云南電網(wǎng)信息中心順利通過iso27001認(rèn)證

　　隨著信息技術(shù)的高速發(fā)展，Internet的問世和網(wǎng)上各種應(yīng)用的普及，信息安全問題日顯突出。系統(tǒng)癱瘓、黑客入侵、病毒感染、網(wǎng)頁改寫、客戶資料的流失及公司內(nèi)部數(shù)據(jù)的泄露等等，這些信息安全問題已給組織或個人帶來了嚴(yán)重的威脅。信息安全已不再是以往簡單認(rèn)為的IT行業(yè)或大型機(jī)構(gòu)的需求，而是一個普遍的各行各業(yè)均面臨的迫切問題，如何確保企業(yè)信息系統(tǒng)的安全?我國云計(jì)算仍面臨四大挑戰(zhàn)，其中包括：信息安全法律法規(guī)和監(jiān)管體系不夠健全。在與云計(jì)算安全相關(guān)的數(shù)據(jù)及隱私保護(hù)、安全管理等方面，中國云計(jì)算產(chǎn)業(yè)生態(tài)有著較大缺失。同時(shí)，由于對安全的擔(dān)心和其他顧慮，云計(jì)算服務(wù)在中國的使用率也比美國等發(fā)達(dá)國家要低。

　　通過10月、11月為期兩月的信息安全管理體系認(rèn)證審核及不符合項(xiàng)整改關(guān)閉工作，2016年11月23日，云南電網(wǎng)信息中心獲得了國家信息安全認(rèn)證中心頒發(fā)的ISO27001信息安全管理體系認(rèn)證證書，肯定了信息中心信息安全管理體系建設(shè)的前期工作，同時(shí)在信息安全管理層面上，明確了信息中心信息安全管理發(fā)展方向。

　　信息中心信息安全管理體系建設(shè)工作，從2016年3月至今，一共經(jīng)歷了現(xiàn)狀調(diào)研、風(fēng)險(xiǎn)評估、體系編制、內(nèi)部審核、安全培訓(xùn)、外部審核六個流程,現(xiàn)狀調(diào)研從4月5日至4月22日，歷時(shí)3周。通過資料采集、文檔分析和實(shí)地走訪等調(diào)研工作，從制度建設(shè)情況、信息安全戰(zhàn)略、組織與人員、信息安全風(fēng)險(xiǎn)管理、工程項(xiàng)目建設(shè)管理、運(yùn)行和維護(hù)安全管理、安全審計(jì)與改進(jìn)管理等方面，摸底信息中心信息安全管理水平，與ISO27001標(biāo)準(zhǔn)進(jìn)行對標(biāo)分析，得到《現(xiàn)狀調(diào)研與分析報(bào)告》、《差距分析報(bào)告》及《差距分析表》，確定項(xiàng)目開展的大致方向。

　　通過調(diào)研分析，14個領(lǐng)域，最終達(dá)到標(biāo)準(zhǔn)要求的僅有安全方針一個領(lǐng)域，而其他領(lǐng)域僅僅部分符合標(biāo)準(zhǔn)要求，113項(xiàng)控制項(xiàng)中(體系標(biāo)準(zhǔn)2016年9月正式出版2013版本要求，共114項(xiàng)，但9月之前各企業(yè)與認(rèn)證機(jī)構(gòu)均以113項(xiàng)為標(biāo)準(zhǔn))，共有76項(xiàng)達(dá)標(biāo)，達(dá)標(biāo)率為67%。這也意味著信息中心信息安全管理體系建設(shè)道路任重道遠(yuǎn)。

　　風(fēng)險(xiǎn)評估從5月9日至6月3日，歷時(shí)一個月�；�于ISO27001信息安全管理體系認(rèn)證范圍，針對重要的信息資產(chǎn)進(jìn)行安全影響、威脅、漏洞及可能性分析，從而估計(jì)影響，最終選擇適當(dāng)?shù)姆椒ㄟ_(dá)到降低風(fēng)險(xiǎn)、消除風(fēng)險(xiǎn)、轉(zhuǎn)移風(fēng)險(xiǎn)、接受剩余風(fēng)險(xiǎn)。在這個階段，信息中心依據(jù)ISO27001信息安全管理標(biāo)準(zhǔn)，制定滿足標(biāo)準(zhǔn)要求的安全評估模型，同時(shí)確立風(fēng)險(xiǎn)評估流程，并基于流程，開展風(fēng)險(xiǎn)評估工作。

