2023年电信企业信息安全体系研究新编.docx

电信企业信息平安体系研究 1电信企业信息平安管理面临的问题与挑战 1.1电信企业的特点 近2023年来，电信企业经历了高速的开展，网络规模庞大、用户数量众多、业务开展多元化，使得电信企业具有了如下的主要运营特点：（1）电信企业业务种类繁多，流程复杂程度高。当前，随着人们需求的多元化和个性化，单一的话音业务已不能满足用户通信的需求，电信企业根据不同细分市场的用户需求提供多种多样的增值电信业务，业务流程复杂性增大。同时，电信企业的局部业务涉及多方参与，除了最终用户，还有众多第三方公司，甚至还有当地政府部门。在监管方面，电信企业也必须依照国家法律对第三方提供内容监管，防止其提供违法信息。（2）电信业务涉及大量的电子业务数据交互，数据涉及用户的个人敏感信息。电信企业内部运作主要依赖于各种it系统，大局部业务数据和内部管理运作轨迹数据都是以电子数据的形式存在于各系统的数据库中。海量的业务数据中，包含了用户的个人敏感信息，诸如用户个人身份信息、订购信息、交易信息等；内部管理数据中，包含了企业开展战略、重要规章制度、管理信息等机密内容。不同的业务数据之间要进行交互，如果人为通过系统后台改变用户的账户或交易信息，将会对业务结算或者财务带来风险。（3）业务运营和企业内部运作对支撑系统依赖程度高，平台种类繁多。电信企业所提供的效劳都需要后台支撑系统的支持，如业务运营支撑系统就承载着计费、结算、营业账务和客户效劳等多项核心业务，这些业务都要求有一个高度稳定、运行顺畅、平安可靠的系统。同时，企业内部工作主要依赖管理信息系统，如现在重要的公文审批都会通过oa系统进行签批，业务系统账号申请与维护也是在内部管理信息系统中完成。电信行业的这些特点，不难得出信息化运营和管理在电信行业开展中的重要地位，一旦信息平安出现问题，必将带来十分严重的后果。因此，从电信行业的运营特点出发，构建全面的信息平安合规管理体系，是电信企业实现业务快速、稳定、健康开展的必由之路。 1.2信息平安管理面临的问题 近年来，各大电信企业针对信息平安建设进行了大量的工作，但是依然面临着很多问题，主要表现在：（1）信息平安管控要求多。存在多个部门发布、维护信息平安制度的情况，缺乏平台化的制度管理机制，具体的执行人员很难在第一时间了解最新的平安制度要求。此外，针对同样的平安管控内容，不同的信息平安制度常常存在标准不统一的情况，令执行人员无所适从。（2）局部信息平安制度中的规定缺乏实质性管控要求，无法明确有效地转化到执行层面予以落实。同时，往往信息平安管理要求没有落实到具体的部门，更没有落实到具体的岗位，面对大量的平安管控要求，执行起来非常困难。（3）信息平安检查缺乏统一的标准，并且主要采用人工检查，每次检查往往需要进行人工访谈、资料查阅、现场测试等多个环节，消耗大量的时间、人力和物力。检查内容、检查方法、检查工具、检查人员的能力等都成为影响检查效果的因素。（4）针对企业各个层面的信息平安管理情况缺乏统一的评价标准，不能进行量化考核；没有量化数据，无法实现对部门和系统合规水平综合评价的数据支撑。（5）没有统一的信息平安合规管理平台，就无法为信息平安合规管理的体系落地、执行提示、监督检查和水平评价提供统一、全面的系统管理支撑根底。 1.3信息平安管理的解决之道 针对上述信息平安管理面临的问题，本文借鉴国际上的grc管理理念和sox内控矩阵的思想，按照pdca管理模式来构建电信企业的信息平安合规管理体系，从而解决信息平安体系化管理难、落实执行难、监督检查难、量化管理难的问题。通过建立信息平安合规管理系统，形成信息平安合规整体视图，实现平安要求、任务执行、监督检查、整改跟踪、量化评价的管理闭环，支撑信息平安全生命周期的管理，最终到达信息平安水平的持续螺旋式提升。 