張濱

（中國(guó)移動(dòng)通信集團(tuán)公司信息安全管理與運(yùn)行中心，北京 100053）

電信企業(yè)信息安全合規(guī)管理體系研究

張濱

（中國(guó)移動(dòng)通信集團(tuán)公司信息安全管理與運(yùn)行中心，北京 100053）

本文從電信企業(yè)的特點(diǎn)出發(fā)，深入剖析了電信企業(yè)在信息安全管理方面所面臨的問(wèn)題和挑戰(zhàn)，提出借鑒GRC理念，構(gòu)建信息安全合規(guī)管理體系，有效提升電信企業(yè)信息安全管控水平的方法。文章詳細(xì)介紹了信息安全合規(guī)管理體系的核心機(jī)制和實(shí)現(xiàn)要素，以及合規(guī)管理平臺(tái)建設(shè)思路，指出信息安全合規(guī)管理體系的應(yīng)用價(jià)值以及未來(lái)的發(fā)展方向。

信息安全；合規(guī)；控制矩陣；GRC

張 濱 高級(jí)工程師，現(xiàn)任中國(guó)移動(dòng)通信集團(tuán)公司信息安全管理與運(yùn)行中心總經(jīng)理。清華大學(xué)無(wú)線電系畢業(yè)，曾擔(dān)任江西省移動(dòng)通信局副局長(zhǎng)，中國(guó)移動(dòng)通信集團(tuán)公司計(jì)劃部、管理信息系統(tǒng)部副總經(jīng)理，國(guó)務(wù)院國(guó)有資產(chǎn)監(jiān)督管理委員會(huì)信息中心副主任。長(zhǎng)期從事通信網(wǎng)規(guī)劃建設(shè)、信息化推進(jìn)、信息安全管理工作，參與了中央企業(yè)信息化政策措施研究，組織了中國(guó)移動(dòng)ERP項(xiàng)目的實(shí)施，在通信、互聯(lián)網(wǎng)、信息化和信息安全領(lǐng)域有較深入的研究。

做好信息安全管理是確保電信企業(yè)可持續(xù)發(fā)展的重要手段，是維護(hù)國(guó)家安全、社會(huì)穩(wěn)定，履行社會(huì)責(zé)任的基本需要，也是企業(yè)自身發(fā)展的需要。為了保障企業(yè)的安全運(yùn)營(yíng)，企業(yè)內(nèi)部形成了各種安全管理制度。另外，公安部、工信部、國(guó)家保密局等部委都陸續(xù)頒發(fā)了相關(guān)企業(yè)信息安全管理的要求，如《信息安全等級(jí)保護(hù)管理辦法》、《互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定》、《基礎(chǔ)電信企業(yè)信息安全責(zé)任管理辦法》、《通信網(wǎng)安全防護(hù)技術(shù)要求》等，同時(shí)，作為海外上市公司，電信企業(yè)還必須遵循《薩班斯法案》相關(guān)要求。電信企業(yè)需要滿足的合規(guī)要求眾多，信息安全體系化管理難、落實(shí)執(zhí)行難、監(jiān)督檢查難、量化評(píng)價(jià)難成為信息安全管理工作中的突出問(wèn)題。

信息安全合規(guī)管理的總體目標(biāo)，就是借鑒國(guó)際先進(jìn)GRC管理理念，按照PDCA管理模式，建立合規(guī)要求、合規(guī)執(zhí)行、合規(guī)檢查、合規(guī)評(píng)價(jià)、合規(guī)整改的閉環(huán)管理機(jī)制。通過(guò)采取相應(yīng)的技術(shù)手段和管理措施，實(shí)現(xiàn)信息安全管理體系化、落實(shí)執(zhí)行流程化、監(jiān)督檢查系統(tǒng)化，水平評(píng)價(jià)科學(xué)化，從而實(shí)現(xiàn)信息安全管理水平的螺旋式提升，最終保障企業(yè)的可持續(xù)健康發(fā)展。

1 電信企業(yè)信息安全管理面臨的問(wèn)題與挑戰(zhàn)

