2.1 核点企业发展信息安全的需求

　　核电企业是以提供清洁能源为主要业务的，核电企业自成立以来，始终坚持“安全第一，质量第一，追求卓越”的方针。随着核电业务的发展，信息技术在企业内部的不断推广和普及，业务对信息系统的依赖程度越来越高，信息系统能否安全、稳定的运行将直接影响核电业务的开展，因此，网络与信息安全已经成为保障核安全有机的组成部分，并且其重要程度将随着信息技术的普及和发展变得更加重要。

　　2.2 核安全文化与纵深防御的思想的结合

　　核安全文化中倡导的“纵深防御”原则在信息安全领域很早就被提出过。例如，在信息安全领域美国国家安全局制定的IATF中最早已经提出了纵深防御，也称作“深度防护(Defense-in-Depth)”的策略。IATF强调人、技术、操作这三个核心原则，关注四个信息安全保障领域：保护网络和基础设施、保护边界、保护计算环境、支撑基础设施。通过下图可以比较清晰的了解IATF的理论建立模型。

　　因此我们在为核电企业设计信息安全保障体系架构时也是结合了“纵深防御”的安全保护理念，结合了四个“凡事”的工作思想，通过“三道防线”与“体系文件与安全组织”的建立，有效的实现了“纵深防御”和“程序管理”的安全管理思想在信息安全保障管理方面的应用。而我们在架构设计中的“三道防线”设计思想也与核电行业对反应堆的“四道安全保护屏障”的保护方式相一致。

　　建立完善的信息安全保障架构不仅是核电企业为保障信息技术安全的需求，同时也是符合核电行业的核安全需求的，随着信息安全在企业中的重要性越来越高，在建立信息安全保障体系的同时，也要将信息安全的文化融入的员工的日常工作中，只有这样才能够让企业的信息安全保障体系真正的发挥作用。

　　3. 核电企业信息安全保障架构设计

　　3.1 信息安全保障架构设计

　　在充分了解核安全文化与信息安全的相似点之后，结合信息安全领域的建设方法以及谷安天下在建立信息安全保障架构的方法论，为核电企业设计如下的信息安全保障架构。

　　我们的信息安全保障架构通过建立四个保障目标(信息安全、系统安全、运行安全、物理安全)，参考四种建设标准(ISO27001、ISO2000、等级保护、风险评估)为总体架构设计奠定了基础，总体架构包含五个主要部分(安全管理、安全组织、安全技术、安全运维、应急恢复)，通过两种监督措施(检查、审计)，实现三道防线的保护(事前控制、事中控制、事后控制)。