安全管理
121
凡事有据可查,凡事有人监督”,与建立信息安全保
障体系架构的思想相辅相成[2]。
1) 凡事有章可循:核电现场所有工作都要落
实到明确规定和文件,形成实实在在的制度文件,
开展各项工作、执行各类操作按相关的文件指导开
展。
2) 凡事有人负责:建立全面的安全管理组织
和人员,明确安全职责,确保每项工作都能够找到
明确的负责人。
3) 凡事有据可查:所做的各项工作和操作都
需要形成记录,详细记录工作时间、内容和结果等
信息,确保工况被详细记录。
4) 凡事有人监督:建立完善的监督、检查和
审计机制,通过开展监督、检查和审计,确保建立
的安全管理制度、组织以及所实施的各项保护被有
效和正确的执行。
同时,核电站从开工建设到正式商运,整个过
程是一项庞大而复杂的系统工程,涉及的专业领域
众多、工程量巨大。从信息安全角度分析,核电站
具有以下几个特点:
1) 移交接产与机组运行同步开展,人员结构
复杂
2) 多个管理体系共存
3) 划分区域,网络隔离
4) 厂区管理严密
5) 核应急体系规范化
结合核电特点,在 ISO27001 国际标准与国际原
子能机构(IAEA)建立 ISMS 的最佳实践基础上提出
核电站信息安全管理体系建设方法。通过分析 14 个
安全领域和 113 项控制点,实现 ISO27001 在核电站
的深化应用。
2.
核电信息安全保障体系架构
核电站核安全的目标是要在核电站建立并保持
一种有效的防御系统,以保护人员、社会和环境免受
放射性危害,保护核电系统、信息、人员等资产的
安全。信息安全保障体系的建设是在核电信息安全
现状调研与风险评估的基础上,基于核电业务与信
息安现状,结合核电行业独特的安全特征及业界的
最佳实践经验,建立全面的信息安全保障体系:
图 2:信息安全组织体系建立依据
2.1 四种建设方法
信息系统风险评估:根据国家相关部门制
定的风险评估标准及业内最佳实践,对核电信息资
产和流程进行持续的风险评估。风险评估是核电控
制信息系统风险、提高网络与信息安全水平的重要
基础[3]。
等级保护:根据公安部及电监会相关等级
保护的要求,建立重要信息系统的等级保护机制,
其核心内容是对信息系统划分安全等级,按标准进
行定级、建设、测评等工作。
IT 服务管理:根据 ISO20000 标准的要求,
在核电范围内建立 IT 服务支持机制和 IT 服务交付
机制,提升 IT 服务业务的能力及水准,在服务可用
性方面提高网络和信息系统的安全水平。
信息安全管理:根据 ISO27001 标准要求,
在核电范围内建立信息安全方针、策略和程序,实
施和运行相应的安全控制措施,监督信息安全目标
的实现,以管理和保护组织所有信息资产的安全。
2.2 五个信息安全保障体系
安全组织保障体系:在核电建立信息安全
决策、管理、执行以及监管的机构,明确各级机构
的角色与职责,完善信息安全管理与控制的流程。
安全管理保障体系:是信息安全组织、运
作、技术体系标准化、制度化后形成的一整套核电
对信息安全的管理规定。依据风险评估的结果,以
打分:
0 星