導(dǎo)語(yǔ)：電信企業(yè)信息安全體系研究一文來(lái)源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢(xún)客服老師，歡迎參考。

1電信企業(yè)信息安全管理面臨的問(wèn)題與挑戰(zhàn)

1.1電信企業(yè)的特點(diǎn)

近10年來(lái)，電信企業(yè)經(jīng)歷了高速的發(fā)展，網(wǎng)絡(luò)規(guī)模龐大、用戶(hù)數(shù)量眾多、業(yè)務(wù)發(fā)展多元化，使得電信企業(yè)具有了如下的主要運(yùn)營(yíng)特點(diǎn)：（1）電信企業(yè)業(yè)務(wù)種類(lèi)繁多，流程復(fù)雜程度高。當(dāng)前，隨著人們需求的多元化和個(gè)性化，單一的話(huà)音業(yè)務(wù)已不能滿(mǎn)足用戶(hù)通信的需求，電信企業(yè)根據(jù)不同細(xì)分市場(chǎng)的用戶(hù)需求提供多種多樣的增值電信業(yè)務(wù)，業(yè)務(wù)流程復(fù)雜性增大。同時(shí)，電信企業(yè)的部分業(yè)務(wù)涉及多方參與，除了最終用戶(hù)，還有眾多第三方公司，甚至還有當(dāng)?shù)卣块T(mén)。在監(jiān)管方面，電信企業(yè)也必須依照國(guó)家法律對(duì)第三方提供內(nèi)容監(jiān)管，防止其提供違法信息。（2）電信業(yè)務(wù)涉及大量的電子業(yè)務(wù)數(shù)據(jù)交互，數(shù)據(jù)涉及用戶(hù)的個(gè)人敏感信息。電信企業(yè)內(nèi)部運(yùn)作主要依賴(lài)于各種IT系統(tǒng)，大部分業(yè)務(wù)數(shù)據(jù)和內(nèi)部管理運(yùn)作軌跡數(shù)據(jù)都是以電子數(shù)據(jù)的形式存在于各系統(tǒng)的數(shù)據(jù)庫(kù)中。海量的業(yè)務(wù)數(shù)據(jù)中，包含了用戶(hù)的個(gè)人敏感信息，諸如用戶(hù)個(gè)人身份信息、訂購(gòu)信息、交易信息等；內(nèi)部管理數(shù)據(jù)中，包含了企業(yè)發(fā)展戰(zhàn)略、重要規(guī)章制度、管理信息等機(jī)密內(nèi)容。不同的業(yè)務(wù)數(shù)據(jù)之間要進(jìn)行交互，如果人為通過(guò)系統(tǒng)后臺(tái)改變用戶(hù)的賬戶(hù)或交易信息，將會(huì)對(duì)業(yè)務(wù)結(jié)算或者財(cái)務(wù)帶來(lái)風(fēng)險(xiǎn)。（3）業(yè)務(wù)運(yùn)營(yíng)和企業(yè)內(nèi)部運(yùn)作對(duì)支撐系統(tǒng)依賴(lài)程度高，平臺(tái)種類(lèi)繁多。電信企業(yè)所提供的服務(wù)都需要后臺(tái)支撐系統(tǒng)的支持，如業(yè)務(wù)運(yùn)營(yíng)支撐系統(tǒng)就承載著計(jì)費(fèi)、結(jié)算、營(yíng)業(yè)賬務(wù)和客戶(hù)服務(wù)等多項(xiàng)核心業(yè)務(wù)，這些業(yè)務(wù)都要求有一個(gè)高度穩(wěn)定、運(yùn)行順暢、安全可靠的系統(tǒng)。同時(shí)，企業(yè)內(nèi)部工作主要依賴(lài)管理信息系統(tǒng)，如現(xiàn)在重要的公文審批都會(huì)通過(guò)OA系統(tǒng)進(jìn)行簽批，業(yè)務(wù)系統(tǒng)賬號(hào)申請(qǐng)與維護(hù)也是在內(nèi)部管理信息系統(tǒng)中完成。電信行業(yè)的這些特點(diǎn)，不難得出信息化運(yùn)營(yíng)和管理在電信行業(yè)發(fā)展中的重要地位，一旦信息安全出現(xiàn)問(wèn)題，必將帶來(lái)十分嚴(yán)重的后果。因此，從電信行業(yè)的運(yùn)營(yíng)特點(diǎn)出發(fā)，構(gòu)建全面的信息安全合規(guī)管理體系，是電信企業(yè)實(shí)現(xiàn)業(yè)務(wù)快速、穩(wěn)定、健康發(fā)展的必由之路。

