安全管理 121 凡事有据可查，凡事有人监督”,与建立信息安全保 障体系架构的思想相辅相成[2]。 1） 凡事有章可循：核电现场所有工作都要落 实到明确规定和文件，形成实实在在的制度文件， 开展各项工作、执行各类操作按相关的文件指导开 展。 2） 凡事有人负责：建立全面的安全管理组织 和人员，明确安全职责，确保每项工作都能够找到 明确的负责人。 3） 凡事有据可查：所做的各项工作和操作都 需要形成记录，详细记录工作时间、内容和结果等 信息，确保工况被详细记录。 4） 凡事有人监督：建立完善的监督、检查和 审计机制，通过开展监督、检查和审计，确保建立 的安全管理制度、组织以及所实施的各项保护被有 效和正确的执行。 同时，核电站从开工建设到正式商运，整个过 程是一项庞大而复杂的系统工程，涉及的专业领域 众多、工程量巨大。从信息安全角度分析，核电站 具有以下几个特点： 1） 移交接产与机组运行同步开展，人员结构 复杂 2） 多个管理体系共存 3） 划分区域，网络隔离 4） 厂区管理严密 5） 核应急体系规范化 结合核电特点，在 ISO27001 国际标准与国际原 子能机构（IAEA）建立 ISMS 的最佳实践基础上提出 核电站信息安全管理体系建设方法。通过分析 14 个 安全领域和 113 项控制点，实现 ISO27001 在核电站 的深化应用。 2. 核电信息安全保障体系架构 核电站核安全的目标是要在核电站建立并保持 一种有效的防御系统,以保护人员、社会和环境免受 放射性危害，保护核电系统、信息、人员等资产的 安全。信息安全保障体系的建设是在核电信息安全 现状调研与风险评估的基础上，基于核电业务与信 息安现状，结合核电行业独特的安全特征及业界的 最佳实践经验，建立全面的信息安全保障体系： 图 2：信息安全组织体系建立依据 2.1 四种建设方法 信息系统风险评估：根据国家相关部门制 定的风险评估标准及业内最佳实践，对核电信息资 产和流程进行持续的风险评估。风险评估是核电控 制信息系统风险、提高网络与信息安全水平的重要 基础[3]。 等级保护：根据公安部及电监会相关等级 保护的要求，建立重要信息系统的等级保护机制， 其核心内容是对信息系统划分安全等级，按标准进 行定级、建设、测评等工作。 IT 服务管理：根据 ISO20000 标准的要求， 在核电范围内建立 IT 服务支持机制和 IT 服务交付 机制，提升 IT 服务业务的能力及水准，在服务可用 性方面提高网络和信息系统的安全水平。 信息安全管理：根据 ISO27001 标准要求， 在核电范围内建立信息安全方针、策略和程序，实 施和运行相应的安全控制措施，监督信息安全目标 的实现，以管理和保护组织所有信息资产的安全。 2.2 五个信息安全保障体系 安全组织保障体系：在核电建立信息安全 决策、管理、执行以及监管的机构，明确各级机构 的角色与职责，完善信息安全管理与控制的流程。 安全管理保障体系：是信息安全组织、运 作、技术体系标准化、制度化后形成的一整套核电 对信息安全的管理规定。依据风险评估的结果，以