电信企业信息安全体系研究.doc

书山有路勤为径，学海无涯苦作舟。

电信企业信息安全体系研究
书山有路勤为径，学海无涯苦作舟。

1电信企业信息安全管理面临的问题与挑战

近10年来，电信企业经历了高速的发展，网络规模庞大、用户数量众多、业务发展多元化，使得电信企业具有了如下的主要运营特点：（1）电信企业业务种类繁多，流程复杂程度高。当前，随着人们需求的多元化和个性化，单一的话音业务已不能满足用户通信的需求，电信企业根据不同细分市场的用户需求提供多种多样的增值电信业务，业务流程复杂性增大。同时，电信企业的部分业务涉及多方参与，除了最终用户，还有众多第三方公司，甚至还有当地政府部门。在监管方面，电信企业也必须依照国家法律对第三方提供内容监管，防止其提供违法信息。（2）电信业务涉及大量的电子业务数据交互，数据涉及用户的个人敏感信息。电信企业内部运作主要依赖于各种it系统，大部分业务数据和内部管理运作轨迹数据都是以电子数据的形式存在于各系统的数据库中。海量的业务数据中，包含了用户的个人敏感信息，诸如用户个人身份信息、订购信息、交易信息等；内部管理数据中，包含了企业发展战略、重要规章制度、管理信息等机密内容。不同的业务数据之间要进行交互，如果人为通过系统后台改变用户的账户或交易信息，将会对业务结算或者财务带来风险。（3）业务运营和企业内部运作对支撑系统依赖程度高，平台种类繁多。电信企业所提供的服务都需要后台支撑系统的支持，如业务运营支撑系统就承载着计费、结算、营业账务和客户服务等多项核心业务，这些业务都要求有一个高度稳定、运行顺畅、安全可靠的系统。同时，企业内部工作主要依赖管理信息系统，如现在重要的公文审批都会通过oa系统进行签批，业务系统账号申请与维护也是在内部管理信息系统中完成。电信行业的这些特点，不难得出信息化运营和管理在电信行业发展中的重要地位，一旦信息安全出现问题，必将带来十分严重的后果。因此，从电信行业的运营特点出发，构建全面的信息安全合规管理体系，是电信企业实现业务快速、稳定、健康发展的必由之路。

近年来，各大电信企业针对信息安全建设进行了大量的工作，但是依然面临着很多问题，主要表现在：（1）信息安全管控要求多。存在多个部门发布、维护信息安全制度的情况，缺乏平台化的制度管理机制，具体的执行人员很难在第一时间了解最新的安全制度要求。此外，针对同样的安全管控内容，不同的信息安全制度常常存在标准不统一的情况，令执行人员无所适从。（2）部分信息安全制度中的规定缺乏实质性管控要求，无法明确有效地转化到执行层面予以落实。同时，往往信息安全管理要求没有落实到具体的部门，更没有落实到具体的岗位，面对大量的安全管控要求，执行起来非常困难。（3）信息安全检查缺乏统一的标准，并且主要采用人工检查，每次检查往往需要进行人工访谈、资料查阅、现场测试等多个环节，耗费大量的时间、人力和物力。检查内容、检查方法、检查工具、检查人员的能力等都成为影响检查效果的因素。（4）针对企业各个层面的信息安全管理情况缺乏统一的评价标准，不能进行量化考核；没有量化数据，无法实现对部门和系统合规水平综合评价的数据支撑。（5）没有统一的信息安全合规管理平台，就无法为信息安全合规管理的体系落地、执行提示、监督检查和水平评价提供统一、全面的系统管理支撑基础。

针对上述信息安全管理面临的问题，本文借鉴国际上的grc管理理念和sox内控矩阵的思想，按照pdca管理模式来构建电信企业的信息安全合规管理体系，从而解决信息安全体系化管理难、落实执行难、监督检查难、量化管理难的问题。通过建立信息安全合规管理系统，形成信息安全合规整体视图，实现安全要求、任务执行、监督检查、整改跟踪、量化评价的管理闭环，支撑信息安全全生命周期的管理，最终达到信息安全水平的持续螺旋式提升。
2信息安全合规管理体系
信息安全合规管理应借鉴国际先进管理理念，明确管理体系的核心要素，从信息安全组织与人员的构建、信息安全矩阵的知识支撑、信息安全合规管理平台建设等方面入手，来构建电信企业的信息安全合规管理体系。

grc理念是国际先进的现代化企业管理理念。作为企业上层建筑，grc包含了公司治理、战略绩效管理、风险管理、审计、法律、合规遵从、it治理、道德和企业社会责任、质量管理、人力资本、企业文化、财务等广泛的领域。grc理念应用的价值在于，以企业管控、风险和法规遵从为对象，为决策层和管理层提供综合信息和流程控制支持，帮助企业安