云南電網(wǎng)信息中心順利通過iso27001認證

　　隨著信息技術(shù)的高速發(fā)展，Internet的問世和網(wǎng)上各種應(yīng)用的普及，信息安全問題日顯突出。系統(tǒng)癱瘓、黑客入侵、病毒感染、網(wǎng)頁改寫、客戶資料的流失及公司內(nèi)部數(shù)據(jù)的泄露等等，這些信息安全問題已給組織或個人帶來了嚴(yán)重的威脅。信息安全已不再是以往簡單認為的IT行業(yè)或大型機構(gòu)的需求，而是一個普遍的各行各業(yè)均面臨的迫切問題，如何確保企業(yè)信息系統(tǒng)的安全?我國云計算仍面臨四大挑戰(zhàn)，其中包括：信息安全法律法規(guī)和監(jiān)管體系不夠健全。在與云計算安全相關(guān)的數(shù)據(jù)及隱私保護、安全管理等方面，中國云計算產(chǎn)業(yè)生態(tài)有著較大缺失。同時，由于對安全的擔(dān)心和其他顧慮，云計算服務(wù)在中國的使用率也比美國等發(fā)達國家要低。

　　通過10月、11月為期兩月的信息安全管理體系認證審核及不符合項整改關(guān)閉工作，2016年11月23日，云南電網(wǎng)信息中心獲得了國家信息安全認證中心頒發(fā)的ISO27001信息安全管理體系認證證書，肯定了信息中心信息安全管理體系建設(shè)的前期工作，同時在信息安全管理層面上，明確了信息中心信息安全管理發(fā)展方向。

　　信息中心信息安全管理體系建設(shè)工作，從2016年3月至今，一共經(jīng)歷了現(xiàn)狀調(diào)研、風(fēng)險評估、體系編制、內(nèi)部審核、安全培訓(xùn)、外部審核六個流程,現(xiàn)狀調(diào)研從4月5日至4月22日，歷時3周。通過資料采集、文檔分析和實地走訪等調(diào)研工作，從制度建設(shè)情況、信息安全戰(zhàn)略、組織與人員、信息安全風(fēng)險管理、工程項目建設(shè)管理、運行和維護安全管理、安全審計與改進管理等方面，摸底信息中心信息安全管理水平，與ISO27001標(biāo)準(zhǔn)進行對標(biāo)分析，得到《現(xiàn)狀調(diào)研與分析報告》、《差距分析報告》及《差距分析表》，確定項目開展的大致方向。

　　通過調(diào)研分析，14個領(lǐng)域，最終達到標(biāo)準(zhǔn)要求的僅有安全方針一個領(lǐng)域，而其他領(lǐng)域僅僅部分符合標(biāo)準(zhǔn)要求，113項控制項中(體系標(biāo)準(zhǔn)2016年9月正式出版2013版本要求，共114項，但9月之前各企業(yè)與認證機構(gòu)均以113項為標(biāo)準(zhǔn))，共有76項達標(biāo)，達標(biāo)率為67%。這也意味著信息中心信息安全管理體系建設(shè)道路任重道遠。

　　風(fēng)險評估從5月9日至6月3日，歷時一個月。基于ISO27001信息安全管理體系認證范圍，針對重要的信息資產(chǎn)進行安全影響、威脅、漏洞及可能性分析，從而估計影響，最終選擇適當(dāng)?shù)姆椒ㄟ_到降低風(fēng)險、消除風(fēng)險、轉(zhuǎn)移風(fēng)險、接受剩余風(fēng)險。在這個階段，信息中心依據(jù)ISO27001信息安全管理標(biāo)準(zhǔn)，制定滿足標(biāo)準(zhǔn)要求的安全評估模型，同時確立風(fēng)險評估流程，并基于流程，開展風(fēng)險評估工作。

　　利用安全漏洞掃描工具、基線配置核查工具、網(wǎng)站安全漏洞掃描工具等商用成熟產(chǎn)品，配合人工滲透測試，對業(yè)務(wù)系統(tǒng)進行了整體的風(fēng)險評估。同時項目小組依據(jù)國內(nèi)外各行業(yè)，總結(jié)整理出一套安全威脅調(diào)研庫，收錄多達130條安全威脅，并根據(jù)各個部門的情況，挑選適合的條目進行基于部分的安全威脅調(diào)查與風(fēng)險評估工作。最終，得到符合要求的《風(fēng)險評估報告》、《漏洞掃描報告》、《基線核查報告》、《應(yīng)用掃描報告》及滲透測試報告。

