電信企業(yè)信息安全合規(guī)管理體系研究

張濱

（中國移動通信集團公司信息安全管理與運行中心，北京 100053）

電信企業(yè)信息安全合規(guī)管理體系研究

張濱

（中國移動通信集團公司信息安全管理與運行中心，北京 100053）

本文從電信企業(yè)的特點出發(fā)，深入剖析了電信企業(yè)在信息安全管理方面所面臨的問題和挑戰(zhàn)，提出借鑒GRC理念，構建信息安全合規(guī)管理體系，有效提升電信企業(yè)信息安全管控水平的方法。文章詳細介紹了信息安全合規(guī)管理體系的核心機制和實現(xiàn)要素，以及合規(guī)管理平臺建設思路，指出信息安全合規(guī)管理體系的應用價值以及未來的發(fā)展方向。

信息安全；合規(guī)；控制矩陣；GRC

張 濱 高級工程師，現(xiàn)任中國移動通信集團公司信息安全管理與運行中心總經(jīng)理。清華大學無線電系畢業(yè)，曾擔任江西省移動通信局副局長，中國移動通信集團公司計劃部、管理信息系統(tǒng)部副總經(jīng)理，國務院國有資產(chǎn)監(jiān)督管理委員會信息中心副主任。長期從事通信網(wǎng)規(guī)劃建設、信息化推進、信息安全管理工作，參與了中央企業(yè)信息化政策措施研究，組織了中國移動ERP項目的實施，在通信、互聯(lián)網(wǎng)、信息化和信息安全領域有較深入的研究。

做好信息安全管理是確保電信企業(yè)可持續(xù)發(fā)展的重要手段，是維護國家安全、社會穩(wěn)定，履行社會責任的基本需要，也是企業(yè)自身發(fā)展的需要。為了保障企業(yè)的安全運營，企業(yè)內部形成了各種安全管理制度。另外，公安部、工信部、國家保密局等部委都陸續(xù)頒發(fā)了相關企業(yè)信息安全管理的要求，如《信息安全等級保護管理辦法》、《互聯(lián)網(wǎng)安全保護技術措施規(guī)定》、《基礎電信企業(yè)信息安全責任管理辦法》、《通信網(wǎng)安全防護技術要求》等，同時，作為海外上市公司，電信企業(yè)還必須遵循《薩班斯法案》相關要求。電信企業(yè)需要滿足的合規(guī)要求眾多，信息安全體系化管理難、落實執(zhí)行難、監(jiān)督檢查難、量化評價難成為信息安全管理工作中的突出問題。

信息安全合規(guī)管理的總體目標，就是借鑒國際先進GRC管理理念，按照PDCA管理模式，建立合規(guī)要求、合規(guī)執(zhí)行、合規(guī)檢查、合規(guī)評價、合規(guī)整改的閉環(huán)管理機制。通過采取相應的技術手段和管理措施，實現(xiàn)信息安全管理體系化、落實執(zhí)行流程化、監(jiān)督檢查系統(tǒng)化，水平評價科學化，從而實現(xiàn)信息安全管理水平的螺旋式提升，最終保障企業(yè)的可持續(xù)健康發(fā)展。

1 電信企業(yè)信息安全管理面臨的問題與挑戰(zhàn)

1.1 電信企業(yè)的特點

近10年來，電信企業(yè)經(jīng)歷了高速的發(fā)展，網(wǎng)絡規(guī)模龐大、用戶數(shù)量眾多、業(yè)務發(fā)展多元化，使得電信企業(yè)具有了如下的主要運營特點：

（1）電信企業(yè)業(yè)務種類繁多，流程復雜程度高。當前，隨著人們需求的多元化和個性化，單一的話音業(yè)務已不能滿足用戶通信的需求，電信企業(yè)根據(jù)不同細分市場的用戶需求提供多種多樣的增值電信業(yè)務，業(yè)務流程復雜性增大。同時，電信企業(yè)的部分業(yè)務涉及多方參與，除了最終用戶，還有眾多第三方公司，甚至還有當?shù)卣块T。在監(jiān)管方面，電信企業(yè)也必須依照國家法律對第三方提供內容監(jiān)管，防止其提供違法信息。

