摘　要：針對燃氣企業存在的信息安全問題，本文試圖通過PDCA的理論方法，體系化的從規劃、實施、檢查、處置4個步驟，循環推進企業信息安全建設。并提出要特別重視解決風險評估、人的角色和職責、信息資產管理、信息安全事件管理等關鍵環節來保障企業信息安全建設有效實施。

關鍵詞：信息安全　風險評估　管理　燃氣

Information Security Management of Gas Enterprises

Abstract：Aiming at solving the problems of information seeurity system of gas enterprises,this paper attempts to use PDCA theory and its methods and through four steps of Planning．Doing．Checking and Acting to promote the construction of enterplise information secnrity．It also pays high attention to the key links of addressing risk assessments，the personal roles and responsibilities，the management of information assets and the management information security incidents and puts forward ways to ensure the effective implementation ot enterprise information security．

Keywords：information security risk assesslnenl manageinent gas

如今，信息已成為企業生產和發展的重要資源之一。它以多種形式存在，如被打印或寫在紙上；以電子方式存儲；用郵寄或電子手段傳送；呈現在膠片上或用語言表達。無論信息以什么形式存在，用哪種方法存儲或共享，都應對它進行適當地保護。否則，企業將面臨著較大的信息安全風險，甚至給企業帶來不良的影響和后果。

1　燃氣企業管理存在的信息安全問題

信息安全問題是企業的共性問題，企業規模越大，所擁有價值的信息量就越大；企業經營性質越特殊，受保護的信息量就越多。燃氣企業足高危服務性行業，應當把燃氣運營安全放在首位，但是也不能忽視了企業的信息安全。信息安全問題在燃氣企業普遍存在。

1．1　缺乏系統的信息安全管理

網絡安全領域有一句至理名言“三分技術，七分管理”，這句話對于信息安全領域也同樣適用。安全與管理常常是密不可分的，很多企業對信息安全的認識僅僅是依靠信息防護技術應用，比如安裝防火墻，反病毒軟件等。但信息軟件技術只是信息安全的一部分，即便在安全設備與系統上做了很大的投入，缺乏完整、系統的安全管理方法及制度并貫徹實施，信息仍然得不到很好的保護。尤其是那些對于針對黑客攻擊還顯得相對脆弱的企業網絡，一旦遭遇惡意入侵，馬上便顯得不堪一擊，信息安全當然就完全談不上。而現實情況是，許多燃氣企業因為缺乏信息安全管理制度、方法和應急預案，對于這種情況全然沒有有效的防備和事后補救措施，這樣災難自然就是難免的了。

1．2　信息安全意識有待提高

當前，企業的信息載體日益電子化，信息系統、辦公電腦、移動存儲設備的不規范使用增加了電子信息的泄露發生率。在百度、谷歌、網絡文庫上稍加搜索就可以輕易的獲得某家燃氣集團或公司重要文件。這些重要信息資料被暴露在公眾中，正是由于燃氣企業以及員工信息安全意識不強所造成的。而不少企業的領導者對于重要信息的保護意識不強，尤其是企業員工，從思想上就不重視企業的信息安全，信息傳遞和交接都帶有很大的隨意性，更有些“大嘴巴”事件，使得企業許多重要信息外流，如客戶信息、企業內部信息，更有甚者，許多商業機密也輕易外泄，如燃氣危險源信息或燃氣成本等。

1．3　缺乏信息安全技術人才

在燃氣企業，由于對企業信息安全的重要性認識不足，普遍缺乏信息安全管理人員和信息系統安全技術人員。雖然近年來燃氣企業各類信息系統不斷增多，如地理信息系統、客戶服務系統、數據采集與監視控制系統等，涌現出了一批信息化技術人才，但是要從安全角度出發，能夠進行綜合信息安全管理的技術性人才在整個燃氣企業員工的比例仍然相當低。燃氣企業在信息安全人才和信息技術人才培養方面與企業快速發展帶來的信息化需求和信息安全需求顯然不能同步，這樣一來，對于信息外泄，信息安全防不勝防，便會出現“領導干瞪眼，群眾干著急”的局面。

2　理解信息安全的盡本內容和信息安全建設的主要任務

2．1　什么是信息安全?

