導語：電信企業信息安全體系研究一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

1電信企業信息安全管理面臨的問題與挑戰

1.1電信企業的特點

近10年來，電信企業經歷了高速的發展，網絡規模龐大、用戶數量眾多、業務發展多元化，使得電信企業具有了如下的主要運營特點：（1）電信企業業務種類繁多，流程復雜程度高。當前，隨著人們需求的多元化和個性化，單一的話音業務已不能滿足用戶通信的需求，電信企業根據不同細分市場的用戶需求提供多種多樣的增值電信業務，業務流程復雜性增大。同時，電信企業的部分業務涉及多方參與，除了最終用戶，還有眾多第三方公司，甚至還有當地政府部門。在監管方面，電信企業也必須依照國家法律對第三方提供內容監管，防止其提供違法信息。（2）電信業務涉及大量的電子業務數據交互，數據涉及用戶的個人敏感信息。電信企業內部運作主要依賴于各種IT系統，大部分業務數據和內部管理運作軌跡數據都是以電子數據的形式存在于各系統的數據庫中。海量的業務數據中，包含了用戶的個人敏感信息，諸如用戶個人身份信息、訂購信息、交易信息等；內部管理數據中，包含了企業發展戰略、重要規章制度、管理信息等機密內容。不同的業務數據之間要進行交互，如果人為通過系統后臺改變用戶的賬戶或交易信息，將會對業務結算或者財務帶來風險。（3）業務運營和企業內部運作對支撐系統依賴程度高，平臺種類繁多。電信企業所提供的服務都需要后臺支撐系統的支持，如業務運營支撐系統就承載著計費、結算、營業賬務和客戶服務等多項核心業務，這些業務都要求有一個高度穩定、運行順暢、安全可靠的系統。同時，企業內部工作主要依賴管理信息系統，如現在重要的公文審批都會通過OA系統進行簽批，業務系統賬號申請與維護也是在內部管理信息系統中完成。電信行業的這些特點，不難得出信息化運營和管理在電信行業發展中的重要地位，一旦信息安全出現問題，必將帶來十分嚴重的后果。因此，從電信行業的運營特點出發，構建全面的信息安全合規管理體系，是電信企業實現業務快速、穩定、健康發展的必由之路。

1.2信息安全管理面臨的問題

近年來，各大電信企業針對信息安全建設進行了大量的工作，但是依然面臨著很多問題，主要表現在：（1）信息安全管控要求多。存在多個部門、維護信息安全制度的情況，缺乏平臺化的制度管理機制，具體的執行人員很難在第一時間了解最新的安全制度要求。此外，針對同樣的安全管控內容，不同的信息安全制度常常存在標準不統一的情況，令執行人員無所適從。（2）部分信息安全制度中的規定缺乏實質性管控要求，無法明確有效地轉化到執行層面予以落實。同時，往往信息安全管理要求沒有落實到具體的部門，更沒有落實到具體的崗位，面對大量的安全管控要求，執行起來非常困難。（3）信息安全檢查缺乏統一的標準，并且主要采用人工檢查，每次檢查往往需要進行人工訪談、資料查閱、現場測試等多個環節，耗費大量的時間、人力和物力。檢查內容、檢查方法、檢查工具、檢查人員的能力等都成為影響檢查效果的因素。（4）針對企業各個層面的信息安全管理情況缺乏統一的評價標準，不能進行量化考核；沒有量化數據，無法實現對部門和系統合規水平綜合評價的數據支撐。（5）沒有統一的信息安全合規管理平臺，就無法為信息安全合規管理的體系落地、執行提示、監督檢查和水平評價提供統一、全面的系統管理支撐基礎。

1.3信息安全管理的解決之道

針對上述信息安全管理面臨的問題，本文借鑒國際上的GRC管理理念和SOX內控矩陣的思想，按照PDCA管理模式來構建電信企業的信息安全合規管理體系，從而解決信息安全體系化管理難、落實執行難、監督檢查難、量化管理難的問題。通過建立信息安全合規管理系統，形成信息安全合規整體視圖，實現安全要求、任務執行、監督檢查、整改跟蹤、量化評價的管理閉環，支撐信息安全全生命周期的管理，最終達到信息安全水平的持續螺旋式提升。