（2）電信業(yè)務涉及大量的電子業(yè)務數(shù)據(jù)交互，數(shù)據(jù)涉及用戶的個人敏感信息。電信企業(yè)內部運作主要依賴于各種IT系統(tǒng)，大部分業(yè)務數(shù)據(jù)和內部管理運作軌跡數(shù)據(jù)都是以電子數(shù)據(jù)的形式存在于各系統(tǒng)的數(shù)據(jù)庫中。海量的業(yè)務數(shù)據(jù)中，包含了用戶的個人敏感信息，諸如用戶個人身份信息、訂購信息、交易信息等；內部管理數(shù)據(jù)中，包含了企業(yè)發(fā)展戰(zhàn)略、重要規(guī)章制度、管理信息等機密內容。不同的業(yè)務數(shù)據(jù)之間要進行交互，如果人為通過系統(tǒng)后臺改變用戶的賬戶或交易信息，將會對業(yè)務結算或者財務帶來風險。

（3）業(yè)務運營和企業(yè)內部運作對支撐系統(tǒng)依賴程度高，平臺種類繁多。電信企業(yè)所提供的服務都需要后臺支撐系統(tǒng)的支持，如業(yè)務運營支撐系統(tǒng)就承載著計費、結算、營業(yè)賬務和客戶服務等多項核心業(yè)務，這些業(yè)務都要求有一個高度穩(wěn)定、運行順暢、安全可靠的系統(tǒng)。同時，企業(yè)內部工作主要依賴管理信息系統(tǒng)，如現(xiàn)在重要的公文審批都會通過OA系統(tǒng)進行簽批，業(yè)務系統(tǒng)賬號申請與維護也是在內部管理信息系統(tǒng)中完成。

電信行業(yè)的這些特點，不難得出信息化運營和管理在電信行業(yè)發(fā)展中的重要地位，一旦信息安全出現(xiàn)問題，必將帶來十分嚴重的后果。因此，從電信行業(yè)的運營特點出發(fā)，構建全面的信息安全合規(guī)管理體系，是電信企業(yè)實現(xiàn)業(yè)務快速、穩(wěn)定、健康發(fā)展的必由之路。

1.2 信息安全管理面臨的問題

近年來，各大電信企業(yè)針對信息安全建設進行了大量的工作，但是依然面臨著很多問題，主要表現(xiàn)在：

（1）信息安全管控要求多。存在多個部門發(fā)布、維護信息安全制度的情況，缺乏平臺化的制度管理機制，具體的執(zhí)行人員很難在第一時間了解最新的安全制度要求。此外，針對同樣的安全管控內容，不同的信息安全制度常常存在標準不統(tǒng)一的情況，令執(zhí)行人員無所適從。

（2）部分信息安全制度中的規(guī)定缺乏實質性管控要求，無法明確有效地轉化到執(zhí)行層面予以落實。同時，往往信息安全管理要求沒有落實到具體的部門，更沒有落實到具體的崗位，面對大量的安全管控要求，執(zhí)行起來非常困難。

（3）信息安全檢查缺乏統(tǒng)一的標準，并且主要采用人工檢查，每次檢查往往需要進行人工訪談、資料查閱、現(xiàn)場測試等多個環(huán)節(jié)，耗費大量的時間、人力和物力。檢查內容、檢查方法、檢查工具、檢查人員的能力等都成為影響檢查效果的因素。

（4）針對企業(yè)各個層面的信息安全管理情況缺乏統(tǒng)一的評價標準，不能進行量化考核；沒有量化數(shù)據(jù)，無法實現(xiàn)對部門和系統(tǒng)合規(guī)水平綜合評價的數(shù)據(jù)支撐。