在GB／T22081-2008中，信息安全被這樣定義：保護信息免受各種威脅的損害，以確保業務連續性、業務風險最小化、投資回報和商業機遇最大化。其主要是指在企業信息安全管理中首先要最大限度的保護企業信息資產，保障業務持續穩定運行，其次，一旦發生安全事故可以最大限度地挽同所造成的損失。

信息的安全風險主要來自于信息的保密性、完整性和可用性。在企業中，信息可能會通過口頭、網絡、打印機、復印機、存儲設備等途徑不經意地泄露。要避免重要信息的泄露，在信息的傳遞和保管過程中要把好關；然后，還要防止信息被誤變更或被惡意變更，做到保護信息的完整性；最后，要做好信息源頭的安全保障，即要保障信息處理設備和信息傳遞渠道的高可用性。制定清晰的信息處理流程，建立滿足服務的完善運維保障，以及設法保持業務連續性管理都是保證信息高可用的重要措施。正是信息的這3個屬性結合才形成了信息的安全性，如圖1所示：

2．2　信息安全建設的主要工作任務應由以下幾方面構成

即體系化的企業信息建沒，信息安全風險控制和確保企業信息的機密性、完整性和可用性。而對于不少燃氣企業來說，卻常常足重視了第l點，而忽略第2和第3點。因此，有計劃的解決企業存在的信息安全風險，以及可持續提高管理的有效性和不斷提高自身的信息安全管理水平是企業的當務之急。

3　采用PDCA循環的方法建設氽業信息安傘

作為一項安全管理活動，信息安全建設應該是符合一般管理活動的規律的。所以，用PDCA管理模式，即規劃(Plan)實施(Do)檢查(Check)處置(Act)的循環管理模式來指導燃氣企業信息安全建設十分必要也非常合適。

PDCA的概念最早由美國質量管理專家戴明提出來，起初用于質量管理，后逐漸應用于各行各業。通過PDCA方法管理能使信息安全建設有效的按照一種合乎邏輯的工作程序進行。對其具體應用，筆者結合自己所學的理論知識和工作經驗進行了總結。

3．1　P階段

(1)分析公司信息管理中存在的不安全因素，采用合理的風險評估方法，確定風險并對風險進行分級；

(2)找出不安全因素產生的原因，特別是在企業管理層面上存在原因和需要企業高層處理的問題；

(3)針對存在的問題，根據風險等級對存在的隱患制訂措施計劃和解決方案，制定的措施方案要有較強的可操作性，便于執行，并能收到較好的效果。對于整改資金必須從安全與生產發展的總體考慮，結合實際，因地制宜，合理投入。

3．2　D階段

(1)對風險整改計劃進行宣貫和指導，讓企業員工認識到存在的安全現狀和不安全因素，以及怎樣去改進。計劃要落實到人，整改的人要清楚的理解為什么要改進和怎樣改進；

(2)層層細化風險改進計劃，并與員工的工作實際相結合。計劃可以從企業管理層開始細化直至崗位上的每一個操作環節。如果細化不徹底，那么企業的總汁劃中的方案措施再有可操作性，相對于班組、崗位都存在不同程度的粗放性，很難與基層實際吻合。

3．3　C階段

(1)開展企業各層級員工對自己工作進展情況的自查，查找問題，分析原因，及時整改；

(2)開展信息安全專項檢查，定期和不定期檢查風險改進的執行情況，階段性的總結和考評執行效果。檢查最好能通過量化式檢查得出定性結論。這一方法的最大優點就是對每一個PDCA循環層進行橫向比較時，能得到較為準確的評價，找準薄弱點和工作漏洞：