　　風(fēng)險評估一共囊括了303臺服務(wù)器，38個WEB應(yīng)用系統(tǒng)，基于但不限制于ISO27001的范圍，在提高系統(tǒng)基礎(chǔ)安全的同時，滲透測試共發(fā)現(xiàn)包括系統(tǒng)端口權(quán)限、用戶并發(fā)會話、后臺管理權(quán)限等16類業(yè)務(wù)安全問題。同時，基于資產(chǎn)價值開展的安全威脅調(diào)研工作，從電子數(shù)據(jù)、紙質(zhì)文檔、計算機軟硬件、人員等方面，發(fā)現(xiàn)了信息中心在信息安全管理層面的薄弱點，如由于員工對于信息安全保密分級的不了解，部分文件無法確定文件密級，導(dǎo)致員工不清楚文件泄漏后可能帶來的安全風(fēng)險;準(zhǔn)入系統(tǒng)策略推送失敗，部分系統(tǒng)屏保等基本策略推送不到位可能導(dǎo)致信息泄漏風(fēng)險等。信息中心在對待風(fēng)險的態(tài)度上，秉承著“不怕存在問題，就怕不解決問題”的原則，積極改進，同時，風(fēng)險評估的結(jié)果為之后的信息安全管理體系文件編制打下堅實的基礎(chǔ)。

　　體系策劃與編制從6月8日至7月27日，歷時兩個月。選取ISO27001標(biāo)準(zhǔn)中114個控制點作為控制要求，編寫ISO27001控制點適用于信息中心的適用性聲明文件，同時依據(jù)適用性聲明文件及信息中心文檔管理相關(guān)制度，構(gòu)造信息中心信息安全管理體系文檔框架，并形成一套以“管理指南”命名，向上融合南方電網(wǎng)、云南電網(wǎng)管理體系，向下兼容信息中心信息安全相關(guān)工作的管理體系文件，共17冊。同時于6月27日至7月1日，召集各個部門項目建設(shè)小組成員，開展為期一周的封閉式文件評審工作。同時在7月4日至7月27日，通過評審意見的收集，文件的復(fù)審及修編，對管理體系文件進行定稿。

　　內(nèi)部審核工作從8月9日至9月2日，歷時一個月。鑒于體系建立初期，中心各個部門項目小組成員對體系的了解可能不夠透徹，內(nèi)部審核采取委托咨詢公司人員，以一對一的方式，一邊對體系實施情況進行審核，一邊對中心項目小組成員進行相關(guān)培訓(xùn)，完成體系內(nèi)部審核的同時，提升項目小組成員關(guān)于ISO27001信息安全管理體系的理解和把握。依據(jù)內(nèi)部審核檢查表，內(nèi)部審核共發(fā)現(xiàn)7個體系運行過程中遺漏或者有瑕疵的問題，并根據(jù)問題的特征，找到相關(guān)的部門，由相關(guān)部門牽頭，其余部門配合，完成問題的整改工作。并在內(nèi)部審核期間，召開了全中心人員信息安全意識培訓(xùn)及信息安全管理體系宣貫會議。同時內(nèi)部審核的結(jié)果通過管理評審，向中心各個部門進行傳達。

　　經(jīng)過半年的項目建設(shè)，中心的信息安全管理能力基于ISO27001標(biāo)準(zhǔn)，整套體系已經(jīng)經(jīng)歷了一個從“無”到“有”的過程。為了明確中心信息安全管理水平的發(fā)展方向，同時驗證中心前期所做的工作效果，中心向中國信息安全認證中心提出ISO27001信息安全管理體系審核認證申請，并于2016年10月13日至14日開展第一階段的文件審核工作。

