都要求电网企业在下阶段工作中不断进行深度研究和完善。

3 电网企业保密与信息安全工作的提升策略

电网企业保密与信息安全工作的完善在不同阶段的工作重点各有所侧重。从总体上看，保密工作重在建体系、布网络、抓关键、常检查、严考核。因此，为实现保密与信息安全管理的战略目标，构建一体化管理体系，有必要做好如下几方面重点工作。

一是提升电网企业保密与信息安全管理工作的战略地位。在电网企业发展新阶段，电网企业保密与信息安全工作也要迈上新台阶。在继续发挥好保密工作对电网企业发展的“服务和保障”作用的同时，应当根据内外部形势发展，从全局高度重新审视保密与信息安全工作，将其作为电网企业战略体系的重要组成部分。由此，实现与其他重大业务在战略层面的融合对接，从而为各项具体工作的开展、制度的落实奠定坚实基础。

二是构建保密与信息安全一体化管理体系。借鉴资产全寿命周期理论和信息安全管理体系（ISMS），从主动预防、闭环管理、保密与信息安全紧密结合的基本原则出发，电网企业应当构建“横向到底、纵向到边”的一体化管理体系，形成安全网络，将电网企业核心资源、核心业务以及日常运营的全过程均纳入该体系的管控中。以现有组织体系和制度体系为基础和依托，建立起包括安全管理制度、安全运维、安全技术三大模块在内的电网企业保密与信息安全管理框架，落实“人防、物防、技防”的基本要求。对电网企业现有保密与信息安全管理机制进行梳理整合，做到分工合理、责任清晰、周延无缝。加强考核监督，定期或不定期开展保密与信息安全检查，及时发现问题、查找漏洞、弥补缺陷，同时进一步完善考核激励机制，更为注重通过奖惩结合的方式实现对人员行为的规范。探索将保密管理与单位和人员的绩效考核相挂钩的合理途径。

三是拓展保密与信息安全保护对象范围。要强化对关键和重要数据的全生命周期监管，从其产生伊始就采用技术手段进行跟踪保护，制定相应制度规范数据的获取、分析、存储等行为，严格保证对数据的接触和使用在适当范围内进行。要有效防范不当泄露电网企业重要数据的行为，除传统的涉密岗位和涉密人员外，凡因正当工作原因获得电网企业关键或重要信息的人员，均因此而负有保密义务，必须遵守相应制度和守则，严禁泄密。

四是加强对新技术领域的保密与信息安全管理。云计算、云存储、物联网等各类新型信息技术的使用是大势所趋，在享受其带来的便利的同时，更要针对其特点加强保密与信息安全管理。电网企业在采购新技术服务时必须严格审查供应商背景及其提供的保密与信息安全方案，审慎选择外包服务商，明确服务等级责任(SLA)，签订数据保密协议，不盲目信赖供应商，确保新技术服务风险可控[3]。在使用新技术服务时要加强监管，既要确保使用者的使用行为符合规范，也要确保技术服务本身的运行不会产生失密、泄密等情况。严格规范对云技术服务的使用，凡涉及国家秘密、商业秘密以及电网企业关键或重要数据等，一律禁止在系统外部云端进行存储或处理。四是，积极开发电网企业自主的云端技术产品，尤其是私有云的建设，以更好地满足电网企业运营需求、提升服务安全性。

五是强化国际及金融业务领域的保密与信息安全工作。要制定电网企业层面海外业务保密与信息安全的基本管理规定，就该项工作面临的共性问题进行统一规范。应根据不同海外业务类别制定相应的具体管理规定，明确各项业务开展前和开展过程中就保密与信息安全所应采取的措施和方案。而在开展具体业务时，则应当严格按照有关规定评估海外业务保密与信息安全风险，制定相应的海外安全管理制度和事故应对方案，并对各项安全制度的执行情况进行定期检查和严格监督。重点要对驻外机构、人员及业务流程进行严格监管，对机构选址、建设、维护，人员选派、聘用，业务交流、合作等各环节，都要制定细致、严格、系统的管理制度和行为守则，辅之以必要的技术手段，同时定期或不定期开展海外业务保密安全检查，及时发现问题、查找漏洞、弥补缺陷，时时绷紧反泄密、窃密这根弦。

4 主要结论

在保密与信息安全结合日趋紧密的大趋势下，必须充分发挥两项传统工作各自优势，互为支撑、互相协调，探索保密与信息安全管理的新途径。电网企业保密与信息安全管理工作应当与企业整体发展战略和管理体系相协调。为使其在业务体系中更好地发挥作用，电网企业应当积极探索保密与信息安全一体化管理模式，将两项职能进行充分整合，以强化工作力度、提升工作效率。