(3)對檢查結果和現存信息風險重新進行總結和評估，并根據評估結果調整風險級別和風險值，找出重點關注環節。

3．4　A階段

(1)統計匯總信息安全風險控制的成果，去除已經解決的問題，制訂對新問題的改進計劃；

(2)分清計劃未完成的原因并確立相關責任人，依據有關規定進行嚴考核硬兌現；

(3)把遺留和新發現問題轉入下一個PDCA管理循環。

4　重點解決信息安全建設中的幾個關鍵問題

4．1　把握風險評估尺寸，正確處理存在的風險

風險評估的實施方法有許多，在做信息安全風險評估時，應從企業整體出發，從企業需求出發。通過《信息安全技術信息安全風險評估規范》(GB／T20984-2007)給出的風險評估實施流程可以較為全面評估出企業存在的信息安全風險。

信息安全風險識別出后，采用合理的處置辦法也非常重要。采用的處理方式主要有：①風險減緩，即采用適當的控制措施來降低風險。如對重要信息處理設備采用冗余配置措施以避免單點故障的發生；②風險接受，在明顯滿足組織方針策略和接受風險準則的條件下，有意識地、客觀地接受風險。特別是適當接受那些“風險級別低的風險”，以確保高級別風險能及時而有效地處置；③風險規避，在可能的情況下，避免某些特殊風險，如將重要信息文件進行加密來避免未授權人獲得；④風險轉移，將相關業務風險轉移到其它地方，如將網站業務的維護托管到第三方專業維保單位管理，并與其簽訂信息安全保密協議等。

4．2　重視人在燃氣企業信息安全管理中的作用

在企業管理中，所有的管理活動離不開“人”。“人”是信息安全活動中最復雜、最難控制的對象，許多信息安全事件的發生是由人而起。要對企業中人的行為進行約束，明確人的信息安全管理角色和管理職責；加強人的思想認識，進行信息安全的教育和培訓，才能構建良好的信息安全文化。

筆者所在公司在信息安全管理中，首先成立了信息安全小組，把企業的“一把手”作為推動信息安全的組長，把企業內不同部門的人作為參與信息安全管理的對象，其中經理層和關鍵崗位人員是安全小組組員，明確了組長和組員的信息安傘責任和義務；然后把信息安全責任制落實到企業安全責任狀中，要求層層簽訂層層落實，通過與經理層、關鍵崗位人員簽訂保密承諾書，來進一步保障企業信息安全；最后注重培育企業自己的信息安全文化，特別是通過報紙、宣傳欄、企業OA系統向員工宣傳日常信息安全做法，從小事出發將注重信息安全形成習慣。例如，對電子文件進行簡單加密，離開電腦時進行鎖屏保護、給電腦打開沒定密碼保護、重要文件不被設為共享，不把公司的文件傳送給第三方(其它公司、網上文庫)，及時粉碎重要紙質文件，及時做好重要數據備份，及時更新殺毒軟件病毒庫等。

4．3　做好信息資產分類，把資產管理好

信息是一種對燃氣企業具有價值的資產，但是要想把這種資產管好，必須做到以下幾點：第一，它有兩種存在形式，即有形和無形，要建立信息資產清單來管理，這樣在管理中才能做到“胸中有數”；第二，不同信息有著不同保護要求，要進行信息分類管理，根據不同分類等級采取不同的保護措施。信息保護等級可分為：絕密、機密、秘密、受限、內部公開、公開。在分類時特別要注意的是考慮共享或限制信息的業務需求以及與這種需求相關的業務影響，避免信息保護等級被設定過高，實際操作時影響到業務的開展；第三，信息的處理過程很難控制，需要對信息做好標記，標記的內容要包括安全處理、存儲、傳輸、刪除、銷毀的處理程序，標記的程序要涵蓋物理和電子格式的信息資產，不能有遺漏。特別是對報廢的存儲介質處理，應確保銷毀，因為以目前的數據恢復技術而言，采用格式化的方法來處理數據存儲的物理介質很容易被恢復。因此，最好的辦法是物理銷毀、數據覆蓋或者利用不可逆專門工具處理。