1.1 電信企業(yè)的特點(diǎn)

近10年來(lái)，電信企業(yè)經(jīng)歷了高速的發(fā)展，網(wǎng)絡(luò)規(guī)模龐大、用戶數(shù)量眾多、業(yè)務(wù)發(fā)展多元化，使得電信企業(yè)具有了如下的主要運(yùn)營(yíng)特點(diǎn)：

（1）電信企業(yè)業(yè)務(wù)種類繁多，流程復(fù)雜程度高。當(dāng)前，隨著人們需求的多元化和個(gè)性化，單一的話音業(yè)務(wù)已不能滿足用戶通信的需求，電信企業(yè)根據(jù)不同細(xì)分市場(chǎng)的用戶需求提供多種多樣的增值電信業(yè)務(wù)，業(yè)務(wù)流程復(fù)雜性增大。同時(shí)，電信企業(yè)的部分業(yè)務(wù)涉及多方參與，除了最終用戶，還有眾多第三方公司，甚至還有當(dāng)?shù)卣块T(mén)。在監(jiān)管方面，電信企業(yè)也必須依照國(guó)家法律對(duì)第三方提供內(nèi)容監(jiān)管，防止其提供違法信息。

（2）電信業(yè)務(wù)涉及大量的電子業(yè)務(wù)數(shù)據(jù)交互，數(shù)據(jù)涉及用戶的個(gè)人敏感信息。電信企業(yè)內(nèi)部運(yùn)作主要依賴于各種IT系統(tǒng)，大部分業(yè)務(wù)數(shù)據(jù)和內(nèi)部管理運(yùn)作軌跡數(shù)據(jù)都是以電子數(shù)據(jù)的形式存在于各系統(tǒng)的數(shù)據(jù)庫(kù)中。海量的業(yè)務(wù)數(shù)據(jù)中，包含了用戶的個(gè)人敏感信息，諸如用戶個(gè)人身份信息、訂購(gòu)信息、交易信息等；內(nèi)部管理數(shù)據(jù)中，包含了企業(yè)發(fā)展戰(zhàn)略、重要規(guī)章制度、管理信息等機(jī)密內(nèi)容。不同的業(yè)務(wù)數(shù)據(jù)之間要進(jìn)行交互，如果人為通過(guò)系統(tǒng)后臺(tái)改變用戶的賬戶或交易信息，將會(huì)對(duì)業(yè)務(wù)結(jié)算或者財(cái)務(wù)帶來(lái)風(fēng)險(xiǎn)。

（3）業(yè)務(wù)運(yùn)營(yíng)和企業(yè)內(nèi)部運(yùn)作對(duì)支撐系統(tǒng)依賴程度高，平臺(tái)種類繁多。電信企業(yè)所提供的服務(wù)都需要后臺(tái)支撐系統(tǒng)的支持，如業(yè)務(wù)運(yùn)營(yíng)支撐系統(tǒng)就承載著計(jì)費(fèi)、結(jié)算、營(yíng)業(yè)賬務(wù)和客戶服務(wù)等多項(xiàng)核心業(yè)務(wù)，這些業(yè)務(wù)都要求有一個(gè)高度穩(wěn)定、運(yùn)行順暢、安全可靠的系統(tǒng)。同時(shí)，企業(yè)內(nèi)部工作主要依賴管理信息系統(tǒng)，如現(xiàn)在重要的公文審批都會(huì)通過(guò)OA系統(tǒng)進(jìn)行簽批，業(yè)務(wù)系統(tǒng)賬號(hào)申請(qǐng)與維護(hù)也是在內(nèi)部管理信息系統(tǒng)中完成。

電信行業(yè)的這些特點(diǎn)，不難得出信息化運(yùn)營(yíng)和管理在電信行業(yè)發(fā)展中的重要地位，一旦信息安全出現(xiàn)問(wèn)題，必將帶來(lái)十分嚴(yán)重的后果。因此，從電信行業(yè)的運(yùn)營(yíng)特點(diǎn)出發(fā)，構(gòu)建全面的信息安全合規(guī)管理體系，是電信企業(yè)實(shí)現(xiàn)業(yè)務(wù)快速、穩(wěn)定、健康發(fā)展的必由之路。

