该局信息安全管理体系建设以风险评估的结果为基础,参考ISO27001标准11个控制域、39个控制目标、130项控制措施,建立方针、管理手册、业务技术指导书和记录四级信息安全管理体系文件。使楚雄供电局的信息安全在策略、组织、运行、技术以及应急恢复方面得到保障,把风险控制到组织可接受的水平。据悉,体系建设分为前期准备阶段、调研及差距分析阶段、资产识别与风险评估、体系策划与编制阶段、体系实施阶段、体系审核阶段等六个阶段。楚雄供电局于2014年5月开展信息安全管理体系第一阶段和第二阶段外审工作; 5月27-28日局信息中心对体系第二阶段审核发现的2个一般不符合项进行整改,中国信息安全认证中心已统一推荐认证;6月楚雄供电局顺利通过信息安全管理体系认证,取得楚雄供电局信息安全管理体系认证证书。
通过信息安全管理体系的有效实施、运作、维护和完善,楚雄供电局把ISO27001 的要求引入到业务流程,使现有的业务运作更加符合安全规范,减少流程和操作过程带来的安全风险,提高企业对内部威胁和外部威胁的风险防范能力,增强业务的可持续性并将损失降到最低程度。(何花)
