導(dǎo)語：電信企業(yè)信息安全體系研究一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

1電信企業(yè)信息安全管理面臨的問題與挑戰(zhàn)

1.1電信企業(yè)的特點

近10年來，電信企業(yè)經(jīng)歷了高速的發(fā)展，網(wǎng)絡(luò)規(guī)模龐大、用戶數(shù)量眾多、業(yè)務(wù)發(fā)展多元化，使得電信企業(yè)具有了如下的主要運營特點：（1）電信企業(yè)業(yè)務(wù)種類繁多，流程復(fù)雜程度高。當前，隨著人們需求的多元化和個性化，單一的話音業(yè)務(wù)已不能滿足用戶通信的需求，電信企業(yè)根據(jù)不同細分市場的用戶需求提供多種多樣的增值電信業(yè)務(wù)，業(yè)務(wù)流程復(fù)雜性增大。同時，電信企業(yè)的部分業(yè)務(wù)涉及多方參與，除了最終用戶，還有眾多第三方公司，甚至還有當?shù)卣块T。在監(jiān)管方面，電信企業(yè)也必須依照國家法律對第三方提供內(nèi)容監(jiān)管，防止其提供違法信息。（2）電信業(yè)務(wù)涉及大量的電子業(yè)務(wù)數(shù)據(jù)交互，數(shù)據(jù)涉及用戶的個人敏感信息。電信企業(yè)內(nèi)部運作主要依賴于各種IT系統(tǒng)，大部分業(yè)務(wù)數(shù)據(jù)和內(nèi)部管理運作軌跡數(shù)據(jù)都是以電子數(shù)據(jù)的形式存在于各系統(tǒng)的數(shù)據(jù)庫中。海量的業(yè)務(wù)數(shù)據(jù)中，包含了用戶的個人敏感信息，諸如用戶個人身份信息、訂購信息、交易信息等；內(nèi)部管理數(shù)據(jù)中，包含了企業(yè)發(fā)展戰(zhàn)略、重要規(guī)章制度、管理信息等機密內(nèi)容。不同的業(yè)務(wù)數(shù)據(jù)之間要進行交互，如果人為通過系統(tǒng)后臺改變用戶的賬戶或交易信息，將會對業(yè)務(wù)結(jié)算或者財務(wù)帶來風險。（3）業(yè)務(wù)運營和企業(yè)內(nèi)部運作對支撐系統(tǒng)依賴程度高，平臺種類繁多。電信企業(yè)所提供的服務(wù)都需要后臺支撐系統(tǒng)的支持，如業(yè)務(wù)運營支撐系統(tǒng)就承載著計費、結(jié)算、營業(yè)賬務(wù)和客戶服務(wù)等多項核心業(yè)務(wù)，這些業(yè)務(wù)都要求有一個高度穩(wěn)定、運行順暢、安全可靠的系統(tǒng)。同時，企業(yè)內(nèi)部工作主要依賴管理信息系統(tǒng)，如現(xiàn)在重要的公文審批都會通過OA系統(tǒng)進行簽批，業(yè)務(wù)系統(tǒng)賬號申請與維護也是在內(nèi)部管理信息系統(tǒng)中完成。電信行業(yè)的這些特點，不難得出信息化運營和管理在電信行業(yè)發(fā)展中的重要地位，一旦信息安全出現(xiàn)問題，必將帶來十分嚴重的后果。因此，從電信行業(yè)的運營特點出發(fā)，構(gòu)建全面的信息安全合規(guī)管理體系，是電信企業(yè)實現(xiàn)業(yè)務(wù)快速、穩(wěn)定、健康發(fā)展的必由之路。

