一种网络安全合规管控矩阵方法.doc

一种网络安全合规管控矩阵方法
摘要合规管控是大型国有企业网络安全管理的重要组成部分,存在管控要求多、落实执行难、监督检查难、量化管理难的问题。本文提出了一种网络安全合规管控矩阵方法,引入内控矩阵的思想,通过建立合规管控矩阵,建立安全要求、任务执行、监督检查、整改跟踪、量化评价的管理闭环,能够有效地解决大型国有企业网络安全合规管控工作所面临的重大挑战。
【关键词】网络安全国有企业合规管控管控矩阵
1 大型国有企业面临的网络安全合规管控挑战
随着信息化技术的快速发展,互联网网络安全形势日趋严峻,网络安全的重要性越发凸显。2014年中央网络安全和信息化领导小组成立亲自担任组长,标志着网络安全上升到国家安全的高度。国有企业作为关系国家安全和经济命脉的关键组成,涉及电力、水力、交通、运输等关键领域,网络安全建设的重要性自是不言而喻。为了指导企业进行网络安全建设,公安部、工信部、国资委以及各行业主管单位均颁布网络安全相关制度标准,并且定期组织网络安全检查,确保企业网络和信息系统的机密性、完整性和可用性。2016年11月7日,《中华人民共和国网络安全法》正式颁布,对关键信息基础设施运营者的法律责任做出了明确要求。合规性原则已经成为企业进行网络安全建设必须遵循的重要原则,合规管控工作已经成为企业网络安全建设的重要任务。大型国有企业,尤其是涉及电力、水力、交通、运输等关键基础设施的关键企业,面临着网络安全合规管控的重大挑战,主要体现在以下几个方面:
网络安全合规管控要求多。国有企业每年面临各个上级主管单位的网络安全检查,每个单位均有颁布相关的网络安全合规要求和标准,由于检查角度不同等原因,这些标准的要求项有所交叉、重叠,但并不完全一致,形成庞大的合规要求,难以一一落实到位,很容易遗漏。以电网企业为例,一个省级的电网企业所需遵循的网络安全管控标准包括公安部、工信部、国资委、保密局、能源局、电力行业以及集团总部等十多个上级主管单位颁布的数十个网络安全标准。
合规管控要求落实执行难。由于上级主管部门的网络安全标准通常是针对某个行业或者某类企业的通用标准,要求具有通用性,描述通常较为精练概要,往往难以落实执行。尤其是大型国有企业下级单位较多、网络安全人才队伍参差不齐,存在较大差异,对网络安全的重视程度也存在差异,往往只是“知道”合规要求但是不知道如何实施执行,更进一步加剧了合规管控要求执行难的问题。
合规管控要求监督检查难。大型国有企业具有下级单位多的特点,上级承担着对下级的监督检查职责,管理工作量非常大,但由于各种原因网络安全人才有限,往往难以对所有下级单位合规工作进行跟踪检查监督,容易形成疏漏。而且,合规要求通常难以转化为检查项,上级主管部门往往是
“知道”合规要求,但是不知道如何检查。
合规管控要求量化管理难。网络安全建设需要投入大量的人力和物力,但是效果往往难以量化展现,企业管理者难以有效掌控企业的网络安全合规工作的落实情况,也难以衡量网络安全工作人员的工作量和工作效果,尤其是网络安全管控工作。
2 网络安全管控矩阵方法
针对网络安全管控要求多、落实执行难、监督检查难、量化管理难的问题,本文引入内控矩阵的思想,建立了一套网络安全管控矩阵,基于网络安全管控矩阵能够有效地实现安全要求、任?罩葱小⒓喽郊觳椤⒄?改跟踪、