　　利用安全漏洞掃描工具、基線配置核查工具、網(wǎng)站安全漏洞掃描工具等商用成熟產(chǎn)品，配合人工滲透測試，對業(yè)務(wù)系統(tǒng)進(jìn)行了整體的風(fēng)險(xiǎn)評估。同時(shí)項(xiàng)目小組依據(jù)國內(nèi)外各行業(yè)，總結(jié)整理出一套安全威脅調(diào)研庫，收錄多達(dá)130條安全威脅，并根據(jù)各個部門的情況，挑選適合的條目進(jìn)行基于部分的安全威脅調(diào)查與風(fēng)險(xiǎn)評估工作。最終，得到符合要求的《風(fēng)險(xiǎn)評估報(bào)告》、《漏洞掃描報(bào)告》、《基線核查報(bào)告》、《應(yīng)用掃描報(bào)告》及滲透測試報(bào)告。

　　風(fēng)險(xiǎn)評估一共囊括了303臺服務(wù)器，38個WEB應(yīng)用系統(tǒng)，基于但不限制于ISO27001的范圍，在提高系統(tǒng)基礎(chǔ)安全的同時(shí)，滲透測試共發(fā)現(xiàn)包括系統(tǒng)端口權(quán)限、用戶并發(fā)會話、后臺管理權(quán)限等16類業(yè)務(wù)安全問題。同時(shí)，基于資產(chǎn)價(jià)值開展的安全威脅調(diào)研工作，從電子數(shù)據(jù)、紙質(zhì)文檔、計(jì)算機(jī)軟硬件、人員等方面，發(fā)現(xiàn)了信息中心在信息安全管理層面的薄弱點(diǎn)，如由于員工對于信息安全保密分級的不了解，部分文件無法確定文件密級，導(dǎo)致員工不清楚文件泄漏后可能帶來的安全風(fēng)險(xiǎn);準(zhǔn)入系統(tǒng)策略推送失敗，部分系統(tǒng)屏保等基本策略推送不到位可能導(dǎo)致信息泄漏風(fēng)險(xiǎn)等。信息中心在對待風(fēng)險(xiǎn)的態(tài)度上，秉承著“不怕存在問題，就怕不解決問題”的原則，積極改進(jìn)，同時(shí)，風(fēng)險(xiǎn)評估的結(jié)果為之后的信息安全管理體系文件編制打下堅(jiān)實(shí)的基礎(chǔ)。

　　體系策劃與編制從6月8日至7月27日，歷時(shí)兩個月。選取ISO27001標(biāo)準(zhǔn)中114個控制點(diǎn)作為控制要求，編寫ISO27001控制點(diǎn)適用于信息中心的適用性聲明文件，同時(shí)依據(jù)適用性聲明文件及信息中心文檔管理相關(guān)制度，構(gòu)造信息中心信息安全管理體系文檔框架，并形成一套以“管理指南”命名，向上融合南方電網(wǎng)、云南電網(wǎng)管理體系，向下兼容信息中心信息安全相關(guān)工作的管理體系文件，共17冊。同時(shí)于6月27日至7月1日，召集各個部門項(xiàng)目建設(shè)小組成員，開展為期一周的封閉式文件評審工作。同時(shí)在7月4日至7月27日，通過評審意見的收集，文件的復(fù)審及修編，對管理體系文件進(jìn)行定稿。

　　內(nèi)部審核工作從8月9日至9月2日，歷時(shí)一個月。鑒于體系建立初期，中心各個部門項(xiàng)目小組成員對體系的了解可能不夠透徹，內(nèi)部審核采取委托咨詢公司人員，以一對一的方式，一邊對體系實(shí)施情況進(jìn)行審核，一邊對中心項(xiàng)目小組成員進(jìn)行相關(guān)培訓(xùn)，完成體系內(nèi)部審核的同時(shí)，提升項(xiàng)目小組成員關(guān)于ISO27001信息安全管理體系的理解和把握。依據(jù)內(nèi)部審核檢查表，內(nèi)部審核共發(fā)現(xiàn)7個體系運(yùn)行過程中遺漏或者有瑕疵的問題，并根據(jù)問題的特征，找到相關(guān)的部門，由相關(guān)部門牽頭，其余部門配合，完成問題的整改工作。并在內(nèi)部審核期間，召開了全中心人員信息安全意識培訓(xùn)及信息安全管理體系宣貫會議。同時(shí)內(nèi)部審核的結(jié)果通過管理評審，向中心各個部門進(jìn)行傳達(dá)。

　　經(jīng)過半年的項(xiàng)目建設(shè)，中心的信息安全管理能力基于ISO27001標(biāo)準(zhǔn)，整套體系已經(jīng)經(jīng)歷了一個從“無”到“有”的過程。為了明確中心信息安全管理水平的發(fā)展方向，同時(shí)驗(yàn)證中心前期所做的工作效果，中心向中國信息安全認(rèn)證中心提出ISO27001信息安全管理體系審核認(rèn)證申請，并于2016年10月13日至14日開展第一階段的文件審核工作。