2信息平安合规管理体系 信息平安合规管理应借鉴国际先进管理理念，明确管理体系的核心要素，从信息平安组织与人员的构建、信息平安矩阵的知识支撑、信息平安合规管理平台建设等方面入手，来构建电信企业的信息平安合规管理体系。 2.1grc理念 grc理念是国际先进的现代化企业管理理念。作为企业上层建筑，grc包含了公司治理、战略绩效管理、风险管理、审计、法律、合规遵从、it治理、道德和企业社会责任、质量管理、人力资本、企业文化、财务等广泛的领域。grc理念应用的价值在于，以企业管控、风险和法规遵从为对象，为决策层和管理层提供综合信息和流程控制支持，帮助企业平安、高效地实现预期目标。 2.2管理体系的核心机制 信息平安合规管理体系以制度策略、管控执行、平安检查、整改跟踪为主线，实现信息平安合规的闭环管理，也即管理体系的核心机制：（1）制度策略：信息平安管理体系的建设阶段，针对信息平安制度进行统筹化、体系化管理，掌握制度体系建设全貌，有效警示制度的缺失和盲点。（2）管控执行：信息平安管理体系的实施阶段，将信息平安管控要求明确落实到企业的各个责任部门、岗位和人员，具体执行人员在落实管控要求时，都能得到知识的指导和定期的提醒。（3）平安检查：信息平安管理体系的检查阶段，推动执行标准化、统一化、平台化的平安检查，及时发现平安管控薄弱环节，为潜在风险提供有效的预警和整改正程的跟踪。（4）整改跟踪：信息平安管理体系的评价阶段，收集并分析平安检查的结果数据，跟踪整改效果，评价平安管控水平，通过统计视图展现平安合规整体视图，获取可视化的平安决策信息，支撑今后的信息平安建设方向。制度策略和管控执行，对应的即是grc中的g，前者作为信息平安治理的依据和执行指导，后者正是治理要求在具体执行层面的事实与落实；平安检查，那么对应着grc中的r，检查信息平安治理要求的落实情况和风险躲避的水平；合规评价，对应着grc中的c，评价信息平安管控措施的内外部合规程度，指导未来的改进方向。 2.3管理体系的实现要素 企业任何业务的有效运行，都离不开人、流程和技术3个层面的有机组合。因而，成熟的电信行业信息平安合规管理体系，人、流程和技术也构成了其实现的要素。针对信息平安合规管理，具体来说，“人〞这一要素构成了企业的信息平安组织，“技术〞这一要素就是指信息平安矩阵，即支撑信息平安管理执行落实、平安检查以及合规评价的知识根底，“流程〞这一要素指的是信息平安合规管理平台，将制度管理、控制落实、平安检查、合规评价以及整改等信息平安管理流程固化到平台中，提供流程化、平台化的高效管理。 2.3.1信息平安组织 电信企业都是大型企业，包含有集团总部和各个省市公司，因而应该建立自上而下、分层分级、涵盖各it相关部门的信息平安组织。信息平安组织由平安决策层、平安管理层和平安执行层3个层面的人员组成。平安决策层负责制定公司的信息平安目标、掌握整体的信息平安管控与风险水平，部署信息平安改进建设方向。平安管理层负责制定并审查信息平安制度规定，建立信息平安的管控要求、执行标准和检查依据，监督平安问题的整改落实情况。平安执行层主要是按照要求，落实好公司的各项管控要求，保证信息平安工作落实到岗到人，对于存在问题的地方做好彻底的整改工作。 2.3.2信息平安矩阵 信息平安合规管理的核心是建立信息平安矩阵。需要对内外部信息平安合规要求进行体系化梳理，建立信息平安矩阵框架，包括控制矩阵、检查矩阵、对应矩阵以及资产矩阵。控制矩阵，主要提供信息平安的各项管控要求，指导执行人员予以落实，其关键属性主要包含有控制点描述、控制领域、控制类型、控制频率。检查矩阵，主要提供对控制矩阵中的各个控制点执行情况的好坏，提供检查的标准和具体的检查步骤，用以指导检查人员进行平安检查工作，其关键属性主要包含有检查点描述、检查方式、检查步骤、检查点固有严重度、执行建议、控制点编号、资产类型。