1.2 信息安全管理面臨的問(wèn)題

近年來(lái)，各大電信企業(yè)針對(duì)信息安全建設(shè)進(jìn)行了大量的工作，但是依然面臨著很多問(wèn)題，主要表現(xiàn)在：

（1）信息安全管控要求多。存在多個(gè)部門(mén)發(fā)布、維護(hù)信息安全制度的情況，缺乏平臺(tái)化的制度管理機(jī)制，具體的執(zhí)行人員很難在第一時(shí)間了解最新的安全制度要求。此外，針對(duì)同樣的安全管控內(nèi)容，不同的信息安全制度常常存在標(biāo)準(zhǔn)不統(tǒng)一的情況，令執(zhí)行人員無(wú)所適從。

（2）部分信息安全制度中的規(guī)定缺乏實(shí)質(zhì)性管控要求，無(wú)法明確有效地轉(zhuǎn)化到執(zhí)行層面予以落實(shí)。同時(shí)，往往信息安全管理要求沒(méi)有落實(shí)到具體的部門(mén)，更沒(méi)有落實(shí)到具體的崗位，面對(duì)大量的安全管控要求，執(zhí)行起來(lái)非常困難。

（3）信息安全檢查缺乏統(tǒng)一的標(biāo)準(zhǔn)，并且主要采用人工檢查，每次檢查往往需要進(jìn)行人工訪談、資料查閱、現(xiàn)場(chǎng)測(cè)試等多個(gè)環(huán)節(jié)，耗費(fèi)大量的時(shí)間、人力和物力。檢查內(nèi)容、檢查方法、檢查工具、檢查人員的能力等都成為影響檢查效果的因素。

（4）針對(duì)企業(yè)各個(gè)層面的信息安全管理情況缺乏統(tǒng)一的評(píng)價(jià)標(biāo)準(zhǔn)，不能進(jìn)行量化考核；沒(méi)有量化數(shù)據(jù)，無(wú)法實(shí)現(xiàn)對(duì)部門(mén)和系統(tǒng)合規(guī)水平綜合評(píng)價(jià)的數(shù)據(jù)支撐。

（5）沒(méi)有統(tǒng)一的信息安全合規(guī)管理平臺(tái)，就無(wú)法為信息安全合規(guī)管理的體系落地、執(zhí)行提示、監(jiān)督檢查和水平評(píng)價(jià)提供統(tǒng)一、全面的系統(tǒng)管理支撐基礎(chǔ)。

1.3 信息安全管理的解決之道

針對(duì)上述信息安全管理面臨的問(wèn)題，本文借鑒國(guó)際上的GRC管理理念和SOX內(nèi)控矩陣的思想，按照PDCA管理模式來(lái)構(gòu)建電信企業(yè)的信息安全合規(guī)管理體系，從而解決信息安全體系化管理難、落實(shí)執(zhí)行難、監(jiān)督檢查難、量化管理難的問(wèn)題。通過(guò)建立信息安全合規(guī)管理系統(tǒng)，形成信息安全合規(guī)整體視圖，實(shí)現(xiàn)安全要求、任務(wù)執(zhí)行、監(jiān)督檢查、整改跟蹤、量化評(píng)價(jià)的管理閉環(huán)，支撐信息安全全生命周期的管理，最終達(dá)到信息安全水平的持續(xù)螺旋式提升。

2 信息安全合規(guī)管理體系

信息安全合規(guī)管理應(yīng)借鑒國(guó)際先進(jìn)管理理念，明確管理體系的核心要素，從信息安全組織與人員的構(gòu)建、信息安全矩陣的知識(shí)支撐、信息安全合規(guī)管理平臺(tái)建設(shè)等方面入手，來(lái)構(gòu)建電信企業(yè)的信息安全合規(guī)管理體系。