（5）沒有統(tǒng)一的信息安全合規(guī)管理平臺，就無法為信息安全合規(guī)管理的體系落地、執(zhí)行提示、監(jiān)督檢查和水平評價提供統(tǒng)一、全面的系統(tǒng)管理支撐基礎。

1.3 信息安全管理的解決之道

針對上述信息安全管理面臨的問題，本文借鑒國際上的GRC管理理念和SOX內控矩陣的思想，按照PDCA管理模式來構建電信企業(yè)的信息安全合規(guī)管理體系，從而解決信息安全體系化管理難、落實執(zhí)行難、監(jiān)督檢查難、量化管理難的問題。通過建立信息安全合規(guī)管理系統(tǒng)，形成信息安全合規(guī)整體視圖，實現(xiàn)安全要求、任務執(zhí)行、監(jiān)督檢查、整改跟蹤、量化評價的管理閉環(huán)，支撐信息安全全生命周期的管理，最終達到信息安全水平的持續(xù)螺旋式提升。

2 信息安全合規(guī)管理體系

信息安全合規(guī)管理應借鑒國際先進管理理念，明確管理體系的核心要素，從信息安全組織與人員的構建、信息安全矩陣的知識支撐、信息安全合規(guī)管理平臺建設等方面入手，來構建電信企業(yè)的信息安全合規(guī)管理體系。

2.1 GRC理念

GRC理念是國際先進的現(xiàn)代化企業(yè)管理理念。作為企業(yè)上層建筑，GRC包含了公司治理、戰(zhàn)略績效管理、風險管理、審計、法律、合規(guī)遵從、IT治理、道德和企業(yè)社會責任、質量管理、人力資本、企業(yè)文化、財務等廣泛的領域。GRC理念應用的價值在于，以企業(yè)管控、風險和法規(guī)遵從為對象，為決策層和管理層提供綜合信息和流程控制支持，幫助企業(yè)安全、高效地實現(xiàn)預期目標。

2.2 管理體系的核心機制

信息安全合規(guī)管理體系以制度策略、管控執(zhí)行、安全檢查、整改跟蹤為主線，實現(xiàn)信息安全合規(guī)的閉環(huán)管理，也即管理體系的核心機制：

（1）制度策略：信息安全管理體系的建設階段，針對信息安全制度進行統(tǒng)籌化、體系化管理，掌握制度體系建設全貌，有效警示制度的缺失和盲點。

（2）管控執(zhí)行：信息安全管理體系的實施階段，將信息安全管控要求明確落實到企業(yè)的各個責任部門、崗位和人員，具體執(zhí)行人員在落實管控要求時，都能得到知識的指導和定期的提醒。

（3）安全檢查：信息安全管理體系的檢查階段，推動執(zhí)行標準化、統(tǒng)一化、平臺化的安全檢查，及時發(fā)現(xiàn)安全管控薄弱環(huán)節(jié)，為潛在風險提供有效的預警和整改過程的跟蹤。

（4）整改跟蹤：信息安全管理體系的評價階段，收集并分析安全檢查的結果數(shù)據(jù)，跟蹤整改效果，評價安全管控水平，通過統(tǒng)計視圖展現(xiàn)安全合規(guī)整體視圖，獲取可視化的安全決策信息，支撐今后的信息安全建設方向。

制度策略和管控執(zhí)行，對應的即是GRC中的G，前者作為信息安全治理的依據(jù)和執(zhí)行指導，后者正是治理要求在具體執(zhí)行層面的事實與落實；安全檢查，則對應著GRC中的R，檢查信息安全治理要求的落實情況和風險規(guī)避的水平；合規(guī)評價，對應著GRC中的C，評價信息安全管控措施的內外部合規(guī)程度，指導未來的改進方向。