　　中國信息安全認(rèn)證中心審核組在第一階段的審核工作中，查看了《云南電網(wǎng)有限責(zé)任公司信息中心信息安全管理工作指南》、《信息中心信息安全管理體系適用性聲明(SOA)》、相關(guān)控制措施文件、《云南電網(wǎng)有限責(zé)任公司信息中心信息安全風(fēng)險(xiǎn)評估工作指南》、程序文件、內(nèi)審及管理評審記錄、風(fēng)險(xiǎn)評估及處置記錄;巡視了辦公場所，并與相關(guān)人員進(jìn)行了訪談。審核對體系文件和信息安全控制措施建立情況，發(fā)現(xiàn)了2個問題13個不完善的控制點(diǎn)，問題主要集中在信息安全風(fēng)險(xiǎn)評估的管理文件中對“殘余風(fēng)險(xiǎn)”的定義和批準(zhǔn)的要求描述不確切和信息安全控制文件編制中存在與實(shí)際工作結(jié)合不到位，以及信息中心對個別控制目標(biāo)要求存在理解不確切的情況。并給出了中肯的評價(jià)及可行性的整改建議。

　　信息中心根據(jù)第一階段審核組提出的建議，進(jìn)行了問題的整改，向中國信息安全認(rèn)證中心提出了第二階段的審核申請，并于2016年10月27日至2016年10月28日開展第二階段的審核工作。二階段審核涉及綜合管理部、人力資源部、財(cái)務(wù)部、應(yīng)用技術(shù)部、安全測評部和設(shè)備管理部等共十個部門，審核范圍為ISO27001：2013的標(biāo)準(zhǔn)條款涉及14個控制域包括信息安全方針、信息安全組織、人力資源安全、資產(chǎn)管理、訪問控制、密碼學(xué)、物理環(huán)境安全、操作安全和通信安全等方面以114個控制目標(biāo)項(xiàng)。審核組通過現(xiàn)場訪談、記錄調(diào)閱等方式開展二階段認(rèn)證審核工作。

　　信息中心第二階段審核，首次會議由于國家信息安全認(rèn)證中心審核組組長主持，中心負(fù)責(zé)人、各部門主任及相關(guān)配合人員參與會議，體現(xiàn)出了信息中心對審核的高度重視。在二階段審核期間，中心一直以“改進(jìn)第一、拿證第二”的思想，積極配合審核組的老師開展審核工作。最終，在2016年10月28日下午，經(jīng)過2天的審核，審核組老師對中心的工作開展給出了肯定的評論，同時(shí)也提出了一些需要改進(jìn)的地方，如審核期間，發(fā)現(xiàn)第三方人員可通過自聯(lián)WIFI繞過準(zhǔn)入進(jìn)入內(nèi)網(wǎng)工作;有的部門打印機(jī)安全策略管理較好，但未注重安全意識，出現(xiàn)將打印機(jī)密碼貼在打印機(jī)上的問題;機(jī)房出入登記在某幾天，某幾位人員的出入并未嚴(yán)格登記等問題。中心在末次會議上就審核組老師提出的一個不符合項(xiàng)及其他觀察改進(jìn)項(xiàng)上，積極向?qū)徍死蠋焼栍?jì)，不僅僅局限于已知問題，舉一反三，共同為中心的信息安全管理工作的提高做出努力。

　　終于，通過一整年的不懈努力，信息中心獲得了國家信息安全認(rèn)證中心頒發(fā)的ISO27001信息安全管理體系認(rèn)證證書。信息安全工作不能一蹴而就，獲得認(rèn)證證書，只是提升信息安全管理工作整體中的一個環(huán)節(jié)，它用來指明信息中心信息安全管理發(fā)展的道路，肯定發(fā)展方向的準(zhǔn)確性。信息安全工作同樣不能懈怠不前，獲取認(rèn)證證書，是今年的結(jié)束，同時(shí)也是新的工作的開始。如何保證已確立的信息安全管理體系能夠持續(xù)、有效的運(yùn)行，完善、不斷的改進(jìn)，不僅僅是安全部門的分內(nèi)工作，也需要中心每一位員工積極參與。

　　上海賽學(xué)也因此成為眾多信息安全管理部欽點(diǎn)的iso27001認(rèn)證公司合作伙伴。賽學(xué)免費(fèi)為黃浦區(qū)|徐匯區(qū)|長寧區(qū)|靜安區(qū)|普陀區(qū)|虹口區(qū)|楊浦區(qū)|寶山區(qū)|閔行區(qū)|嘉定區(qū)|浦東新區(qū)|松江區(qū)|金山區(qū)|青浦區(qū)企業(yè)做上門診斷，出具iso27001認(rèn)證方案。目前，中國iso27001認(rèn)證公司有9家，國內(nèi)國際的iso27001認(rèn)證公司風(fēng)格各不相同。中小企業(yè)可以致電：021-64196861詢問iso27001認(rèn)證費(fèi)用和iso27001認(rèn)證機(jī)構(gòu)的情況。