4．4　合理規劃信息安全區域，做好信息處理設備的安全管理

在燃氣安全生產建設中分清防爆區域非常重要，其實信息安全管理中也要分清信息安全區域，通常在實際應用中將總經理室、財務部門、人力資源部門、檔案部門、圖紙設計部門、信息化部門、信息系統機房等具有敏感信息的部門劃定住安全區域內，并在物理邊界上加以防護，防止未授權的人員進入損壞、盜竊、截取。如在財務部門、信息化機房入口安裝門禁、視頻監控、同欄、紅外報警器等。

此外，還要考慮安全區域內的信息安全。筆者發現在日常工作中設備故障所造成的信息處理過程不安全最為常見。因此，對提供信息處理支持性設施要格外關注，要加強沒施的運維管理，建立運維管理制度，安排專人定期巡檢設備運行情況。條件允許下，還可以配置冗余的硬件設備，雙凹路的供電電源，應急電源等。

4．5　加強信息安全事件管理，預防信息安全事件發生

據燃氣企業發生的各種信息安全事件的統計結果，最典型的有有害程序、網絡攻擊事件、信息破壞事件、信息內容安全事件、設備設施故障、災害性事件等。其中，帶來的損失最嚴重的是有害程序、網絡攻擊事件。針對這些事件，可以采取相應的技術防范措施，如安裝反病毒產品、防火墻產品、入侵檢測與入侵防御產品，對系統和網絡進行脆弱性掃描等，同時做好定期設備的巡查，及時更換失效的產品。

另一方面，根據本企業白身情況建立信息安全應急預案，搭建應急組織機構，對信息安全事件分級，并制定應急響應機制、應急處置流程(即事故上報流程)以及恢復程序。每年開展一次應急演練，提高信息安全應急預案的可操作性以及相關人員對信息安全事件響應的熟練程度，可以提高信息安全事件的預防和處置能力。

5　未來持續性做好信息安全工作的幾點探索

“發展”和“變化”始終是未來信息安全的重要特征，只有緊緊抓住這個特征才能正確地處理和對待信息安全問題。筆者認為燃氣企業未來應從如下兩個方面持續做好信息安全管理。

5．1　正確面對新技術的應用

隨著無線技術、物聯網技術、“云”技術等新技術在企業中應用，企業在信息應用上取得很大突破，新的信息技術為企業發展帶來了新的機遇。但是不斷革新的技術就像一把“雙刃劍”，一方面它促成了企業的新發展，而另一方面也會為企業帶來新的信息安全問題。因此，企業應正確的面對新技術，在新技術應用同時，重視加強入侵檢測技術、RFID(射頻識別)技術、數字認證加密技術、災難備份技術等安全防護技術的應用，以保障企業在新形勢下的信息安全。與此同時，通過實踐我們也應該提高防范意識，謹防別有用心之人利用信息新技術來造成信息破壞或信息安全事故。

5．2　大力發揮人才的優勢

信息安全管理離不開人，信息技術的應用和維護更離不開人。筆者認為持續性做好信息安全管理的另一突破點在人才管理上。燃氣企業應著力培養一批懂信息技術、懂安全、懂燃氣的綜合性人才，大力發揮人才優勢，才能使得信息安全保護持續性得到有力支撐。

參考文獻

1 CB／T22080-2008信息技術安全技術信息安全管理體系要求

2 GB／T22081-2008信息技術安傘技術信息安全管理實用規則

3 GB／T20984-2007信息安傘技術信息安全風險評估規范

本文作者：周濱

作者單位：鎮江華潤燃氣有限公司