2.1 GRC理念

GRC理念是國(guó)際先進(jìn)的現(xiàn)代化企業(yè)管理理念。作為企業(yè)上層建筑，GRC包含了公司治理、戰(zhàn)略績(jī)效管理、風(fēng)險(xiǎn)管理、審計(jì)、法律、合規(guī)遵從、IT治理、道德和企業(yè)社會(huì)責(zé)任、質(zhì)量管理、人力資本、企業(yè)文化、財(cái)務(wù)等廣泛的領(lǐng)域。GRC理念應(yīng)用的價(jià)值在于，以企業(yè)管控、風(fēng)險(xiǎn)和法規(guī)遵從為對(duì)象，為決策層和管理層提供綜合信息和流程控制支持，幫助企業(yè)安全、高效地實(shí)現(xiàn)預(yù)期目標(biāo)。

2.2 管理體系的核心機(jī)制

信息安全合規(guī)管理體系以制度策略、管控執(zhí)行、安全檢查、整改跟蹤為主線，實(shí)現(xiàn)信息安全合規(guī)的閉環(huán)管理，也即管理體系的核心機(jī)制：

（1）制度策略：信息安全管理體系的建設(shè)階段，針對(duì)信息安全制度進(jìn)行統(tǒng)籌化、體系化管理，掌握制度體系建設(shè)全貌，有效警示制度的缺失和盲點(diǎn)。

（2）管控執(zhí)行：信息安全管理體系的實(shí)施階段，將信息安全管控要求明確落實(shí)到企業(yè)的各個(gè)責(zé)任部門(mén)、崗位和人員，具體執(zhí)行人員在落實(shí)管控要求時(shí)，都能得到知識(shí)的指導(dǎo)和定期的提醒。

（3）安全檢查：信息安全管理體系的檢查階段，推動(dòng)執(zhí)行標(biāo)準(zhǔn)化、統(tǒng)一化、平臺(tái)化的安全檢查，及時(shí)發(fā)現(xiàn)安全管控薄弱環(huán)節(jié)，為潛在風(fēng)險(xiǎn)提供有效的預(yù)警和整改過(guò)程的跟蹤。

（4）整改跟蹤：信息安全管理體系的評(píng)價(jià)階段，收集并分析安全檢查的結(jié)果數(shù)據(jù)，跟蹤整改效果，評(píng)價(jià)安全管控水平，通過(guò)統(tǒng)計(jì)視圖展現(xiàn)安全合規(guī)整體視圖，獲取可視化的安全決策信息，支撐今后的信息安全建設(shè)方向。

制度策略和管控執(zhí)行，對(duì)應(yīng)的即是GRC中的G，前者作為信息安全治理的依據(jù)和執(zhí)行指導(dǎo)，后者正是治理要求在具體執(zhí)行層面的事實(shí)與落實(shí)；安全檢查，則對(duì)應(yīng)著GRC中的R，檢查信息安全治理要求的落實(shí)情況和風(fēng)險(xiǎn)規(guī)避的水平；合規(guī)評(píng)價(jià)，對(duì)應(yīng)著GRC中的C，評(píng)價(jià)信息安全管控措施的內(nèi)外部合規(guī)程度，指導(dǎo)未來(lái)的改進(jìn)方向。

2.3 管理體系的實(shí)現(xiàn)要素

企業(yè)任何業(yè)務(wù)的有效運(yùn)行，都離不開(kāi)人、流程和技術(shù)3個(gè)層面的有機(jī)組合。因而，成熟的電信行業(yè)信息安全合規(guī)管理體系，人、流程和技術(shù)也構(gòu)成了其實(shí)現(xiàn)的要素。針對(duì)信息安全合規(guī)管理，具體來(lái)說(shuō)，“人”這一要素構(gòu)成了企業(yè)的信息安全組織，“技術(shù)”這一要素就是指信息安全矩陣，即支撐信息安全管理執(zhí)行落實(shí)、安全檢查以及合規(guī)評(píng)價(jià)的知識(shí)基礎(chǔ)，“流程”這一要素指的是信息安全合規(guī)管理平臺(tái)，將制度管理、控制落實(shí)、安全檢查、合規(guī)評(píng)價(jià)以及整改等信息安全管理流程固化到平臺(tái)中，提供流程化、平臺(tái)化的高效管理。

