2021 年（第十五届）发电企业信息化技术与应用研讨会 - 320 - 阳江核电信息安全管理体系建与隐患整改 阳江核电有限公司，刘嘉、程朗 摘 要：阳江核电参照国际先进的信息安全管理实践经验，结合公司的实际情况，建立一套通过 ISO27001 国际标准 认证的信息安全管理体系。 关键词：信息安全体系建设 1.1 项目建设背景和意义 为了保证阳江核电有限公司（以下简称“阳江 公司” ）的整体信息安全，保障信息系统的可用性、 完整性和保密性，防止信息泄密，保护企业的知识 产权，维护公司利益，阳江公司参照国际先进的信 息安全管理实践经验， 结合公司的实际情况， 建立一套 通过 ISO27001 国际标准认证的信息安全管理体系。 另外，信息技术中心负责阳江公司 IT 建设、运 维，全程参与我司信息安全管理体系建设以及隐患 整改，推荐为联合申报单位。 1.2 项目建设目标和主要任务 项目建设目标：不断提高信息系统安全综合防 护和持续高效运行能力，保护公司拥有、使用和管 理的信息资产的可用性、完整性和保密性，保障公 司网络与信息系统安全可靠稳定运行，使信息系统 有力支撑集团各项业务和经营管理活动正常进行。 项目建设主要任务： 项目按照 ISO27001 标准所 要求的 PDCA 过程方法论，策划、建立一套适合于阳 江核电公司信息安全管理体系，对阳江核电公司信 息安全现状有一个全面的了解，并针对阳江核电公 司信息资产及流程进行信息安全风险评估，特别是 对在检查中发现的高风险隐患进行整改。最终取得 第三方审核单位的审核，获得国际认可机构的认证。 1.3 项目建设内容 1.3.1 项目关键技术方案以及实施流程 根据项目需求，参考 ISO27001 信息安全管理体 系建设方法论，结合我司信息安全现状实际情况， 把此项目分解为项目启动、风险评估、安全架构与 规划、 体系建立、 体系运行及体系认证六个阶段 （如 下图） 。 1.3.1.1 项目准备 为确保项目的有效实施，需要做好项目前期准 备工作，包括准备项目办公场所，建立沟通联系方 式，制定详细的项目计划，配置项目实施人员，对 阳江公司项目人员前期培训，制定项目宣传方案， 收集项目资料等。 1、成立项目小组； 2、细化项目目标、范围及交付物形式； 3、制订项目实施总体计划，并讨论通过； 4、制订项目前期培训计划； 5、制度信息安全宣传方案； 6、召开项目启动会议。 1.3.1.2 风险评估 通过针对阳江公司的信息安全现状调查与风险 评估，全面了解阳江公司信息安全现状，并针对阳 江公司信息资产及流程进行信息安全风险进行评 估。 根据 IT 风险管理方法论、信息安全最佳实践， 并结合上级监管机构要求与规范，制定详细的现状 调查方案及安全风险评估方案，总体示意图如下。 现状调研的内容主要是与信息安全相关的组织