信息专业标准化管理体系研究与实践

1 信息专业标准化管理体系建设背景

近年来, 随着信息应用的规模不断增长, 信息系统的重要性也越来越高, 信息安全已经成为国家安全的一个重要指标, 信息专业管理从单纯的信息技术管理已经转变为技术、业务管理, 面临的状况日趋复杂, 需要的专业知识也更加丰富多样。广东电网公司一直非常重视信息专业管理工作, 近年来开展了电力行业信息系统等级保护评价、信息专业制度群建设以及管理年等活动, 出台了大量系统建设和运维管理制度, 大大提升了各基层供电局信息专业管理水平。茂名局从上世纪90年代开始开展信息化建设, 起步较早, 建设的信息化项目曾多次荣获省、地科技进步奖以及管理创新奖, 信息建设队伍今年来分别荣获“广东省工人先锋号”、“广东省青年文明号”、“中央企业学习型红旗班组”等荣誉称号。在信息专业管理方面, 茂名局经不断思考、不断总结, 积累了丰富的技术和管理经验。然而这些经验没经体系化整理, 只适用特定环境。如何落实省公司的管理目标、如何将信息系统等级保护评价及信息安全检查等专项工作融入到日常工作、如何将个人的岗位工作与部门工作统一起来、如何指导信息人员适应形势快速成长等问题是茂名供电局急需解决的。从2009年开始, 茂名局借鉴ISO/IEC27000和27001等标准建立, 对信息专业工作进行全面梳理, 着手建设信息专业标准化管理体系。

2 信息专业标准化管理体系概述

2.1 总体架构与建设总体思路

参考ISO27000、ISO2000等标准体系架构, 本体系总体架构采用常见的金字塔模型。即塔尖为方针文件, 它是整个体系的指导思想。塔身由管理标准、各类细化制度和操作标准, 明确各主要方面的详细内容和具体管理办法以及执行制度的具体实施方法, 它是整个体系的支撑。塔底为各类记录文件, 包括具体信息工作的管理流程、表单记录等, 它反映是体系实际运作情况。

2.2 分类与管理矩阵

信息专业工作的内容涉及从信息规划到信息运维的各个环节, 涉及到信息技术、项目管理、业务知识等方面, 涉及面非常广。我们把所有信息专业工作看成一个集合。按照专业聚合的原则, 采用从上到下的分析方法, 将信息工作归纳为相对独立的八个方面, 即信息化规划与建设管理、信息类设备 (资产) 管理、信息安全管理、信息运维管理、信息基础设施管理、数据信息管理、综合管理、体系管理。信息化规划与建设管理包括信息化职能规划、信息项目库管理、信息项目实施管理和信息项目建设规范管理等内容。信息类设备 (资产) 管理包括信息类设备的分类管理、核查、采购、变更、维修和报废等内容。信息安全管理包括信息安全规范管理、信息安全风险评估管理、信息安全检查和测评管理、应急管理和信息安全事件 (事故) 管理等。信息运维管理包括信息系统运维管理、网络运维管理、终端运维管理和基础设施运维管理。通过将运维工作细化到具体的工作元, 从而建立标准化的运维信息点库, 规范信息运维工作, 并能够编制标准化的信息运维报表。信息基础设施管理包括信息基础资源管理、机房施工操作管理和机房运行管理等内容。数据信息管理包括数据信息分类管理、涉密信息管理、数据信息保存与介质管理、访问控制管理、数据信息生成与过期管理等内容综合管理包括培训管理、工作计划管理、内务管理、指标管理等多方面的内容。体系管理包括体系计划管理、体系实施管理、体系评价管理。体系管理是整个信息专业管理体系的发动机, 推动整个体系的建设和运行。在体系管理中明确各岗位与体系工作元的对应矩阵关系, 以便于实现工作定量和指标化。对以上八个方面的进行逐层分解, 形成工作元。以信息类设备 (资产) 管理为例, 可以分为信息类设备的分类管理、核查、采购、变更、维修和报废等内容。每个工作元对应到具体岗位。岗位人员负责其职责范围对应工作元的工作落实、相关制度等文件的编制、工作技能的培训等内容。每个岗位对应若干个工作元, 每项专项工作 (比如重大节假日信息安全保卫工作) 也有一定的工作元组成。

3 体系运作

本体系的建设与运行采用了“规划与改进计划 (Plan) -实施与运行 (Do) -检查 (Check) -整改与提高 (Action) ” (PDCA) 模型即整个体系的建设是一个不断完善、循序渐进的过程。系统经初步建好后, 投入运行, 定期等运行的效果进行评价, 找出不合理或需改进之处, 进行整改提高。如不能马上进行整改的, 形成改进计划。实际工作中, 各个岗位的日常工作就是做好其对应各工作元的工作, 填写响应的记录。管理人员可以通过检查各种记录, 可以了解各项工作的开展情况, 指导、督促各岗位人员、各项工作的有序开展。从上面分析可知, 只要各岗位的日常工作落实到位, 则各工作元的工作就落实到位, 各项专项工作也就落实到位, 局信息化工作各项指标就能顺利实现。

4 体系的应用效果

茂名局将体系建设工作按照紧急程度编制不同的实施计划。目前完成八大管理标准和重要制度编制、重要的作业指导书、应急预案、操作手册的编制。信息类 (设备) 管理、信息运维、信息项目管理等方面已经投入使用。经大约2个月的运行, 将部分重要的工作、指标与日常工作有机的结合起来, 达到了效果。

5 展望

信息专业管理体系是一个循序渐进的过程, 需要不断思考、不断完善, 与本单位实际结合, 才能建立好用的标准化管理体系。本体系的建设成果可以在地级供电企业内推广使用。在后续完善过程中, 应开发信息系统来支撑本体系的运作, 从而更好的提升信息专业管理水平。

摘要：信息应用规模的不断扩大和信息系统重要的凸显等因素, 使得信息专业管理涉及的专业更加多样, 对信息技术人员的要求越来越高。茂名供电局结合广东电网公司的信息专业管理要求和本单位实际, 参考ISO/IEC27000等标准, 对该单位的信息专业管理工作进行全面梳理, 编制管理矩阵, 将各项工作落实到具体岗位, 建立了标准化的信息专业管理体系。

关键词：信息专业管理,标准化,PDCA

参考文献

[1] 中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会.GB/T22080-2008/ISO/IEC27001:2005中国标准书号[S].北京:中国标准出版社, 2008.

[2] 谢宗晓, 郭立生.信息安全管理体系应用手册——ISO/IEC2700[M].北京:中国标准出版社, 2007.

[3] 广东电网公司.广东电网公司信息化创先工作方案[R].广州:广东电网公司, 2009.