2信息安全合規管理體系

信息安全合規管理應借鑒國際先進管理理念，明確管理體系的核心要素，從信息安全組織與人員的構建、信息安全矩陣的知識支撐、信息安全合規管理平臺建設等方面入手，來構建電信企業的信息安全合規管理體系。

2.1GRC理念

GRC理念是國際先進的現代化企業管理理念。作為企業上層建筑，GRC包含了公司治理、戰略績效管理、風險管理、審計、法律、合規遵從、IT治理、道德和企業社會責任、質量管理、人力資本、企業文化、財務等廣泛的領域。GRC理念應用的價值在于，以企業管控、風險和法規遵從為對象，為決策層和管理層提供綜合信息和流程控制支持，幫助企業安全、高效地實現預期目標。

2.2管理體系的核心機制

信息安全合規管理體系以制度策略、管控執行、安全檢查、整改跟蹤為主線，實現信息安全合規的閉環管理，也即管理體系的核心機制：（1）制度策略：信息安全管理體系的建設階段，針對信息安全制度進行統籌化、體系化管理，掌握制度體系建設全貌，有效警示制度的缺失和盲點。（2）管控執行：信息安全管理體系的實施階段，將信息安全管控要求明確落實到企業的各個責任部門、崗位和人員，具體執行人員在落實管控要求時，都能得到知識的指導和定期的提醒。（3）安全檢查：信息安全管理體系的檢查階段，推動執行標準化、統一化、平臺化的安全檢查，及時發現安全管控薄弱環節，為潛在風險提供有效的預警和整改過程的跟蹤。（4）整改跟蹤：信息安全管理體系的評價階段，收集并分析安全檢查的結果數據，跟蹤整改效果，評價安全管控水平，通過統計視圖展現安全合規整體視圖，獲取可視化的安全決策信息，支撐今后的信息安全建設方向。制度策略和管控執行，對應的即是GRC中的G，前者作為信息安全治理的依據和執行指導，后者正是治理要求在具體執行層面的事實與落實；安全檢查，則對應著GRC中的R，檢查信息安全治理要求的落實情況和風險規避的水平；合規評價，對應著GRC中的C，評價信息安全管控措施的內外部合規程度，指導未來的改進方向。

2.3管理體系的實現要素

企業任何業務的有效運行，都離不開人、流程和技術3個層面的有機組合。因而，成熟的電信行業信息安全合規管理體系，人、流程和技術也構成了其實現的要素。針對信息安全合規管理，具體來說，“人”這一要素構成了企業的信息安全組織，“技術”這一要素就是指信息安全矩陣，即支撐信息安全管理執行落實、安全檢查以及合規評價的知識基礎，“流程”這一要素指的是信息安全合規管理平臺，將制度管理、控制落實、安全檢查、合規評價以及整改等信息安全管理流程固化到平臺中，提供流程化、平臺化的高效管理。

2.3.1信息安全組織

電信企業都是大型企業，包含有集團總部和各個省市公司，因而應該建立自上而下、分層分級、涵蓋各IT相關部門的信息安全組織。信息安全組織由安全決策層、安全管理層和安全執行層3個層面的人員組成。安全決策層負責制定公司的信息安全目標、掌握整體的信息安全管控與風險水平，部署信息安全改進建設方向。安全管理層負責制定并審查信息安全制度規定，建立信息安全的管控要求、執行標準和檢查依據，監督安全問題的整改落實情況。安全執行層主要是按照要求，落實好公司的各項管控要求，保證信息安全工作落實到崗到人，對于存在問題的地方做好徹底的整改工作。

