隨煊

摘 要 文章通過識別大型電子通訊企業(yè)建設信息安全體系的目的，結合企業(yè)實踐，提出了信息安全管理體系建設的策略，分為高層重視、保證資源投入、建立信息安全組織、定期進行風險評估、重視培訓、充分運用技術手段、審計與檢查等幾個方面，供電子通訊企業(yè)的信息安全管理人員參考。

關鍵詞 信息安全；管理體系；電子通訊；企業(yè)

中圖分類號 TN91 文獻標識碼 A 文章編號 1674-6708（2018）225-0112-02

隨著信息技術在企業(yè)及其產品中的深入應用，大型電子通訊企業(yè)越來越重視信息安全體系建設。而早在2005年，ISO就推出了ISO/IEC 27001：2005標準，該標準成為眾多企業(yè)建設信息安全管理體系主要指導標準，現(xiàn)已更新到2013版本。本文中，筆者將談一談該如何推進大型電子通訊企業(yè)信息安全管理體系建設。

1 需求分析

在討論信息安全管理體系建設之前，我們有必要分析電子通訊企業(yè)建設信息安全體系的目的，這樣才能做到有的放矢。

首先是信息安全本身的目的，ISO/IEC 27001標準將信息安全目的定義為機密性、完整性和可用性3個方面，在美國的信息保障技術框架（IATF）中，則將信息安全目的定義為訪問控制、機密性、完整性、可用性、不可否認性5個方面。

1）機密性：防止存儲數(shù)據(jù)和通訊數(shù)據(jù)，在未經授權的情況下發(fā)生泄漏。2）完整性：防止在未經授權的情況下，對數(shù)據(jù)進行非法修改；檢測并通知對數(shù)據(jù)的非法修改、記錄對數(shù)據(jù)的所有修改。3）可用性：授權用戶及時可靠的訪問數(shù)據(jù)和信息服務。4）訪問控制：防止對網(wǎng)絡軟硬件資源未經授權的使用、對數(shù)據(jù)未經授權的泄漏和修改。5）不可否認性：證明實體確實參與通信的能力。

其次，是電子通訊企業(yè)建設信息安全體系的目的，總結起來有如下3個方面。

1）國際標準認證。由于電信網(wǎng)絡涉及國家安全、社會秩序、經濟運行、公共利益，一旦遭到破壞或無法正常提供服務，對國家、社會、網(wǎng)絡和業(yè)務運營商造成的損害非常大。所以，對電信設備的信息安全要求很高。因此，大型電子通訊企業(yè)需要通過ISO/IEC 27001的認證才能參與電信設備市場的競爭。2）主流運營商要求。電子通訊企業(yè)的歐美客戶出于當?shù)貒揽恋姆煞ㄒ?guī)和市場競爭的需要，提出了比國際標準更為嚴格的信息安全需求，不僅要求電子通訊企業(yè)通過ISO27001的認證，還要求具體的電信設備產品通過CC等專業(yè)認證。同時，對電子通訊企業(yè)的業(yè)務連續(xù)性也提出了要求，而其中很多方面涉及到信息安全領域，這樣也進一步提高對信息安全體系建設的要求。3）知識產權保護。經過近30年的競爭，電子通訊設備從模擬通訊時代，2G、3G、4G、直至現(xiàn)在的5G時代，廠商數(shù)量雖然越來越少，但各廠商在市場、研發(fā)等方面的投入越來越大，競爭越來越激烈。近年來，幾家大型電子通訊設備企業(yè)之間訴訟不斷，你告我、我告你，大多是在知識產權領域有爭議。企業(yè)出于保護核心技術、關鍵方案等知識產權的考慮，越來越重視信息安全。

2 管理體系建設策略

2.1 高層重視

信息安全管理體系和ISO9000等其他管理體系一樣，從目標設定、決策、組織建設、資源投入、培訓、改進等方方面面都離不開高層的重視。高層領導（最好是企業(yè)的一把手）務必保證自己在信息安全管理體系建設中的投入，應定期召開高層領導參加的匯報會議，以便高層領導了解企業(yè)信息安全體系運作的情況，針對存在的問題，做出指導和決策。很多企業(yè)在引入ISO27001體系、設立專業(yè)的信息安全管理機構之后，高層領導就逐步淡出，將信息安全管理的責任轉給信息安全管理部門了。這樣一來信息安全的重要程度就從公司級降為了部門級，結果必然是事倍功半，千萬要不得。

2.2 資源投入

建設信息安全管理體系需要企業(yè)持續(xù)投入資源。

一是人力的投入，企業(yè)既要配備專業(yè)的全職信息安全管理人員，負責制訂總體方針和安全策略、設計安全管理體系架構、組織審計、督促整改等工作；又要將信息安全職責納入各級員工的工作中去，要求高中基層員工做出信息安全承諾、學習信息安全知識、落實信息安全舉措。

二是物力的投入，從網(wǎng)絡安全到物理安全都離不開相應的信息安全硬件設備和軟件工具的投入，如門禁、攝像監(jiān)控系統(tǒng)、防火墻、備份服務器、后臺監(jiān)控系統(tǒng)等。

