随着信息化建设步伐在各行各业中日益加快,已经在军工、电力、钢铁、汽车、电信等工程领域中得到了广泛的应用。然而,随之而来的信息安全管理问题也日显突出,成为信息安全事件时有发生的根本原因。目前,信息系统安全工程理论的研究在国内起步,它从系统工程的角度出发,采用工程的概念、原理、技术和方法来解决企业级信息系统安全的管理问题。电力行业作为国民经济基础行业,由于其极为重要的经济地位和政治、军事意义,对其进行信息安全保障具有很大的必要性。同时,对其信息系统安全工程管理流程体系的研究也具有较大的实际意义。本文首先从组织、制度和人员这三个方面对电网信息安全管理现状进行了分析,并总结了目前存在的5个方面问题,即:(1)传统管理模式和体制的束缚;(2)缺乏完善的信息安全管理组织架构;(3)缺乏信息安全管理流程和体系的整体规划;(4)信息安全管理意识薄弱;(5)专业的安全管理人才缺失。针对以上问题以及电网信息安全的需求,结合系统安全工程过程能力成熟度模型(SSE-CMM)和信息安全管理体系标准(BS 7799),建立了电网信息安全管理过程的起始(I)、设计(D)、建设(C)、运维(M)等阶段的管理流程(简称IDCM)。其中,起始阶段包括风险评估管理流程和需求分析管理流程,设计阶段包括系统设计管理流程,建设阶段包括系统实施管理流程和测试验收管理流程,运维阶段包括运维管理流程和应急响应管理流程。通过IDCM管理流程体系在Y电网外部网站主机安全加固项目中的实践和应用,改善了Y电网在信息安全工程项目中管理不力的现状,填补了Y电网在信息安全管理流程方面的空缺,形成了信息系统安全工程管理在电力行业的最佳实践。同时,IDCM管理流程体系也已经在诸如运营商、金融证券、汽车、钢铁、能源、煤炭等不同行业中拥有越来越多的应用案例,证明其具有较强的普适性和可操作性。由此可见,随着当前信息安全管理体系在政策和制度层面的日益成熟,本文所建立的IDCM管理流程体系能够在实际操作层面与原有的管理体系形成有效互补,对各个领域的信息安全工程管理都具有重要的参考价值。