2.3.2信息安全矩陣

信息安全合規管理的核心是建立信息安全矩陣。需要對內外部信息安全合規要求進行體系化梳理，建立信息安全矩陣框架，包括控制矩陣、檢查矩陣、對應矩陣以及資產矩陣。控制矩陣，主要提供信息安全的各項管控要求，指導執行人員予以落實，其關鍵屬性主要包含有控制點描述、控制領域、控制類型、控制頻率。檢查矩陣，主要提供對控制矩陣中的各個控制點執行情況的好壞，提供檢查的標準和具體的檢查步驟，用以指導檢查人員進行安全檢查工作，其關鍵屬性主要包含有檢查點描述、檢查方式、檢查步驟、檢查點固有嚴重度、執行建議、控制點編號、資產類型。對應矩陣，主要提供企業內部信息安全制度與信息安全控制矩陣的對應關系，便于相應的查詢分析的需要；提供外部信息安全監管規范要求與信息安全控制矩陣的對應關系，便于分析當前的控制矩陣是否能夠充分滿足外部監管機構的監管要求，其關鍵屬性主要包含有內部制度/外部規范控制要求編號和控制點編號。資產矩陣，主要提供對信息安全資產進行定義、分類、管理和查詢等；為控制點執行管理、信息安全檢查、信息安全合規與風險評價等，提供統一的資產數據接口，其關鍵屬性主要包含有資產編號、所屬部門、資產責任人、資產類型、資產重要性等級。如圖1所示，通過信息安全各個矩陣的映射關聯關系，可以進行多維度的查詢分析。

2.3.3信息安全合規管理平臺

在構建了企業級的全面層次化的信息安全組織，建立了信息安全矩陣后，為了能夠有效地進行信息安全合規閉環管理，就需要搭建一個信息安全合規管理平臺，支撐各個信息安全管理流程的平臺化管理和實施。信息安全合規管理平臺，從業務角度出發，需要實現以下功能需求：（1）企業各類信息安全管理工作要求能夠成體系、易維護。（2）企業任何人員可以通過該平臺了解企業針對自己所屬組織乃至自身所提出的信息安全工作要求。（3）企業各級部門通過該平臺明確自己的安全工作目標，各級信息安全管理部門可以通過該平臺對企業各組織、系統進行安全管理工作檢查、評價和整改指導。（4）企業各級信息安全管理部門可以通過該平臺進行安全風險分析和量化評價。

3信息安全合規管理平臺的建設思路

為了有效地解決電信行業當前信息安全合規所面臨的問題和挑戰，未來的合規平臺將通過制度管理、信息安全矩陣管理、執行管理、合規檢查、合規風險評價等功能模塊，來實現并支撐信息安全合規的全生命周期流程管理。基于上述各功能模塊的平臺整體業務功能框架視圖如圖2所示。其中，平臺的核心功能主要包含如下。（1）信息安全矩陣管理：該功能模塊主要提供信息安全矩陣的導入導出與維護管理、關聯查詢、版本管理和分級管理等功能，支撐對企業各級公司均適用的信息安全矩陣的統一和管理，作為整個企業的信息安全管控要求的統一標準。（2）執行管理：該功能模塊主要是提供執行任務分配、執行人變更管理、控制執行提醒和控制執行查詢等功能，保證將控制點和檢查點的具體執行要求落實到具體的控制點執行人員；針對那些周期性執行的控制點，通過平臺向執行人員定期發送提醒，督促其按時完成控制點的執行要求。（3）合規檢查：該功能模塊主要是提供檢查計劃管理、人工檢查管理和自動檢查管理功能，用來完成信息安全檢查計劃的制定，對人工檢查和自動檢查進行過程管理，在線記錄或者自動生成相應的安全檢查結果。（4）合規風險評價：該功能模塊主要是根據安全檢查的結果，提供量化的合規評價、風險評價和綜合評價功能。合規評價，主要是通過對檢查點結果統計，得出滿足檢查要求的控制點的比例，主要反映控制點管控落實的工作量。風險評價，主要是針對那些不合規的控制點，根據其實際的執行情況，分析并得出該控制點的潛在風險高低和影響大小。綜合評價，主要是基于對合規滿足度的評價結果和不合規控制點的風險大小，綜合給出合規管控工作的完成效果，便于進行橫向比較。根據電信企業的特點和信息安全分級管理的需要，可考慮實施集團總部和各個省市公司的兩級/多級平臺基礎架構的部署。其中，集團總部的合規一級平臺將主要負責制度管理、信息安全矩陣管理，制定全集團的安全檢查計劃，分析和評價各省市公司的安全管控水平和風險。省市公司的合規二級平臺，則側重于分配落實好集團控制矩陣的各項控制點和要求的責任人，落實集團或者制定省內的安全檢查計劃，實施安全檢查工作，分析和評價省內的安全管控水平和安全風險，根據檢查結果完成后期安全整改工作。

