3.2保障架構(gòu)與核安全文化的融合

　　為了更加貼近信息安全保障架構(gòu)與核安全文化的融合，下面我們從安全架構(gòu)的五個(gè)主要組成部分介紹一下它們是如何通過(guò)相同和相似之處進(jìn)行融合的。

　　3.2.1 安全組織

　　信息安全管理組織的建立與核安全文化中提到的“凡事有人負(fù)責(zé)”有著許多相同的地方，通過(guò)建立信息安全組織明確崗位職責(zé)，做到了信息安全工作有組織協(xié)調(diào)管理，有人落實(shí)具體工作。

　　我們建立安全組織是確保信息安全決策落實(shí)、支持信息安全工作開展的基礎(chǔ)。信息安全組織建設(shè)的目的主要是通過(guò)構(gòu)建和完善信息安全組織架構(gòu)，明確不同安全組織、不同安全角色的定位、職責(zé)以及相互關(guān)系，強(qiáng)化信息安全的專業(yè)化管理，實(shí)現(xiàn)對(duì)信息安全風(fēng)險(xiǎn)的有效控制。

　　3.2.2 安全管理

　　核安全文化中提到了“程序管理”、“凡事有章可循”，這些內(nèi)容都是說(shuō)明建立安全管理，必須要將現(xiàn)有和即將制定的安全管理制度通過(guò)落實(shí)到文件的形式固化下來(lái)，這樣在執(zhí)行的過(guò)程中才能夠有依據(jù)，所以我們建立安全管理體系的目的也是通過(guò)制定出一套完整的信息安全管理體系文件來(lái)提高全企業(yè)的信息安全管理水平。

　　我們提供的安全管理即建立信息安全管理體系(簡(jiǎn)稱“ISMS”)是整體安全建設(shè)的一部分，也是信息化管理中的重要一環(huán)。信息安全管理體系是信息安全策略、組織、運(yùn)作、技術(shù)體系標(biāo)準(zhǔn)化、制度化后形成的一整套信息安全的管理規(guī)范。我們?cè)诮Y(jié)合ISO27001國(guó)際標(biāo)注與國(guó)際原子能機(jī)構(gòu)(IAEA)建立ISMS的最佳實(shí)踐基礎(chǔ)上提出15個(gè)域的信息安全管理體系建設(shè)方法。

　　3.2.3 安全運(yùn)維

　　核安全思想中，對(duì)安全運(yùn)維的要求也非常高，這是保證電廠能夠穩(wěn)定工作的重要條件。因此建立同樣的信息安全運(yùn)維保障體系也是要提高集團(tuán)的信息安全運(yùn)維水平，這與“凡事有人負(fù)責(zé)”，“凡事有據(jù)可查”，“凡事有人監(jiān)督”的內(nèi)容都有相似之處。

　　所以安全運(yùn)維作為整體信息安全保障架構(gòu)的一部分，它是通過(guò)安全的運(yùn)行管理，結(jié)合安全產(chǎn)品和技術(shù)，保障對(duì)業(yè)務(wù)應(yīng)用系統(tǒng)等各方面穩(wěn)定運(yùn)行。通過(guò)將靜態(tài)的制度、人員、技術(shù)等“點(diǎn)”串聯(lián)起來(lái)形成動(dòng)態(tài)的流程“線”。清晰點(diǎn)明安全運(yùn)維體系的各項(xiàng)工作的控制和內(nèi)容，便于理清整體的運(yùn)維過(guò)程。

　　3.2.4 安全技術(shù)

　　核安全技術(shù)保護(hù)中，通過(guò)四道屏障保證了反應(yīng)堆的安全，通過(guò)在不同的區(qū)域使用不同的技術(shù)進(jìn)行安全控制。

　　安全技術(shù)體系正是利用各種安全技術(shù)、產(chǎn)品以及工具作為安全管理和運(yùn)行的落實(shí)的重要手段，最終支撐信息安全體系的建設(shè)。我們?cè)诮⑿畔踩夹g(shù)保證體系的過(guò)程中同樣借鑒了“縱深防御”的思想，通過(guò)制定不同的安全等級(jí)和過(guò)劃分不同的安全區(qū)域，進(jìn)行分區(qū)域的保護(hù)，通過(guò)在每個(gè)區(qū)域中實(shí)施各種技術(shù)手段實(shí)現(xiàn)域內(nèi)的安全控制。

　　3.2.5 應(yīng)急恢復(fù)

　　在核安全文化中，“核應(yīng)急”也是保障核安全的重要一環(huán)，而在信息安全管理方面應(yīng)急響應(yīng)和信息安全事件管理同樣也是保證業(yè)務(wù)持續(xù)運(yùn)行的最后一道重要保障。建立應(yīng)急保障體系將包括信息安全事件管理規(guī)定、應(yīng)急響應(yīng)計(jì)劃建立和業(yè)務(wù)連續(xù)性計(jì)劃的建立，同時(shí)為了保證這些計(jì)劃能夠在事件發(fā)生后被有效執(zhí)行，還需要定期進(jìn)行演練和測(cè)試，以保證計(jì)劃的有效。

　　4. 總結(jié)

　　通過(guò)以上的安全保障架構(gòu)設(shè)計(jì)可以非常清晰的看出來(lái)，只有很好的結(jié)合并融入到核安全文化之中所建立的安全保障體系架構(gòu)才能夠更加的貼合核電行業(yè)的安全需求實(shí)際，也才能夠更好的滿足客戶的需要。相信谷安天下科學(xué)、先進(jìn)的信息安全保障架構(gòu)建立方法能夠?yàn)楹穗娖髽I(yè)的信息安全建設(shè)帶來(lái)非常大的幫助。