近年来,我国综合国力不断增强,国际地位不断提高,在国际事务中发挥着越来越重要的作用。电力企业作为我国的支柱性产业,为国家及社会发展提供源源不断的能源供给,重要地位更是不容忽视。但是,随着国内外频繁出现网络攻击事件,各国都将安全问题提到国家层面上来。国家电网公司作为信息化建设领先的央企之一也高度重视安全问题,先后出台很多规章制度及管理办法来规范信息安全工作及应对各种信息安全事件。但是,由于科学技术的不断进步,导致信息安全的威胁也在不断发生着变化,要想确保企业能够保持长期有效的信息安全,从本质上讲,应该是一个管理作用大于技术研究的过程。基于以上背景,为降低信息安全问题对电力企业造成的危害,亟需针对电力企业信息化建设现状及国网公司信息安全要求建立一套有效的信息安全管理体系。本文以国家电网公司下属省级A供电公司为例,通过实地调研和现场访谈,结合该公司的信息安全管理需求,对比典型信息安全理论的优缺点,提出了基于P20TPDR2模型的信息安全管理体系,该管理体系重点强调人员、操作与技术协同工作发挥的作用,通过团队建设、标准化的操作手册、简洁的工作流程,极大的发挥管理在信息安全工作中发挥的作用,避免重工具、轻管理的现象发生。同时,针对该管理体系执行效果制定了配套的效能评价指标。采用德尔菲法及层次分析法明确指标的内容及指标权重,通过量化的评价结果验证该信息安全管理体系在指导企业信息安全工作过程中的效果,发现提升点,从而为管理体系的不断完善指明方向。本文通过构建“一三三”信息安全管理体系,对A供电企业信息安全管理工作进行了合理的优化,缓解了企业面临的信息安全问题,推进A供电企业信息安全防护能力不断提升。同时,通过建立与之配套的效能评价指标,可以有效的检验A供电企业信息安全管理工作的优势及需要改进之处,为其进信息安全建设完善指明方向。对于国网公司下属其他供电企业乃至国内其他电力公司的信息安全建设工作也具有一定的指导意义和借鉴价值。