2.3.1 信息安全組織

電信企業(yè)都是大型企業(yè)，包含有集團(tuán)總部和各個(gè)省市公司，因而應(yīng)該建立自上而下、分層分級(jí)、涵蓋各IT相關(guān)部門(mén)的信息安全組織。信息安全組織由安全決策層、安全管理層和安全執(zhí)行層3個(gè)層面的人員組成。安全決策層負(fù)責(zé)制定公司的信息安全目標(biāo)、掌握整體的信息安全管控與風(fēng)險(xiǎn)水平，部署信息安全改進(jìn)建設(shè)方向。安全管理層負(fù)責(zé)制定并審查信息安全制度規(guī)定，建立信息安全的管控要求、執(zhí)行標(biāo)準(zhǔn)和檢查依據(jù)，監(jiān)督安全問(wèn)題的整改落實(shí)情況。安全執(zhí)行層主要是按照要求，落實(shí)好公司的各項(xiàng)管控要求，保證信息安全工作落實(shí)到崗到人，對(duì)于存在問(wèn)題的地方做好徹底的整改工作。

2.3.2 信息安全矩陣

信息安全合規(guī)管理的核心是建立信息安全矩陣。需要對(duì)內(nèi)外部信息安全合規(guī)要求進(jìn)行體系化梳理，建立信息安全矩陣框架，包括控制矩陣、檢查矩陣、對(duì)應(yīng)矩陣以及資產(chǎn)矩陣。

控制矩陣，主要提供信息安全的各項(xiàng)管控要求，指導(dǎo)執(zhí)行人員予以落實(shí)，其關(guān)鍵屬性主要包含有控制點(diǎn)描述、控制領(lǐng)域、控制類型、控制頻率。

檢查矩陣，主要提供對(duì)控制矩陣中的各個(gè)控制點(diǎn)執(zhí)行情況的好壞，提供檢查的標(biāo)準(zhǔn)和具體的檢查步驟，用以指導(dǎo)檢查人員進(jìn)行安全檢查工作，其關(guān)鍵屬性主要包含有檢查點(diǎn)描述、檢查方式、檢查步驟、檢查點(diǎn)固有嚴(yán)重度、執(zhí)行建議、控制點(diǎn)編號(hào)、資產(chǎn)類型。

對(duì)應(yīng)矩陣，主要提供企業(yè)內(nèi)部信息安全制度與信息安全控制矩陣的對(duì)應(yīng)關(guān)系，便于相應(yīng)的查詢分析的需要；提供外部信息安全監(jiān)管規(guī)范要求與信息安全控制矩陣的對(duì)應(yīng)關(guān)系，便于分析當(dāng)前的控制矩陣是否能夠充分滿足外部監(jiān)管機(jī)構(gòu)的監(jiān)管要求，其關(guān)鍵屬性主要包含有內(nèi)部制度/外部規(guī)范控制要求編號(hào)和控制點(diǎn)編號(hào)。

資產(chǎn)矩陣，主要提供對(duì)信息安全資產(chǎn)進(jìn)行定義、分類、管理和查詢等；為控制點(diǎn)執(zhí)行管理、信息安全檢查、信息安全合規(guī)與風(fēng)險(xiǎn)評(píng)價(jià)等，提供統(tǒng)一的資產(chǎn)數(shù)據(jù)接口，其關(guān)鍵屬性主要包含有資產(chǎn)編號(hào)、所屬部門(mén)、資產(chǎn)責(zé)任人、資產(chǎn)類型、資產(chǎn)重要性等級(jí)。

如圖1所示，通過(guò)信息安全各個(gè)矩陣的映射關(guān)聯(lián)關(guān)系，可以進(jìn)行多維度的查詢分析。

圖1 信息安全矩陣的映射關(guān)聯(lián)