1.2信息安全管理面臨的問題

近年來，各大電信企業(yè)針對信息安全建設(shè)進行了大量的工作，但是依然面臨著很多問題，主要表現(xiàn)在：（1）信息安全管控要求多。存在多個部門、維護信息安全制度的情況，缺乏平臺化的制度管理機制，具體的執(zhí)行人員很難在第一時間了解最新的安全制度要求。此外，針對同樣的安全管控內(nèi)容，不同的信息安全制度常常存在標準不統(tǒng)一的情況，令執(zhí)行人員無所適從。（2）部分信息安全制度中的規(guī)定缺乏實質(zhì)性管控要求，無法明確有效地轉(zhuǎn)化到執(zhí)行層面予以落實。同時，往往信息安全管理要求沒有落實到具體的部門，更沒有落實到具體的崗位，面對大量的安全管控要求，執(zhí)行起來非常困難。（3）信息安全檢查缺乏統(tǒng)一的標準，并且主要采用人工檢查，每次檢查往往需要進行人工訪談、資料查閱、現(xiàn)場測試等多個環(huán)節(jié)，耗費大量的時間、人力和物力。檢查內(nèi)容、檢查方法、檢查工具、檢查人員的能力等都成為影響檢查效果的因素。（4）針對企業(yè)各個層面的信息安全管理情況缺乏統(tǒng)一的評價標準，不能進行量化考核；沒有量化數(shù)據(jù)，無法實現(xiàn)對部門和系統(tǒng)合規(guī)水平綜合評價的數(shù)據(jù)支撐。（5）沒有統(tǒng)一的信息安全合規(guī)管理平臺，就無法為信息安全合規(guī)管理的體系落地、執(zhí)行提示、監(jiān)督檢查和水平評價提供統(tǒng)一、全面的系統(tǒng)管理支撐基礎(chǔ)。

1.3信息安全管理的解決之道

針對上述信息安全管理面臨的問題，本文借鑒國際上的GRC管理理念和SOX內(nèi)控矩陣的思想，按照PDCA管理模式來構(gòu)建電信企業(yè)的信息安全合規(guī)管理體系，從而解決信息安全體系化管理難、落實執(zhí)行難、監(jiān)督檢查難、量化管理難的問題。通過建立信息安全合規(guī)管理系統(tǒng)，形成信息安全合規(guī)整體視圖，實現(xiàn)安全要求、任務(wù)執(zhí)行、監(jiān)督檢查、整改跟蹤、量化評價的管理閉環(huán)，支撐信息安全全生命周期的管理，最終達到信息安全水平的持續(xù)螺旋式提升。

2信息安全合規(guī)管理體系

信息安全合規(guī)管理應(yīng)借鑒國際先進管理理念，明確管理體系的核心要素，從信息安全組織與人員的構(gòu)建、信息安全矩陣的知識支撐、信息安全合規(guī)管理平臺建設(shè)等方面入手，來構(gòu)建電信企業(yè)的信息安全合規(guī)管理體系。

2.1GRC理念

GRC理念是國際先進的現(xiàn)代化企業(yè)管理理念。作為企業(yè)上層建筑，GRC包含了公司治理、戰(zhàn)略績效管理、風險管理、審計、法律、合規(guī)遵從、IT治理、道德和企業(yè)社會責任、質(zhì)量管理、人力資本、企業(yè)文化、財務(wù)等廣泛的領(lǐng)域。GRC理念應(yīng)用的價值在于，以企業(yè)管控、風險和法規(guī)遵從為對象，為決策層和管理層提供綜合信息和流程控制支持，幫助企業(yè)安全、高效地實現(xiàn)預(yù)期目標。

2.2管理體系的核心機制

信息安全合規(guī)管理體系以制度策略、管控執(zhí)行、安全檢查、整改跟蹤為主線，實現(xiàn)信息安全合規(guī)的閉環(huán)管理，也即管理體系的核心機制：（1）制度策略：信息安全管理體系的建設(shè)階段，針對信息安全制度進行統(tǒng)籌化、體系化管理，掌握制度體系建設(shè)全貌，有效警示制度的缺失和盲點。（2）管控執(zhí)行：信息安全管理體系的實施階段，將信息安全管控要求明確落實到企業(yè)的各個責任部門、崗位和人員，具體執(zhí)行人員在落實管控要求時，都能得到知識的指導(dǎo)和定期的提醒。（3）安全檢查：信息安全管理體系的檢查階段，推動執(zhí)行標準化、統(tǒng)一化、平臺化的安全檢查，及時發(fā)現(xiàn)安全管控薄弱環(huán)節(jié)，為潛在風險提供有效的預(yù)警和整改過程的跟蹤。（4）整改跟蹤：信息安全管理體系的評價階段，收集并分析安全檢查的結(jié)果數(shù)據(jù)，跟蹤整改效果，評價安全管控水平，通過統(tǒng)計視圖展現(xiàn)安全合規(guī)整體視圖，獲取可視化的安全決策信息，支撐今后的信息安全建設(shè)方向。制度策略和管控執(zhí)行，對應(yīng)的即是GRC中的G，前者作為信息安全治理的依據(jù)和執(zhí)行指導(dǎo)，后者正是治理要求在具體執(zhí)行層面的事實與落實；安全檢查，則對應(yīng)著GRC中的R，檢查信息安全治理要求的落實情況和風險規(guī)避的水平；合規(guī)評價，對應(yīng)著GRC中的C，評價信息安全管控措施的內(nèi)外部合規(guī)程度，指導(dǎo)未來的改進方向。

