嘉兴电力局信息安全管理体系建设侧记

　　看不见的卫士

　　——记嘉兴电力局信息安全管理体系建设卓有成效

　　

　　随着科技进步，信息技术的应用越来越广泛地支撑着电力生产、营销、服务和管理的全过程，如何保障信息安全、管理好数字化电网、防范信息风险日益成为突出问题。嘉兴电力局注重企业管理创新，致力于全面建立现代企业制度，不断引入国际先进的管理思想、管理模式和管理方法，加强集约化、规范化、精细化管理，先后通过了ISO9001、ISO14001及OHSAS18001三个国际标准的认证，2004年获得了全国电力行业质量管理奖，2004年至2005年被中国企业家联合会和中国企业信息交流中心授予全国信息化先进单位称号，2006年被评为电力信息化标杆企业。在信息安全管理实践方面，嘉兴电力局率先开展了大量工作，做出了卓有成效的成绩。

　　2006年12月20日，嘉兴电力局成功获得信息安全管理体系认证证书，成为全国电网公司第一家通过ISO/IEC27001：2005认证的企业，从此填补了国内供电企业通过信息安全管理体系认证的空白。

　　1、越忙越显轻松

　　在一个冬日的早晨走进嘉兴电力局科技信息处，干练而亲切的女工程师赵琳娣接待了我，把我领进宽敞明亮的大办公室里。

　　在这里你看不到想像中忙碌的场景，一切显得井然有序。技术员们都在格子间里安静地坐着，只偶尔听见敲击键盘的声音。十五层楼的阳光倾泻进来，给这静谧的空间增添了几分悠闲。而一墙之隔的机房，一排排的仪器设备排列得整整齐齐，发出轻微而稳定的运转声。有人要进机房了，只见他在机房门口穿上鞋套，登记下自己的名字，然后打开指纹密码锁，轻手轻脚穿过两道铁门进去。赵琳娣告诉我，机房采取严格的管理制度，对室温和尘埃指数都有严格的规定。嘉兴电力局在

信息化建设和管理方面取得的突出成绩，每年吸引国内许多单位前来取经。"信息系统是看不见摸不着的东西，我们越是做得好，单位的其他部门就越觉得我们轻松。因为安全预控做得好，多年来在信息系统方面一直没出过大故障，可能不容易感觉到我们的重要性。"经过了解，我才知道，科信处一共有9位技术员，分管主机、网络、应用系统三方面的工作，主机有100多台，应用系统有40多个，每位技术员把任务进行分工，还要兼任别人的工作，叫做"AB岗"，以便在突发情况下能顶替另一个人的工作，工作压力非常大。然而，为了不影响其他部门的工作，他们不得不把信息系统的应用维护放在下班以后做，这些年轻的技术人员，几乎每天晚上都加班，而工作到通宵也是常有的事。在一个隐藏的房间角落，我找到了一箱箱康师傅饼干、牛奶、

蛋糕、方便面，微波炉、

冰箱和折叠床，都是为加班人员准备的。赵琳娣笑着补充道："你想想，如果经常发生故障，业务部门急得头头转，我们像消防队员到处扑火，不证明我们工作没到位吗？所以，我们的工作就像空气一样，离开了不行，做得好了平时又没感觉"。

　　2、保障企业的生命线

　　我们常说安全生产是企业的生命线，嘉兴电力局的领导却说，信息安全也已经是企业的生命线了。他们早于2000年就开始逐步实现嘉兴的信息系统大集中项目，即把嘉兴地区的县（市）局信息应用系统都集中在市局，统一建设、统一进行管理，这在浙江省尚属首家。应用上去了，系统集中了，安全的压力也迅速加大。"一定要关注运维管理、关注实用化、关注信息安全，彻底扭转'重建设、轻管理'的局面"，科信处吴国庆副处长如是说。"关系理顺，思路清晰，就不会瞎忙"。2002年嘉兴电力局率先开展月度信息化运行分析，完善各项管理制度，开展春、秋两季的信息安全大检查。按照地区一体化的安全管理要求，通过互查互学，迅速扭转了参差不齐的信息安全管理局面。学习、借鉴电网行之有效的安全管理办法。2005年10月22日，该局首次开展信息网络反事故实战演习，对处于关键部位的2台中心交换机进行故障处理演习。2006年12月2日，又进行了OA反事故实战演习，再获佳绩。