2.3.3 信息安全合規(guī)管理平臺(tái)

在構(gòu)建了企業(yè)級(jí)的全面層次化的信息安全組織，建立了信息安全矩陣后，為了能夠有效地進(jìn)行信息安全合規(guī)閉環(huán)管理，就需要搭建一個(gè)信息安全合規(guī)管理平臺(tái)，支撐各個(gè)信息安全管理流程的平臺(tái)化管理和實(shí)施。信息安全合規(guī)管理平臺(tái)，從業(yè)務(wù)角度出發(fā)，需要實(shí)現(xiàn)以下功能需求：

（1）企業(yè)各類信息安全管理工作要求能夠成體系、易維護(hù)。

（2）企業(yè)任何人員可以通過(guò)該平臺(tái)了解企業(yè)針對(duì)自己所屬組織乃至自身所提出的信息安全工作要求。

（3）企業(yè)各級(jí)部門(mén)通過(guò)該平臺(tái)明確自己的安全工作目標(biāo)，各級(jí)信息安全管理部門(mén)可以通過(guò)該平臺(tái)對(duì)企業(yè)各組織、系統(tǒng)進(jìn)行安全管理工作檢查、評(píng)價(jià)和整改指導(dǎo)。

（4）企業(yè)各級(jí)信息安全管理部門(mén)可以通過(guò)該平臺(tái)進(jìn)行安全風(fēng)險(xiǎn)分析和量化評(píng)價(jià)。

3 信息安全合規(guī)管理平臺(tái)的建設(shè)思路

為了有效地解決電信行業(yè)當(dāng)前信息安全合規(guī)所面臨的問(wèn)題和挑戰(zhàn)，未來(lái)的合規(guī)平臺(tái)將通過(guò)制度管理、信息安全矩陣管理、執(zhí)行管理、合規(guī)檢查、合規(guī)風(fēng)險(xiǎn)評(píng)價(jià)等功能模塊，來(lái)實(shí)現(xiàn)并支撐信息安全合規(guī)的全生命周期流程管理?；谏鲜龈鞴δ苣K的平臺(tái)整體業(yè)務(wù)功能框架視圖如圖2所示。

其中，平臺(tái)的核心功能主要包含如下。

（1）信息安全矩陣管理：該功能模塊主要提供信息安全矩陣的導(dǎo)入導(dǎo)出與維護(hù)管理、關(guān)聯(lián)查詢、版本管理和分級(jí)管理等功能，支撐對(duì)企業(yè)各級(jí)公司均適用的信息安全矩陣的統(tǒng)一發(fā)布和管理，作為整個(gè)企業(yè)的信息安全管控要求的統(tǒng)一標(biāo)準(zhǔn)。

（2）執(zhí)行管理：該功能模塊主要是提供執(zhí)行任務(wù)分配、執(zhí)行人變更管理、控制執(zhí)行提醒和控制執(zhí)行查詢等功能，保證將控制點(diǎn)和檢查點(diǎn)的具體執(zhí)行要求落實(shí)到具體的控制點(diǎn)執(zhí)行人員；針對(duì)那些周期性執(zhí)行的控制點(diǎn)，通過(guò)平臺(tái)向執(zhí)行人員定期發(fā)送提醒，督促其按時(shí)完成控制點(diǎn)的執(zhí)行要求。

圖2 信息安全合規(guī)平臺(tái)

（3）合規(guī)檢查：該功能模塊主要是提供檢查計(jì)劃管理、人工檢查管理和自動(dòng)檢查管理功能，用來(lái)完成信息安全檢查計(jì)劃的制定，對(duì)人工檢查和自動(dòng)檢查進(jìn)行過(guò)程管理，在線記錄或者自動(dòng)生成相應(yīng)的安全檢查結(jié)果。