2.3管理體系的實現(xiàn)要素

企業(yè)任何業(yè)務(wù)的有效運行，都離不開人、流程和技術(shù)3個層面的有機組合。因而，成熟的電信行業(yè)信息安全合規(guī)管理體系，人、流程和技術(shù)也構(gòu)成了其實現(xiàn)的要素。針對信息安全合規(guī)管理，具體來說，“人”這一要素構(gòu)成了企業(yè)的信息安全組織，“技術(shù)”這一要素就是指信息安全矩陣，即支撐信息安全管理執(zhí)行落實、安全檢查以及合規(guī)評價的知識基礎(chǔ)，“流程”這一要素指的是信息安全合規(guī)管理平臺，將制度管理、控制落實、安全檢查、合規(guī)評價以及整改等信息安全管理流程固化到平臺中，提供流程化、平臺化的高效管理。

2.3.1信息安全組織

電信企業(yè)都是大型企業(yè)，包含有集團總部和各個省市公司，因而應(yīng)該建立自上而下、分層分級、涵蓋各IT相關(guān)部門的信息安全組織。信息安全組織由安全決策層、安全管理層和安全執(zhí)行層3個層面的人員組成。安全決策層負責制定公司的信息安全目標、掌握整體的信息安全管控與風險水平，部署信息安全改進建設(shè)方向。安全管理層負責制定并審查信息安全制度規(guī)定，建立信息安全的管控要求、執(zhí)行標準和檢查依據(jù)，監(jiān)督安全問題的整改落實情況。安全執(zhí)行層主要是按照要求，落實好公司的各項管控要求，保證信息安全工作落實到崗到人，對于存在問題的地方做好徹底的整改工作。

2.3.2信息安全矩陣

信息安全合規(guī)管理的核心是建立信息安全矩陣。需要對內(nèi)外部信息安全合規(guī)要求進行體系化梳理，建立信息安全矩陣框架，包括控制矩陣、檢查矩陣、對應(yīng)矩陣以及資產(chǎn)矩陣?？刂凭仃?，主要提供信息安全的各項管控要求，指導(dǎo)執(zhí)行人員予以落實，其關(guān)鍵屬性主要包含有控制點描述、控制領(lǐng)域、控制類型、控制頻率。檢查矩陣，主要提供對控制矩陣中的各個控制點執(zhí)行情況的好壞，提供檢查的標準和具體的檢查步驟，用以指導(dǎo)檢查人員進行安全檢查工作，其關(guān)鍵屬性主要包含有檢查點描述、檢查方式、檢查步驟、檢查點固有嚴重度、執(zhí)行建議、控制點編號、資產(chǎn)類型。對應(yīng)矩陣，主要提供企業(yè)內(nèi)部信息安全制度與信息安全控制矩陣的對應(yīng)關(guān)系，便于相應(yīng)的查詢分析的需要；提供外部信息安全監(jiān)管規(guī)范要求與信息安全控制矩陣的對應(yīng)關(guān)系，便于分析當前的控制矩陣是否能夠充分滿足外部監(jiān)管機構(gòu)的監(jiān)管要求，其關(guān)鍵屬性主要包含有內(nèi)部制度/外部規(guī)范控制要求編號和控制點編號。資產(chǎn)矩陣，主要提供對信息安全資產(chǎn)進行定義、分類、管理和查詢等；為控制點執(zhí)行管理、信息安全檢查、信息安全合規(guī)與風險評價等，提供統(tǒng)一的資產(chǎn)數(shù)據(jù)接口，其關(guān)鍵屬性主要包含有資產(chǎn)編號、所屬部門、資產(chǎn)責任人、資產(chǎn)類型、資產(chǎn)重要性等級。如圖1所示，通過信息安全各個矩陣的映射關(guān)聯(lián)關(guān)系，可以進行多維度的查詢分析。