2.3 管理體系的實現(xiàn)要素

企業(yè)任何業(yè)務的有效運行，都離不開人、流程和技術3個層面的有機組合。因而，成熟的電信行業(yè)信息安全合規(guī)管理體系，人、流程和技術也構成了其實現(xiàn)的要素。針對信息安全合規(guī)管理，具體來說，“人”這一要素構成了企業(yè)的信息安全組織，“技術”這一要素就是指信息安全矩陣，即支撐信息安全管理執(zhí)行落實、安全檢查以及合規(guī)評價的知識基礎，“流程”這一要素指的是信息安全合規(guī)管理平臺，將制度管理、控制落實、安全檢查、合規(guī)評價以及整改等信息安全管理流程固化到平臺中，提供流程化、平臺化的高效管理。

2.3.1 信息安全組織

電信企業(yè)都是大型企業(yè)，包含有集團總部和各個省市公司，因而應該建立自上而下、分層分級、涵蓋各IT相關部門的信息安全組織。信息安全組織由安全決策層、安全管理層和安全執(zhí)行層3個層面的人員組成。安全決策層負責制定公司的信息安全目標、掌握整體的信息安全管控與風險水平，部署信息安全改進建設方向。安全管理層負責制定并審查信息安全制度規(guī)定，建立信息安全的管控要求、執(zhí)行標準和檢查依據(jù)，監(jiān)督安全問題的整改落實情況。安全執(zhí)行層主要是按照要求，落實好公司的各項管控要求，保證信息安全工作落實到崗到人，對于存在問題的地方做好徹底的整改工作。

2.3.2 信息安全矩陣

信息安全合規(guī)管理的核心是建立信息安全矩陣。需要對內外部信息安全合規(guī)要求進行體系化梳理，建立信息安全矩陣框架，包括控制矩陣、檢查矩陣、對應矩陣以及資產(chǎn)矩陣。

控制矩陣，主要提供信息安全的各項管控要求，指導執(zhí)行人員予以落實，其關鍵屬性主要包含有控制點描述、控制領域、控制類型、控制頻率。

檢查矩陣，主要提供對控制矩陣中的各個控制點執(zhí)行情況的好壞，提供檢查的標準和具體的檢查步驟，用以指導檢查人員進行安全檢查工作，其關鍵屬性主要包含有檢查點描述、檢查方式、檢查步驟、檢查點固有嚴重度、執(zhí)行建議、控制點編號、資產(chǎn)類型。

對應矩陣，主要提供企業(yè)內部信息安全制度與信息安全控制矩陣的對應關系，便于相應的查詢分析的需要；提供外部信息安全監(jiān)管規(guī)范要求與信息安全控制矩陣的對應關系，便于分析當前的控制矩陣是否能夠充分滿足外部監(jiān)管機構的監(jiān)管要求，其關鍵屬性主要包含有內部制度/外部規(guī)范控制要求編號和控制點編號。

資產(chǎn)矩陣，主要提供對信息安全資產(chǎn)進行定義、分類、管理和查詢等；為控制點執(zhí)行管理、信息安全檢查、信息安全合規(guī)與風險評價等，提供統(tǒng)一的資產(chǎn)數(shù)據(jù)接口，其關鍵屬性主要包含有資產(chǎn)編號、所屬部門、資產(chǎn)責任人、資產(chǎn)類型、資產(chǎn)重要性等級。

如圖1所示，通過信息安全各個矩陣的映射關聯(lián)關系，可以進行多維度的查詢分析。

圖1 信息安全矩陣的映射關聯(lián)

2.3.3 信息安全合規(guī)管理平臺

在構建了企業(yè)級的全面層次化的信息安全組織，建立了信息安全矩陣后，為了能夠有效地進行信息安全合規(guī)閉環(huán)管理，就需要搭建一個信息安全合規(guī)管理平臺，支撐各個信息安全管理流程的平臺化管理和實施。信息安全合規(guī)管理平臺，從業(yè)務角度出發(fā)，需要實現(xiàn)以下功能需求：