对应矩阵，主要提供企业内部信息平安制度与信息平安控制矩阵的对应关系，便于相应的查询分析的需要；提供外部信息平安监管标准要求与信息平安控制矩阵的对应关系，便于分析当前的控制矩阵是否能够充分满足外部监管机构的监管要求，其关键属性主要包含有内部制度/外部标准控制要求编号和控制点编号。资产矩阵，主要提供对信息平安资产进行定义、分类、管理和查询等；为控制点执行管理、信息平安检查、信息平安合规与风险评价等，提供统一的资产数据接口，其关键属性主要包含有资产编号、所属部门、资产责任人、资产类型、资产重要性等级。如图1所示，通过信息平安各个矩阵的映射关联关系，可以进行多维度的查询分析。 2.3.3信息平安合规管理平台 在构建了企业级的全面层次化的信息平安组织，建立了信息平安矩阵后，为了能够有效地进行信息平安合规闭环管理，就需要搭建一个信息平安合规管理平台，支撑各个信息平安管理流程的平台化管理和实施。信息平安合规管理平台，从业务角度出发，需要实现以下功能需求：（1）企业各类信息平安管理工作要求能够成体系、易维护。（2）企业任何人员可以通过该平台了解企业针对自己所属组织乃至自身所提出的信息平安工作要求。（3）企业各级部门通过该平台明确自己的平安工作目标，各级信息平安管理部门可以通过该平台对企业各组织、系统进行平安管理工作检查、评价和整改指导。（4）企业各级信息平安管理部门可以通过该平台进行平安风险分析和量化评价。 3信息平安合规管理平台的建设思路 为了有效地解决电信行业当前信息平安合规所面临的问题和挑战，未来的合规平台将通过制度管理、信息平安矩阵管理、执行管理、合规检查、合规风险评价等功能模块，来实现并支撑信息平安合规的全生命周期流程管理。基于上述各功能模块的平台整体业务功能框架视图如图2所示。其中，平台的核心功能主要包含如下。（1）信息平安矩阵管理：该功能模块主要提供信息平安矩阵的导入导出与维护管理、关联查询、版本管理和分级管理等功能，支撑对企业各级公司均适用的信息平安矩阵的统一发布和管理，作为整个企业的信息平安管控要求的统一标准。（2）执行管理：该功能模块主要是提供执行任务分配、执行人变更管理、控制执行提醒和控制执行查询等功能，保证将控制点和检查点的具体执行要求落实到具体的控制点执行人员；针对那些周期性执行的控制点，通过平台向执行人员定期发送提醒，催促其按时完成控制点的执行要求。（3）合规检查：该功能模块主要是提供检查方案管理、人工检查管理和自动检查管理功能，用来完成信息平安检查方案的制定，对人工检查和自动检查进行过程管理，在线记录或者自动生成相应的平安检查结果。（4）合规风险评价：该功能模块主要是根据平安检查的结果，提供量化的合规评价、风险评价和综合评价功能。合规评价，主要是通过对检查点结果统计，得出满足检查要求的控制点的比例，主要反映控制点管控落实的工作量。风险评价，主要是针对那些不合规的控制点，根据其实际的执行情况，分析并得出该控制点的潜在风险上下和影响大小。综合评价，主要是基于对合规满足度的评价结果和不合规控制点的风险大小，综合给出合规管控工作的完成效果，便于进行横向比较。根据电信企业的特点和信息平安分级管理的需要，可考虑实施集团总部和各个省市公司的两级/多级平台根底架构的部署。其中，集团总部的合规一级平台将主要负责制度管理、信息平安矩阵管理，制定全集团的平安检查方案，分析和评价各省市公司的平安管控水平和风险。省市公司的合规二级平台，那么侧重于分配落实好集团控制矩阵的各项控制点和要求的责任人，落实集团或者制定省内的平安检查方案，实施平安检查工作，分析和评价省内的平安管控水平和平安风险，根据检查结果完成后期平安整改工作。 4信息平安合规管理体系的应用与价值 通过搭建信息平安合规管理平台，实施信息平安合规管理体系，能够带来重要的价值。（1）提升信息平安管理的统一性和有效性。将分散的信息平安制度进行集中管理，形成以信息平安合规矩阵为核心，在全公司普遍适用，具有标杆意义的制度