2.3.3信息安全合規(guī)管理平臺

在構(gòu)建了企業(yè)級的全面層次化的信息安全組織，建立了信息安全矩陣后，為了能夠有效地進行信息安全合規(guī)閉環(huán)管理，就需要搭建一個信息安全合規(guī)管理平臺，支撐各個信息安全管理流程的平臺化管理和實施。信息安全合規(guī)管理平臺，從業(yè)務(wù)角度出發(fā)，需要實現(xiàn)以下功能需求：（1）企業(yè)各類信息安全管理工作要求能夠成體系、易維護。（2）企業(yè)任何人員可以通過該平臺了解企業(yè)針對自己所屬組織乃至自身所提出的信息安全工作要求。（3）企業(yè)各級部門通過該平臺明確自己的安全工作目標，各級信息安全管理部門可以通過該平臺對企業(yè)各組織、系統(tǒng)進行安全管理工作檢查、評價和整改指導(dǎo)。（4）企業(yè)各級信息安全管理部門可以通過該平臺進行安全風險分析和量化評價。

3信息安全合規(guī)管理平臺的建設(shè)思路

為了有效地解決電信行業(yè)當前信息安全合規(guī)所面臨的問題和挑戰(zhàn)，未來的合規(guī)平臺將通過制度管理、信息安全矩陣管理、執(zhí)行管理、合規(guī)檢查、合規(guī)風險評價等功能模塊，來實現(xiàn)并支撐信息安全合規(guī)的全生命周期流程管理?；谏鲜龈鞴δ苣K的平臺整體業(yè)務(wù)功能框架視圖如圖2所示。其中，平臺的核心功能主要包含如下。（1）信息安全矩陣管理：該功能模塊主要提供信息安全矩陣的導(dǎo)入導(dǎo)出與維護管理、關(guān)聯(lián)查詢、版本管理和分級管理等功能，支撐對企業(yè)各級公司均適用的信息安全矩陣的統(tǒng)一和管理，作為整個企業(yè)的信息安全管控要求的統(tǒng)一標準。（2）執(zhí)行管理：該功能模塊主要是提供執(zhí)行任務(wù)分配、執(zhí)行人變更管理、控制執(zhí)行提醒和控制執(zhí)行查詢等功能，保證將控制點和檢查點的具體執(zhí)行要求落實到具體的控制點執(zhí)行人員；針對那些周期性執(zhí)行的控制點，通過平臺向執(zhí)行人員定期發(fā)送提醒，督促其按時完成控制點的執(zhí)行要求。（3）合規(guī)檢查：該功能模塊主要是提供檢查計劃管理、人工檢查管理和自動檢查管理功能，用來完成信息安全檢查計劃的制定，對人工檢查和自動檢查進行過程管理，在線記錄或者自動生成相應(yīng)的安全檢查結(jié)果。（4）合規(guī)風險評價：該功能模塊主要是根據(jù)安全檢查的結(jié)果，提供量化的合規(guī)評價、風險評價和綜合評價功能。合規(guī)評價，主要是通過對檢查點結(jié)果統(tǒng)計，得出滿足檢查要求的控制點的比例，主要反映控制點管控落實的工作量。風險評價，主要是針對那些不合規(guī)的控制點，根據(jù)其實際的執(zhí)行情況，分析并得出該控制點的潛在風險高低和影響大小。綜合評價，主要是基于對合規(guī)滿足度的評價結(jié)果和不合規(guī)控制點的風險大小，綜合給出合規(guī)管控工作的完成效果，便于進行橫向比較。根據(jù)電信企業(yè)的特點和信息安全分級管理的需要，可考慮實施集團總部和各個省市公司的兩級/多級平臺基礎(chǔ)架構(gòu)的部署。其中，集團總部的合規(guī)一級平臺將主要負責制度管理、信息安全矩陣管理，制定全集團的安全檢查計劃，分析和評價各省市公司的安全管控水平和風險。省市公司的合規(guī)二級平臺，則側(cè)重于分配落實好集團控制矩陣的各項控制點和要求的責任人，落實集團或者制定省內(nèi)的安全檢查計劃，實施安全檢查工作，分析和評價省內(nèi)的安全管控水平和安全風險，根據(jù)檢查結(jié)果完成后期安全整改工作。

