2.1 核點企業(yè)發(fā)展信息安全的需求

　　核電企業(yè)是以提供清潔能源為主要業(yè)務(wù)的，核電企業(yè)自成立以來，始終堅持“安全第一，質(zhì)量第一，追求卓越”的方針。隨著核電業(yè)務(wù)的發(fā)展，信息技術(shù)在企業(yè)內(nèi)部的不斷推廣和普及，業(yè)務(wù)對信息系統(tǒng)的依賴程度越來越高，信息系統(tǒng)能否安全、穩(wěn)定的運行將直接影響核電業(yè)務(wù)的開展，因此，網(wǎng)絡(luò)與信息安全已經(jīng)成為保障核安全有機的組成部分，并且其重要程度將隨著信息技術(shù)的普及和發(fā)展變得更加重要。

　　2.2 核安全文化與縱深防御的思想的結(jié)合

　　核安全文化中倡導的“縱深防御”原則在信息安全領(lǐng)域很早就被提出過。例如，在信息安全領(lǐng)域美國國家安全局制定的IATF中最早已經(jīng)提出了縱深防御，也稱作“深度防護(Defense-in-Depth)”的策略。IATF強調(diào)人、技術(shù)、操作這三個核心原則，關(guān)注四個信息安全保障領(lǐng)域：保護網(wǎng)絡(luò)和基礎(chǔ)設(shè)施、保護邊界、保護計算環(huán)境、支撐基礎(chǔ)設(shè)施。通過下圖可以比較清晰的了解IATF的理論建立模型。

　　因此我們在為核電企業(yè)設(shè)計信息安全保障體系架構(gòu)時也是結(jié)合了“縱深防御”的安全保護理念，結(jié)合了四個“凡事”的工作思想，通過“三道防線”與“體系文件與安全組織”的建立，有效的實現(xiàn)了“縱深防御”和“程序管理”的安全管理思想在信息安全保障管理方面的應(yīng)用。而我們在架構(gòu)設(shè)計中的“三道防線”設(shè)計思想也與核電行業(yè)對反應(yīng)堆的“四道安全保護屏障”的保護方式相一致。

　　建立完善的信息安全保障架構(gòu)不僅是核電企業(yè)為保障信息技術(shù)安全的需求，同時也是符合核電行業(yè)的核安全需求的，隨著信息安全在企業(yè)中的重要性越來越高，在建立信息安全保障體系的同時，也要將信息安全的文化融入的員工的日常工作中，只有這樣才能夠讓企業(yè)的信息安全保障體系真正的發(fā)揮作用。

　　3. 核電企業(yè)信息安全保障架構(gòu)設(shè)計

　　3.1 信息安全保障架構(gòu)設(shè)計

　　在充分了解核安全文化與信息安全的相似點之后，結(jié)合信息安全領(lǐng)域的建設(shè)方法以及谷安天下在建立信息安全保障架構(gòu)的方法論，為核電企業(yè)設(shè)計如下的信息安全保障架構(gòu)。

　　我們的信息安全保障架構(gòu)通過建立四個保障目標(信息安全、系統(tǒng)安全、運行安全、物理安全)，參考四種建設(shè)標準(ISO27001、ISO2000、等級保護、風險評估)為總體架構(gòu)設(shè)計奠定了基礎(chǔ)，總體架構(gòu)包含五個主要部分(安全管理、安全組織、安全技術(shù)、安全運維、應(yīng)急恢復)，通過兩種監(jiān)督措施(檢查、審計)，實現(xiàn)三道防線的保護(事前控制、事中控制、事后控制)。