（4）合規(guī)風(fēng)險(xiǎn)評(píng)價(jià)：該功能模塊主要是根據(jù)安全檢查的結(jié)果，提供量化的合規(guī)評(píng)價(jià)、風(fēng)險(xiǎn)評(píng)價(jià)和綜合評(píng)價(jià)功能。合規(guī)評(píng)價(jià)，主要是通過(guò)對(duì)檢查點(diǎn)結(jié)果統(tǒng)計(jì)，得出滿足檢查要求的控制點(diǎn)的比例，主要反映控制點(diǎn)管控落實(shí)的工作量。風(fēng)險(xiǎn)評(píng)價(jià)，主要是針對(duì)那些不合規(guī)的控制點(diǎn)，根據(jù)其實(shí)際的執(zhí)行情況，分析并得出該控制點(diǎn)的潛在風(fēng)險(xiǎn)高低和影響大小。綜合評(píng)價(jià)，主要是基于對(duì)合規(guī)滿足度的評(píng)價(jià)結(jié)果和不合規(guī)控制點(diǎn)的風(fēng)險(xiǎn)大小，綜合給出合規(guī)管控工作的完成效果，便于進(jìn)行橫向比較。

根據(jù)電信企業(yè)的特點(diǎn)和信息安全分級(jí)管理的需要，可考慮實(shí)施集團(tuán)總部和各個(gè)省市公司的兩級(jí)/多級(jí)平臺(tái)基礎(chǔ)架構(gòu)的部署。其中，集團(tuán)總部的合規(guī)一級(jí)平臺(tái)將主要負(fù)責(zé)制度管理、信息安全矩陣管理，制定全集團(tuán)的安全檢查計(jì)劃，分析和評(píng)價(jià)各省市公司的安全管控水平和風(fēng)險(xiǎn)。省市公司的合規(guī)二級(jí)平臺(tái)，則側(cè)重于分配落實(shí)好集團(tuán)控制矩陣的各項(xiàng)控制點(diǎn)和要求的責(zé)任人，落實(shí)集團(tuán)或者制定省內(nèi)的安全檢查計(jì)劃，實(shí)施安全檢查工作，分析和評(píng)價(jià)省內(nèi)的安全管控水平和安全風(fēng)險(xiǎn)，根據(jù)檢查結(jié)果完成后期安全整改工作。

4 信息安全合規(guī)管理體系的應(yīng)用與價(jià)值

通過(guò)搭建信息安全合規(guī)管理平臺(tái)，實(shí)施信息安全合規(guī)管理體系，能夠帶來(lái)重要的價(jià)值。

（1）提升信息安全管理的統(tǒng)一性和有效性。將分散的信息安全制度進(jìn)行集中管理，形成以信息安全合規(guī)矩陣為核心，在全公司普遍適用，具有標(biāo)桿意義的制度框架體系。通過(guò)制度體系在平臺(tái)中的固化，可以隨時(shí)隨地進(jìn)行信息安全制度的查詢、分析和對(duì)標(biāo)，制度體系的更新與維護(hù)也變得十分便捷。同時(shí)，建立整個(gè)企業(yè)的標(biāo)準(zhǔn)的信息安全合規(guī)管理體系框架，通過(guò)平臺(tái)統(tǒng)一企業(yè)總部及子公司的信息安全管控落實(shí)與檢查評(píng)價(jià)工作，有效避免實(shí)際執(zhí)行工作中的差異性。

（2）實(shí)現(xiàn)信息安全合規(guī)管控落實(shí)的常態(tài)化和流程化。通過(guò)信息安全合規(guī)管理平臺(tái)固化了信息安全管控執(zhí)行流程和信息安全矩陣，包括控制執(zhí)行方式、控制執(zhí)行頻率、控制所屬崗位、控制關(guān)聯(lián)資產(chǎn)配置等信息，指導(dǎo)具體的IT人員執(zhí)行落實(shí)安全管控的工作要求。通過(guò)執(zhí)行工作的流程化，將安全管控要求落實(shí)到人，確保管理要求能有效執(zhí)行，或結(jié)合安全控制要求的執(zhí)行頻率，定期自動(dòng)向執(zhí)行人員發(fā)送例行提醒，推動(dòng)合規(guī)管控落實(shí)的常態(tài)化。

