[00133704]ISO27001 信息安全管理体系建制及认证项目

为提升信息安全管理的科学化、规范化和专业化,参考信息安全管理国际标准ISO/IEC27001:2005,建立遵照国际标准、适应业务安全需求和管理要求、持续优化的信息安全管理体系（ISMS）,以保障应用系统的安全、稳定、可靠运行,确保对企业生产经营业务的不间断支持。 信息安全总体原则包括：适度安全,分级保护,全员参与,合规性,PDCA。 信息安全管理体系明确了面临的主要风险,并选择适宜的控制措施进行管控,确保信息安全风险可控。 在已有安全制度的基础上,通过梳理整合和针对性的补充完善,建立了体系化的信息安全管理制度集,覆盖ISO27001的11个控制域和重要日常工作流程,对工作流程和员工行为习惯的规范化将起到重要的推动作用。构建了内部合规审计和绩效考核的框架,完善了内部管理流程,能显著地提升深圳局信息安全管理水平。顺利通过ISO27001认证,将极大提升企业形象,带来显著的社会效益。 完善的信息安全管理体系,进一步提高信息安全管理水平。该体系包括两个技术体系、管理体系两个主要的保障层面。在确保技术体系领先的基础上,该局成立了信息安全组织机构,严格遵守和执行国家、上级部门和局有关的信息安全管理规定和制度。编制了“防病毒管理规范”和“综合信息网接入规范”等制度,每年定期开展信息安全风险评估工作,并编写了《深圳供电局网络及信息安全专项预案》及17个单项预案并进行演练,保障信息安全。 信息部建立统一的信息安全管理体系组织机构,负责规划和执行信息安全管理体系。组织结构包括信息安全管理体系领导小组和信息安全管理体系执行小组,信息部应通过分析信息安全方针、安全目标、审核结果、监视事件的分析、纠正和预防措施,持续改进ISMS的有效性。 本系统建议在电力行业信息安全方面推广使用,获得的ISO27001信息安全管理体系认证经由BSI（英国标准协会）审核并通过的。