　　中國信息安全認證中心審核組在第一階段的審核工作中，查看了《云南電網(wǎng)有限責(zé)任公司信息中心信息安全管理工作指南》、《信息中心信息安全管理體系適用性聲明(SOA)》、相關(guān)控制措施文件、《云南電網(wǎng)有限責(zé)任公司信息中心信息安全風(fēng)險評估工作指南》、程序文件、內(nèi)審及管理評審記錄、風(fēng)險評估及處置記錄;巡視了辦公場所，并與相關(guān)人員進行了訪談。審核對體系文件和信息安全控制措施建立情況，發(fā)現(xiàn)了2個問題13個不完善的控制點，問題主要集中在信息安全風(fēng)險評估的管理文件中對“殘余風(fēng)險”的定義和批準(zhǔn)的要求描述不確切和信息安全控制文件編制中存在與實際工作結(jié)合不到位，以及信息中心對個別控制目標(biāo)要求存在理解不確切的情況。并給出了中肯的評價及可行性的整改建議。

　　信息中心根據(jù)第一階段審核組提出的建議，進行了問題的整改，向中國信息安全認證中心提出了第二階段的審核申請，并于2016年10月27日至2016年10月28日開展第二階段的審核工作。二階段審核涉及綜合管理部、人力資源部、財務(wù)部、應(yīng)用技術(shù)部、安全測評部和設(shè)備管理部等共十個部門，審核范圍為ISO27001：2013的標(biāo)準(zhǔn)條款涉及14個控制域包括信息安全方針、信息安全組織、人力資源安全、資產(chǎn)管理、訪問控制、密碼學(xué)、物理環(huán)境安全、操作安全和通信安全等方面以114個控制目標(biāo)項。審核組通過現(xiàn)場訪談、記錄調(diào)閱等方式開展二階段認證審核工作。

　　信息中心第二階段審核，首次會議由于國家信息安全認證中心審核組組長主持，中心負責(zé)人、各部門主任及相關(guān)配合人員參與會議，體現(xiàn)出了信息中心對審核的高度重視。在二階段審核期間，中心一直以“改進第一、拿證第二”的思想，積極配合審核組的老師開展審核工作。最終，在2016年10月28日下午，經(jīng)過2天的審核，審核組老師對中心的工作開展給出了肯定的評論，同時也提出了一些需要改進的地方，如審核期間，發(fā)現(xiàn)第三方人員可通過自聯(lián)WIFI繞過準(zhǔn)入進入內(nèi)網(wǎng)工作;有的部門打印機安全策略管理較好，但未注重安全意識，出現(xiàn)將打印機密碼貼在打印機上的問題;機房出入登記在某幾天，某幾位人員的出入并未嚴(yán)格登記等問題。中心在末次會議上就審核組老師提出的一個不符合項及其他觀察改進項上，積極向?qū)徍死蠋焼栍嫞�不僅僅局限于已知問題，舉一反三，共同為中心的信息安全管理工作的提高做出努力。

　　終于，通過一整年的不懈努力，信息中心獲得了國家信息安全認證中心頒發(fā)的ISO27001信息安全管理體系認證證書。信息安全工作不能一蹴而就，獲得認證證書，只是提升信息安全管理工作整體中的一個環(huán)節(jié)，它用來指明信息中心信息安全管理發(fā)展的道路，肯定發(fā)展方向的準(zhǔn)確性。信息安全工作同樣不能懈怠不前，獲取認證證書，是今年的結(jié)束，同時也是新的工作的開始。如何保證已確立的信息安全管理體系能夠持續(xù)、有效的運行，完善、不斷的改進，不僅僅是安全部門的分內(nèi)工作，也需要中心每一位員工積極參與。

　　上海賽學(xué)也因此成為眾多信息安全管理部欽點的iso27001認證公司合作伙伴。賽學(xué)免費為黃浦區(qū)|徐匯區(qū)|長寧區(qū)|靜安區(qū)|普陀區(qū)|虹口區(qū)|楊浦區(qū)|寶山區(qū)|閔行區(qū)|嘉定區(qū)|浦東新區(qū)|松江區(qū)|金山區(qū)|青浦區(qū)企業(yè)做上門診斷，出具iso27001認證方案。目前，中國iso27001認證公司有9家，國內(nèi)國際的iso27001認證公司風(fēng)格各不相同。中小企業(yè)可以致電：021-64196861詢問iso27001認證費用和iso27001認證機構(gòu)的情況。