（1）企業(yè)各類信息安全管理工作要求能夠成體系、易維護。

（2）企業(yè)任何人員可以通過該平臺了解企業(yè)針對自己所屬組織乃至自身所提出的信息安全工作要求。

（3）企業(yè)各級部門通過該平臺明確自己的安全工作目標，各級信息安全管理部門可以通過該平臺對企業(yè)各組織、系統(tǒng)進行安全管理工作檢查、評價和整改指導。

（4）企業(yè)各級信息安全管理部門可以通過該平臺進行安全風險分析和量化評價。

3 信息安全合規(guī)管理平臺的建設思路

為了有效地解決電信行業(yè)當前信息安全合規(guī)所面臨的問題和挑戰(zhàn)，未來的合規(guī)平臺將通過制度管理、信息安全矩陣管理、執(zhí)行管理、合規(guī)檢查、合規(guī)風險評價等功能模塊，來實現(xiàn)并支撐信息安全合規(guī)的全生命周期流程管理。基于上述各功能模塊的平臺整體業(yè)務功能框架視圖如圖2所示。

其中，平臺的核心功能主要包含如下。

（1）信息安全矩陣管理：該功能模塊主要提供信息安全矩陣的導入導出與維護管理、關聯(lián)查詢、版本管理和分級管理等功能，支撐對企業(yè)各級公司均適用的信息安全矩陣的統(tǒng)一發(fā)布和管理，作為整個企業(yè)的信息安全管控要求的統(tǒng)一標準。

（2）執(zhí)行管理：該功能模塊主要是提供執(zhí)行任務分配、執(zhí)行人變更管理、控制執(zhí)行提醒和控制執(zhí)行查詢等功能，保證將控制點和檢查點的具體執(zhí)行要求落實到具體的控制點執(zhí)行人員；針對那些周期性執(zhí)行的控制點，通過平臺向執(zhí)行人員定期發(fā)送提醒，督促其按時完成控制點的執(zhí)行要求。

圖2 信息安全合規(guī)平臺

（3）合規(guī)檢查：該功能模塊主要是提供檢查計劃管理、人工檢查管理和自動檢查管理功能，用來完成信息安全檢查計劃的制定，對人工檢查和自動檢查進行過程管理，在線記錄或者自動生成相應的安全檢查結果。

（4）合規(guī)風險評價：該功能模塊主要是根據(jù)安全檢查的結果，提供量化的合規(guī)評價、風險評價和綜合評價功能。合規(guī)評價，主要是通過對檢查點結果統(tǒng)計，得出滿足檢查要求的控制點的比例，主要反映控制點管控落實的工作量。風險評價，主要是針對那些不合規(guī)的控制點，根據(jù)其實際的執(zhí)行情況，分析并得出該控制點的潛在風險高低和影響大小。綜合評價，主要是基于對合規(guī)滿足度的評價結果和不合規(guī)控制點的風險大小，綜合給出合規(guī)管控工作的完成效果，便于進行橫向比較。

根據(jù)電信企業(yè)的特點和信息安全分級管理的需要，可考慮實施集團總部和各個省市公司的兩級/多級平臺基礎架構的部署。其中，集團總部的合規(guī)一級平臺將主要負責制度管理、信息安全矩陣管理，制定全集團的安全檢查計劃，分析和評價各省市公司的安全管控水平和風險。省市公司的合規(guī)二級平臺，則側重于分配落實好集團控制矩陣的各項控制點和要求的責任人，落實集團或者制定省內的安全檢查計劃，實施安全檢查工作，分析和評價省內的安全管控水平和安全風險，根據(jù)檢查結果完成后期安全整改工作。

4 信息安全合規(guī)管理體系的應用與價值

通過搭建信息安全合規(guī)管理平臺，實施信息安全合規(guī)管理體系，能夠帶來重要的價值。

（1）提升信息安全管理的統(tǒng)一性和有效性。將分散的信息安全制度進行集中管理，形成以信息安全合規(guī)矩陣為核心，在全公司普遍適用，具有標桿意義的制度框架體系。通過制度體系在平臺中的固化，可以隨時隨地進行信息安全制度的查詢、分析和對標，制度體系的更新與維護也變得十分便捷。同時，建立整個企業(yè)的標準的信息安全合規(guī)管理體系框架，通過平臺統(tǒng)一企業(yè)總部及子公司的信息安全管控落實與檢查評價工作，有效避免實際執(zhí)行工作中的差異性。

