蓝盾电力行业信息安全咨询服务解决方案
电力信息化是指信息技术在电力行业中的应用,是电力行业在信息技术的驱动下由传统行业向高度集约化、高度知识化、高度技术化行业转变的过程。电力行业信息化的核心是电力行业管理信息系统的建设,主要内容是各级电力单位信息化的实现,包括生产过程自动化和管理信息化。只有通过信息化的手段,提高用电营销的管理水平,才能电力行业更有效地为客户提供服务。
通过行业调研和行业经验,我们对电力单位局域网结构、业务系统及安全威胁进行分析,总结电力单位信息安全问题主要集中在信息安全建设、对服务器的安全保护、防黑客和病毒、重要网段的保护以及管理安全上。针对电力行业信息安全的现状,我公司提出以下相应的解决方案:
1、综合信息安全服务 2、信息安全风险评估(ISO17799/ISO27002
3、等级保护测评 4、ISMS体系建设(ISO27001)
5、ISMM体系建设(ISO27004) 6、ITIL体系建设(ISO20000)
7、重特大风险管理机制建设 8、信息安全应急响应服务
9、蓝盾相关安全产品一览
风险评估是组织对电力行业存在的威胁进行评估、对安全措施有效性进行评估、以及对系统弱点被利用的可能性进行评估后的综合结果,是风险管理的重要组成部分,是信息安全工作中的重要一环。
我司将通过对资产、脆弱性和威胁来综合评估分析系统面临的安全风险,并对所发现风险提供相关的处理建议。组织可以通过实施安全控制防范威胁,降低安全风险。
我司对信息系统安全等级保护状况进行全面的测试评估。确定了信息系统的安全保护等级后,需要相应等级的测评及相应安全保护手段:
1.目标:确保信息系统的安全保护措施符合相应等级的安全要求。
2.输入:描述文件,保护等级定级报告,测评计划,测评方案。
3.描述:参见有关信息系统安全保护等级测评的规范或标准。
4.输出:安全等级测评评估报告。
结合组织现有的信息安全体系管理架构,对组织采用以过程为基础的信息安全管理体系模式,并从以下几个方面维护体系的正常运行:1.明确公司的信息安全需求、理解建立信息安全方针和目标的需求;2.在管理组织的整体业务风险中实施并运作控制;3.监控并评审信息安全管理的绩效及有效性;4.在客观测量基础上持续改进。信息安全管理体系模式如下图:
通过提供一种方法,来定义ISMS的执行目标、有效性和效果标准,以促进对信息安全管理系统的管理,并追踪和测量随时间变化的系统进展情况,同时提供一种定义工具,用来定义与其它公司、同一组织的其它部门或同一工业标准和信息技术安全的最佳实例之间相互比较的基准。
提供了覆盖“端到端”服务管理全面的“最佳实践”指南,并且覆盖了人、过程、产品和合作伙伴的全部范畴:
1.建立管理IT基础设施的流程;
2.以流程为导向、以客户为中心,通过整合IT服务与业务,提高电力单位的IT服务及服务支持的能力和水平;
3.引导组织高效和有效地使用技术,让信息化资源发挥更大的效能。
根据各种风险管理措施属性,可以分为:1.风险识别措施 2.风险防范措施 3.风险控制措施。共同构成整体信息安全风险管理机制体系。对风险的处理有回避风险、预防风险、接受风险和转移风险等四种方法。风险管理的基本目标是以最小的经济成本获得最大的安全保障效益,即风险管理就是以最少的费用支出达到最大限度地分散、转移、消除风险,以实现保障人们经济利益和社会稳定的基本目的。
我司为电力单位在突然或偶然发生信息安全事件时提供专业的、快速的应急响应服务,保障用户设备、数据等信息安全,使信息系统更好地服务于民。
我司作为全国主要的专业信息安全服务厂家之一,在电力行业信息安全咨询服务累积了非常丰富的经验。在广东电网公司、东莞供电局、汕头供电局、珠海供电局和韶关供电局等电力单位开展等级保护测评、等级保护整改、风险评估、网络结构优化、重特大信息安全风险管理体系设计、信息安全度量体系设计、安全扫描、安全巡检和安全策略制定等信息安全服务,取得了良好的效果,进一步帮助电力用户从物理层、网络层、系统层、应用层、数据层和管理层等全面提升信息安全。