4信息安全合規管理體系的應用與價值

通過搭建信息安全合規管理平臺，實施信息安全合規管理體系，能夠帶來重要的價值。（1）提升信息安全管理的統一性和有效性。將分散的信息安全制度進行集中管理，形成以信息安全合規矩陣為核心，在全公司普遍適用，具有標桿意義的制度框架體系。通過制度體系在平臺中的固化，可以隨時隨地進行信息安全制度的查詢、分析和對標，制度體系的更新與維護也變得十分便捷。同時，建立整個企業的標準的信息安全合規管理體系框架，通過平臺統一企業總部及子公司的信息安全管控落實與檢查評價工作，有效避免實際執行工作中的差異性。（2）實現信息安全合規管控落實的常態化和流程化。通過信息安全合規管理平臺固化了信息安全管控執行流程和信息安全矩陣，包括控制執行方式、控制執行頻率、控制所屬崗位、控制關聯資產配置等信息，指導具體的IT人員執行落實安全管控的工作要求。通過執行工作的流程化，將安全管控要求落實到人，確保管理要求能有效執行，或結合安全控制要求的執行頻率，定期自動向執行人員發送例行提醒，推動合規管控落實的常態化。（3）提升信息安全合規檢查的效率。通過集成標準化檢查工具，遵循規范的檢查要求和步驟，大大降低了人工檢查的成本，避免檢查過程中標準不一致和質量參差不齊的問題。針對不同的專項檢查需要，可以通過平臺方便地定制有針對性的檢查計劃。針對新的內外部信息安全監管要求，能夠及時便捷的更新補充相應的檢查內容和要求到平臺中，保證與外部監管要求的一致性和實效性。同時，針對檢查中發現的問題，通過平臺能夠提供流程化的整改任務派發工單，發送給安全管理人員予以整改，并限定時間，與提醒機制聯動，整改過程可以通過平臺進行有效的跟蹤，保證信息安全問題得到及時整改。（4）提升信息安全合規的量化評價水平和決策支撐能力。建立統一的信息安全量化的評價體系和標準，固化到平臺中，實現安全合規水平的量化管理，結合平臺的數據處理分析能力，提供信息安全合規管控情況和風險的多維度、可視化視圖。執行層可以獲得基于部門、省市公司、IT或者業務流程、資產、外部合規要求等不同維度的統計和分析信息，為信息安全合規工作的持續改進提供充足的信息。管理層可以通過統計的結果，直觀地掌握企業整體安全管控水平全貌和當前面臨的主要風險，為決策提供有力的數據支撐。

5展望

當前，電信企業面臨著復雜的網絡環境和多種安全挑戰。搭建信息安全合規管理平臺，構建電信企業信息安全合規管理體系，正是應對這些挑戰的一種努力，但是體系的建設不是一蹴而就的，需要螺旋式的發展。信息安全合規管理可以選取風險最高的安全控制要求進行固化，并在此基礎上進行不斷補充完善，經過幾年的時間，才能形成完善的體系，達到安全管理體系化、安全執行流程化、安全檢查系統化、安全評價科學化的目標。

本文作者:張濱工作單位:中國移動通信集團公司信息安全管理與運行中心