（2）實現(xiàn)信息安全合規(guī)管控落實的常態(tài)化和流程化。通過信息安全合規(guī)管理平臺固化了信息安全管控執(zhí)行流程和信息安全矩陣，包括控制執(zhí)行方式、控制執(zhí)行頻率、控制所屬崗位、控制關聯(lián)資產(chǎn)配置等信息，指導具體的IT人員執(zhí)行落實安全管控的工作要求。通過執(zhí)行工作的流程化，將安全管控要求落實到人，確保管理要求能有效執(zhí)行，或結合安全控制要求的執(zhí)行頻率，定期自動向執(zhí)行人員發(fā)送例行提醒，推動合規(guī)管控落實的常態(tài)化。

（3）提升信息安全合規(guī)檢查的效率。通過集成標準化檢查工具，遵循規(guī)范的檢查要求和步驟，大大降低了人工檢查的成本，避免檢查過程中標準不一致和質量參差不齊的問題。針對不同的專項檢查需要，可以通過平臺方便地定制有針對性的檢查計劃。針對新的內外部信息安全監(jiān)管要求，能夠及時便捷的更新補充相應的檢查內容和要求到平臺中，保證與外部監(jiān)管要求的一致性和實效性。同時，針對檢查中發(fā)現(xiàn)的問題，通過平臺能夠提供流程化的整改任務派發(fā)工單，發(fā)送給安全管理人員予以整改，并限定時間，與提醒機制聯(lián)動，整改過程可以通過平臺進行有效的跟蹤，保證信息安全問題得到及時整改。

（4）提升信息安全合規(guī)的量化評價水平和決策支撐能力。建立統(tǒng)一的信息安全量化的評價體系和標準，固化到平臺中，實現(xiàn)安全合規(guī)水平的量化管理，結合平臺的數(shù)據(jù)處理分析能力，提供信息安全合規(guī)管控情況和風險的多維度、可視化視圖。

執(zhí)行層可以獲得基于部門、省市公司、IT或者業(yè)務流程、資產(chǎn)、外部合規(guī)要求等不同維度的統(tǒng)計和分析信息，為信息安全合規(guī)工作的持續(xù)改進提供充足的信息。管理層可以通過統(tǒng)計的結果，直觀地掌握企業(yè)整體安全管控水平全貌和當前面臨的主要風險，為決策提供有力的數(shù)據(jù)支撐。

5 展望

當前，電信企業(yè)面臨著復雜的網(wǎng)絡環(huán)境和多種安全挑戰(zhàn)。搭建信息安全合規(guī)管理平臺，構建電信企業(yè)信息安全合規(guī)管理體系，正是應對這些挑戰(zhàn)的一種努力，但是體系的建設不是一蹴而就的，需要螺旋式的發(fā)展。信息安全合規(guī)管理可以選取風險最高的安全控制要求進行固化，并在此基礎上進行不斷補充完善，經(jīng)過幾年的時間，才能形成完善的體系，達到安全管理體系化、安全執(zhí)行流程化、安全檢查系統(tǒng)化、安全評價科學化的目標。

Study on information security compliance management system of telecom enterprise

ZHANG Bin
(China Mobile Information Security Center, Beijing 100053, China)

This article analyzes the characteristics of the telecommunications enterprises, the problems and challenges in information security management, and builds information security compliance management system, on the idea of GRC to effectively enhance telecommunications enterprise information security management and control ability. The article describes in detail the core mechanism of the information security and compliance management system and elements, as well as compliance management platform construction ideas, pointing out the value of information security and compliance management system and the future directiont.

information security; compliance; control matrix; GRC

TN918

A

1008-5599（2013）12-0001-06

2013-11-22