2.1 核點企業(yè)發(fā)展信息安全的需求

　　核電企業(yè)是以提供清潔能源為主要業(yè)務的，核電企業(yè)自成立以來，始終堅持“安全第一，質量第一，追求卓越”的方針。隨著核電業(yè)務的發(fā)展，信息技術在企業(yè)內部的不斷推廣和普及，業(yè)務對信息系統的依賴程度越來越高，信息系統能否安全、穩(wěn)定的運行將直接影響核電業(yè)務的開展，因此，網絡與信息安全已經成為保障核安全有機的組成部分，并且其重要程度將隨著信息技術的普及和發(fā)展變得更加重要。

　　2.2 核安全文化與縱深防御的思想的結合

　　核安全文化中倡導的“縱深防御”原則在信息安全領域很早就被提出過。例如，在信息安全領域美國國家安全局制定的IATF中最早已經提出了縱深防御，也稱作“深度防護(Defense-in-Depth)”的策略。IATF強調人、技術、操作這三個核心原則，關注四個信息安全保障領域：保護網絡和基礎設施、保護邊界、保護計算環(huán)境、支撐基礎設施。通過下圖可以比較清晰的了解IATF的理論建立模型。

　　因此我們在為核電企業(yè)設計信息安全保障體系架構時也是結合了“縱深防御”的安全保護理念，結合了四個“凡事”的工作思想，通過“三道防線”與“體系文件與安全組織”的建立，有效的實現了“縱深防御”和“程序管理”的安全管理思想在信息安全保障管理方面的應用。而我們在架構設計中的“三道防線”設計思想也與核電行業(yè)對反應堆的“四道安全保護屏障”的保護方式相一致。

　　建立完善的信息安全保障架構不僅是核電企業(yè)為保障信息技術安全的需求，同時也是符合核電行業(yè)的核安全需求的，隨著信息安全在企業(yè)中的重要性越來越高，在建立信息安全保障體系的同時，也要將信息安全的文化融入的員工的日常工作中，只有這樣才能夠讓企業(yè)的信息安全保障體系真正的發(fā)揮作用。

　　3. 核電企業(yè)信息安全保障架構設計

　　3.1 信息安全保障架構設計

　　在充分了解核安全文化與信息安全的相似點之后，結合信息安全領域的建設方法以及谷安天下在建立信息安全保障架構的方法論，為核電企業(yè)設計如下的信息安全保障架構。

　　我們的信息安全保障架構通過建立四個保障目標(信息安全、系統安全、運行安全、物理安全)，參考四種建設標準(ISO27001、ISO2000、等級保護、風險評估)為總體架構設計奠定了基礎，總體架構包含五個主要部分(安全管理、安全組織、安全技術、安全運維、應急恢復)，通過兩種監(jiān)督措施(檢查、審計)，實現三道防線的保護(事前控制、事中控制、事后控制)。