　　2004年，嘉兴电力局率先建成了IT服务台，用于为企业的应用系统、应用管理部门和最终用户提供便捷、高效、优质的信息服务。IT服务台根据实际情况将处理事件分为两类，一类是计算机用户的桌面事件，另一类是应用系统的运行事件，其中桌面事件提供5*8小时的工作日服务，运行事件提供7*24小时全天候服务。

　　2006年初，乘国网公司开展"爱心活动"，实施"平安工程"的东风，嘉兴电力局把IT服务台进行了全方位的改进。通过日常监督、事件跟踪调查、用户访问等方法，不断完善和提高服务水平。在日常工作中，IT服务台的全体员工首先改善了待人接物的态度，使用了礼貌用语，简单、贴切地询问计算机事件的现象、带来的影响等，注意去理解用户的心情，及时解释和处理问题。通过老员工带新员工、专职信息员带兼职信息员，兼职信息员带一般员工，党员带群众的阶梯式传授，为提高计算机应用创造了良好氛围。2006年，嘉兴电力局IT服务台共接受并处理信息事件3218次，为嘉兴电力的信息化应用提供了有力的保障。现在，只要与信息有关的问题解决不了，嘉兴电力职工都会求助IT服务台，获得最佳的服务支持。

　　3、新的里程碑

　　2006年4月，经过精心准备，嘉兴电力局启动了信息安全贯标工作，最终决定引入国际先进的信息安全管理体系标准，即ISO/IEC27001：2005信息安全管理体系，用于防止由于企业信息系统的中断、数据的丢失、敏感信息的泄密所导致的供电中断或事故，保证关键业务的连续性。2006年12月20日，嘉兴电力局成功获得信息安全管理体系认证证书。国际著名认证机构挪威船级社认证审核组和项目验收组分别给予了嘉兴电力局信息安全贯标工作高度评价。此举为嘉兴电力局，也为国内供电企业的信息安全管理确立了新的里程碑。

　　回顾这半年多来的项目实施工作，嘉兴电力局无论是领导还是各部门，都付出了辛勤的努力。管理者代表王凯军副局长、分管领导沈曙明副总定期组织工作例会，听取汇报、了解工作进度，指出关键节点和重点工作，指导贯标工作，保证贯标工作的高效、稳步推进。各部门也积极配合，全力协助。据悉光科信处就为此先后处理了30多个电子文档、150多个电子表格、10多万条数据。在科飞管理咨询公司的帮助下，确定了重要资产及其面临的风险，对风险进行了分级，识别出10个重要资产并制定了风险处理计划；在风险评估的基础上，还编制了信息安全手册和68个管理体系标准并实施运行，通过反复的日常检查、内审、和管理评审，最终消除了各种信息安全隐患，确保了企业信息系统的安全运行。嘉兴电力局的贯标工作也得到了浙江省电力公司以及国家电网公司的高度关注，科信部有关领导和专家多次亲临指导，解决在贯标过程中遇到的困难，国网信息办多次通过省电力公司了解项目实施情况，共同探索电力行业在实践信息安全管理方面的最佳途径。信息安全实验室领导亲自参加了项目验收会议。

　　七个多月的辛勤工作终于见分晓，原嘉兴电力局局长孔繁钢很高兴，他说"我们嘉兴电力局要率先做这个事情，贯标不是目的，而是一种手段，是为了确保信息安全，为了不让国有资产流失，因为业务数据是最大的资产。"确实，嘉兴电力局成功获得信息安全管理认证，并不是信息安全管理工作的结束，参与这项工作的人员都认为，这只是一个良好的开始，意味着嘉兴电力局能够在信息安全管理领域谱写出新的篇章，确保信息化的长治久安。（王琳）