（3）提升信息安全合規(guī)檢查的效率。通過(guò)集成標(biāo)準(zhǔn)化檢查工具，遵循規(guī)范的檢查要求和步驟，大大降低了人工檢查的成本，避免檢查過(guò)程中標(biāo)準(zhǔn)不一致和質(zhì)量參差不齊的問(wèn)題。針對(duì)不同的專項(xiàng)檢查需要，可以通過(guò)平臺(tái)方便地定制有針對(duì)性的檢查計(jì)劃。針對(duì)新的內(nèi)外部信息安全監(jiān)管要求，能夠及時(shí)便捷的更新補(bǔ)充相應(yīng)的檢查內(nèi)容和要求到平臺(tái)中，保證與外部監(jiān)管要求的一致性和實(shí)效性。同時(shí)，針對(duì)檢查中發(fā)現(xiàn)的問(wèn)題，通過(guò)平臺(tái)能夠提供流程化的整改任務(wù)派發(fā)工單，發(fā)送給安全管理人員予以整改，并限定時(shí)間，與提醒機(jī)制聯(lián)動(dòng)，整改過(guò)程可以通過(guò)平臺(tái)進(jìn)行有效的跟蹤，保證信息安全問(wèn)題得到及時(shí)整改。

（4）提升信息安全合規(guī)的量化評(píng)價(jià)水平和決策支撐能力。建立統(tǒng)一的信息安全量化的評(píng)價(jià)體系和標(biāo)準(zhǔn)，固化到平臺(tái)中，實(shí)現(xiàn)安全合規(guī)水平的量化管理，結(jié)合平臺(tái)的數(shù)據(jù)處理分析能力，提供信息安全合規(guī)管控情況和風(fēng)險(xiǎn)的多維度、可視化視圖。

執(zhí)行層可以獲得基于部門(mén)、省市公司、IT或者業(yè)務(wù)流程、資產(chǎn)、外部合規(guī)要求等不同維度的統(tǒng)計(jì)和分析信息，為信息安全合規(guī)工作的持續(xù)改進(jìn)提供充足的信息。管理層可以通過(guò)統(tǒng)計(jì)的結(jié)果，直觀地掌握企業(yè)整體安全管控水平全貌和當(dāng)前面臨的主要風(fēng)險(xiǎn)，為決策提供有力的數(shù)據(jù)支撐。

5 展望

當(dāng)前，電信企業(yè)面臨著復(fù)雜的網(wǎng)絡(luò)環(huán)境和多種安全挑戰(zhàn)。搭建信息安全合規(guī)管理平臺(tái)，構(gòu)建電信企業(yè)信息安全合規(guī)管理體系，正是應(yīng)對(duì)這些挑戰(zhàn)的一種努力，但是體系的建設(shè)不是一蹴而就的，需要螺旋式的發(fā)展。信息安全合規(guī)管理可以選取風(fēng)險(xiǎn)最高的安全控制要求進(jìn)行固化，并在此基礎(chǔ)上進(jìn)行不斷補(bǔ)充完善，經(jīng)過(guò)幾年的時(shí)間，才能形成完善的體系，達(dá)到安全管理體系化、安全執(zhí)行流程化、安全檢查系統(tǒng)化、安全評(píng)價(jià)科學(xué)化的目標(biāo)。

Study on information security compliance management system of telecom enterprise

ZHANG Bin
(China Mobile Information Security Center, Beijing 100053, China)

This article analyzes the characteristics of the telecommunications enterprises, the problems and challenges in information security management, and builds information security compliance management system, on the idea of GRC to effectively enhance telecommunications enterprise information security management and control ability. The article describes in detail the core mechanism of the information security and compliance management system and elements, as well as compliance management platform construction ideas, pointing out the value of information security and compliance management system and the future directiont.

information security; compliance; control matrix; GRC

TN918

A

1008-5599（2013）12-0001-06

2013-11-22