三是財力的投入，上述人力和物力都離不開財力的支持，信息安全人員工資、員工培訓、軟硬件設備、第三方咨詢和認證等加起來真的是花費不菲。

2.3 組織保障

一般來說，電子通訊企業(yè)會設立一個專業(yè)部門來推進信息安全管理體系建設，這也是業(yè)界的普遍做法。但如果僅僅依靠專業(yè)部門，信息安全體系是難以落地的。由于信息安全體系涉及到企業(yè)的方方面面，所以必須在所有基層組織中設立信息安全組織。業(yè)界有一個頗有成效的做法是，由各級組織的行政一把手兼任該組織的信息安全負責人，這樣才能夠做到責任明晰，政令暢通。同時，保證各級組織在信息安全體系建設上的投入，從而將信息安全舉措落到實處。

2.4 風險評估

風險評估是信息安全體系建設過程很重要的一個環(huán)節(jié)，風險評估過程可以識別出企業(yè)需要重點保護的信息安全資產，通過對信息安全資產的機密性、整體性、可用性等方面的分析，結合發(fā)生信息安全風險的可能性，制訂出有針對性的保護措施。這樣能夠將企業(yè)有限的資源和關注度聚焦在核心的信息安全資產上，同時又識別出管控的薄弱點，做到有的放矢。

2.5 培訓

第一，信息安全體系建設離不開培訓。信息安全體系的建設一方面專業(yè)性較強，另一方面又需要各級員工共同參與。所以有效的培訓就顯得非常重要。我們看到過很多的信息安全事件，既有高層的不慎導致的信息泄漏，又有基層失誤導致的大面積宕機。針對多起事件進行分析，很多非主觀故意的信息安全事件的發(fā)生，無非是因為人們的信息安全意識不夠，或信息安全技能不足。

第二，培訓要有針對性。大型的電子通訊企業(yè)部門眾多、分工細致、員工人數(shù)更多，不同部門、不同職責和級別的員工接觸到的信息不同，對信息安全的機密性、完整性、可用性等所產生的影響也不同。所以，培訓不能千篇一律，需要面向不同人群的進行有針對性的培訓。這就要求信息安全管理部門深入一線了解業(yè)務，同時，業(yè)務部門也要積極參與培訓的前期工作，將信息安全培訓需求和企業(yè)的實際業(yè)務緊密結合起來。

第三，培訓要持之以恒。信息安全涉及到電子通訊企業(yè)的各個方面、各個層次，重要但畢竟不是業(yè)務主線，如果不警鐘長鳴，人們很容易懈怠；一旦懈怠，信息安全體系就會有疏漏，所以培訓要定期做，堅持做。

2.6 運用技術手段

雖說很多時候信息安全體系保護的就是計算機、服務器、網(wǎng)絡、軟件環(huán)境等。但相對軟件技術，成熟的信息安全技術在電子通訊企業(yè)中還運用的較少，很多措施還需要靠人工操作，沒有實現(xiàn)自動化。例如，強密碼策略需要人工檢查、安全漏洞不能批量掃描、拷貝記錄需要人工查閱日志，這樣不僅效率較低，效果還難以保證，難免疏漏。當然，這和企業(yè)的意識和投入有關，好在近年這種情況已逐步有所改觀，不少企業(yè)加大了這方面的投入，更多的利用信息安全系統(tǒng)來監(jiān)控，大大提高了效率，減少了疏漏。

2.7 審計與檢查

就像人們要保持身體健康，一定要定期體檢一樣，要維持任何管理體系的健康運行都離不開檢查。具體到信息安全管理體系中，就是要做好審計與檢查。要做好審計與檢查其實并不簡單，只有做好核心信息的識別、風險識別、組織保障、培訓、技術手段的運用、檢查計劃等前期工作，才可能做好最終的審計與檢查，識別出問題點，進而通過改進來維持信息安全體系的健康運轉。審計與檢查大體可以分為3個層次。

第一層，自我檢查。信息安全是大家工作職責的一部分，各級部門和員工有責任和義務進行信息安全自查。

第二層，信息安全管理部門審計。專業(yè)的信息安全管理部門作為信息安全管理體系的建設者和守護者，應該制訂計劃，定期組織審計，掌握信息安全管理體系的狀態(tài)，及時組織整改。

第三層，外部審計。電子通訊企業(yè)必須通過第三方機構的認證才能獲得ISO27001標準組織的授權。另外，運營商等客戶也可能委托第三方機構或直接派員到現(xiàn)場審計。

3 結論

綜上，只有在高層足夠重視、保證資源投入、建立自上而下的信息安全組織、定期進行風險評估、重視培訓、充分運用技術手段、做好檢查的情況下，大型電子通訊企業(yè)才能建立起一個行之有效的信息安全體系。

參考文獻

[1]謝宗曉.信息安全管理體系實施指南[M].2版.北京：中國質檢出版社，中國標準出版社，2012.