4信息安全合規(guī)管理體系的應(yīng)用與價值

通過搭建信息安全合規(guī)管理平臺，實施信息安全合規(guī)管理體系，能夠帶來重要的價值。（1）提升信息安全管理的統(tǒng)一性和有效性。將分散的信息安全制度進行集中管理，形成以信息安全合規(guī)矩陣為核心，在全公司普遍適用，具有標桿意義的制度框架體系。通過制度體系在平臺中的固化，可以隨時隨地進行信息安全制度的查詢、分析和對標，制度體系的更新與維護也變得十分便捷。同時，建立整個企業(yè)的標準的信息安全合規(guī)管理體系框架，通過平臺統(tǒng)一企業(yè)總部及子公司的信息安全管控落實與檢查評價工作，有效避免實際執(zhí)行工作中的差異性。（2）實現(xiàn)信息安全合規(guī)管控落實的常態(tài)化和流程化。通過信息安全合規(guī)管理平臺固化了信息安全管控執(zhí)行流程和信息安全矩陣，包括控制執(zhí)行方式、控制執(zhí)行頻率、控制所屬崗位、控制關(guān)聯(lián)資產(chǎn)配置等信息，指導(dǎo)具體的IT人員執(zhí)行落實安全管控的工作要求。通過執(zhí)行工作的流程化，將安全管控要求落實到人，確保管理要求能有效執(zhí)行，或結(jié)合安全控制要求的執(zhí)行頻率，定期自動向執(zhí)行人員發(fā)送例行提醒，推動合規(guī)管控落實的常態(tài)化。（3）提升信息安全合規(guī)檢查的效率。通過集成標準化檢查工具，遵循規(guī)范的檢查要求和步驟，大大降低了人工檢查的成本，避免檢查過程中標準不一致和質(zhì)量參差不齊的問題。針對不同的專項檢查需要，可以通過平臺方便地定制有針對性的檢查計劃。針對新的內(nèi)外部信息安全監(jiān)管要求，能夠及時便捷的更新補充相應(yīng)的檢查內(nèi)容和要求到平臺中，保證與外部監(jiān)管要求的一致性和實效性。同時，針對檢查中發(fā)現(xiàn)的問題，通過平臺能夠提供流程化的整改任務(wù)派發(fā)工單，發(fā)送給安全管理人員予以整改，并限定時間，與提醒機制聯(lián)動，整改過程可以通過平臺進行有效的跟蹤，保證信息安全問題得到及時整改。（4）提升信息安全合規(guī)的量化評價水平和決策支撐能力。建立統(tǒng)一的信息安全量化的評價體系和標準，固化到平臺中，實現(xiàn)安全合規(guī)水平的量化管理，結(jié)合平臺的數(shù)據(jù)處理分析能力，提供信息安全合規(guī)管控情況和風險的多維度、可視化視圖。執(zhí)行層可以獲得基于部門、省市公司、IT或者業(yè)務(wù)流程、資產(chǎn)、外部合規(guī)要求等不同維度的統(tǒng)計和分析信息，為信息安全合規(guī)工作的持續(xù)改進提供充足的信息。管理層可以通過統(tǒng)計的結(jié)果，直觀地掌握企業(yè)整體安全管控水平全貌和當前面臨的主要風險，為決策提供有力的數(shù)據(jù)支撐。

5展望

當前，電信企業(yè)面臨著復(fù)雜的網(wǎng)絡(luò)環(huán)境和多種安全挑戰(zhàn)。搭建信息安全合規(guī)管理平臺，構(gòu)建電信企業(yè)信息安全合規(guī)管理體系，正是應(yīng)對這些挑戰(zhàn)的一種努力，但是體系的建設(shè)不是一蹴而就的，需要螺旋式的發(fā)展。信息安全合規(guī)管理可以選取風險最高的安全控制要求進行固化，并在此基礎(chǔ)上進行不斷補充完善，經(jīng)過幾年的時間，才能形成完善的體系，達到安全管理體系化、安全執(zhí)行流程化、安全檢查系統(tǒng)化、安全評價科學(xué)化的目標。

本文作者:張濱工作單位:中國移動通信集團公司信息安全管理與運行中心