1.2信息安全管理面臨的問(wèn)題

近年來(lái)，各大電信企業(yè)針對(duì)信息安全建設(shè)進(jìn)行了大量的工作，但是依然面臨著很多問(wèn)題，主要表現(xiàn)在：（1）信息安全管控要求多。存在多個(gè)部門(mén)、維護(hù)信息安全制度的情況，缺乏平臺(tái)化的制度管理機(jī)制，具體的執(zhí)行人員很難在第一時(shí)間了解最新的安全制度要求。此外，針對(duì)同樣的安全管控內(nèi)容，不同的信息安全制度常常存在標(biāo)準(zhǔn)不統(tǒng)一的情況，令執(zhí)行人員無(wú)所適從。（2）部分信息安全制度中的規(guī)定缺乏實(shí)質(zhì)性管控要求，無(wú)法明確有效地轉(zhuǎn)化到執(zhí)行層面予以落實(shí)。同時(shí)，往往信息安全管理要求沒(méi)有落實(shí)到具體的部門(mén)，更沒(méi)有落實(shí)到具體的崗位，面對(duì)大量的安全管控要求，執(zhí)行起來(lái)非常困難。（3）信息安全檢查缺乏統(tǒng)一的標(biāo)準(zhǔn)，并且主要采用人工檢查，每次檢查往往需要進(jìn)行人工訪(fǎng)談、資料查閱、現(xiàn)場(chǎng)測(cè)試等多個(gè)環(huán)節(jié)，耗費(fèi)大量的時(shí)間、人力和物力。檢查內(nèi)容、檢查方法、檢查工具、檢查人員的能力等都成為影響檢查效果的因素。（4）針對(duì)企業(yè)各個(gè)層面的信息安全管理情況缺乏統(tǒng)一的評(píng)價(jià)標(biāo)準(zhǔn)，不能進(jìn)行量化考核；沒(méi)有量化數(shù)據(jù)，無(wú)法實(shí)現(xiàn)對(duì)部門(mén)和系統(tǒng)合規(guī)水平綜合評(píng)價(jià)的數(shù)據(jù)支撐。（5）沒(méi)有統(tǒng)一的信息安全合規(guī)管理平臺(tái)，就無(wú)法為信息安全合規(guī)管理的體系落地、執(zhí)行提示、監(jiān)督檢查和水平評(píng)價(jià)提供統(tǒng)一、全面的系統(tǒng)管理支撐基礎(chǔ)。

1.3信息安全管理的解決之道

針對(duì)上述信息安全管理面臨的問(wèn)題，本文借鑒國(guó)際上的GRC管理理念和SOX內(nèi)控矩陣的思想，按照PDCA管理模式來(lái)構(gòu)建電信企業(yè)的信息安全合規(guī)管理體系，從而解決信息安全體系化管理難、落實(shí)執(zhí)行難、監(jiān)督檢查難、量化管理難的問(wèn)題。通過(guò)建立信息安全合規(guī)管理系統(tǒng)，形成信息安全合規(guī)整體視圖，實(shí)現(xiàn)安全要求、任務(wù)執(zhí)行、監(jiān)督檢查、整改跟蹤、量化評(píng)價(jià)的管理閉環(huán)，支撐信息安全全生命周期的管理，最終達(dá)到信息安全水平的持續(xù)螺旋式提升。

2信息安全合規(guī)管理體系

信息安全合規(guī)管理應(yīng)借鑒國(guó)際先進(jìn)管理理念，明確管理體系的核心要素，從信息安全組織與人員的構(gòu)建、信息安全矩陣的知識(shí)支撐、信息安全合規(guī)管理平臺(tái)建設(shè)等方面入手，來(lái)構(gòu)建電信企業(yè)的信息安全合規(guī)管理體系。

2.1GRC理念

GRC理念是國(guó)際先進(jìn)的現(xiàn)代化企業(yè)管理理念。作為企業(yè)上層建筑，GRC包含了公司治理、戰(zhàn)略績(jī)效管理、風(fēng)險(xiǎn)管理、審計(jì)、法律、合規(guī)遵從、IT治理、道德和企業(yè)社會(huì)責(zé)任、質(zhì)量管理、人力資本、企業(yè)文化、財(cái)務(wù)等廣泛的領(lǐng)域。GRC理念應(yīng)用的價(jià)值在于，以企業(yè)管控、風(fēng)險(xiǎn)和法規(guī)遵從為對(duì)象，為決策層和管理層提供綜合信息和流程控制支持，幫助企業(yè)安全、高效地實(shí)現(xiàn)預(yù)期目標(biāo)。

2.2管理體系的核心機(jī)制

信息安全合規(guī)管理體系以制度策略、管控執(zhí)行、安全檢查、整改跟蹤為主線(xiàn)，實(shí)現(xiàn)信息安全合規(guī)的閉環(huán)管理，也即管理體系的核心機(jī)制：（1）制度策略：信息安全管理體系的建設(shè)階段，針對(duì)信息安全制度進(jìn)行統(tǒng)籌化、體系化管理，掌握制度體系建設(shè)全貌，有效警示制度的缺失和盲點(diǎn)。（2）管控執(zhí)行：信息安全管理體系的實(shí)施階段，將信息安全管控要求明確落實(shí)到企業(yè)的各個(gè)責(zé)任部門(mén)、崗位和人員，具體執(zhí)行人員在落實(shí)管控要求時(shí)，都能得到知識(shí)的指導(dǎo)和定期的提醒。（3）安全檢查：信息安全管理體系的檢查階段，推動(dòng)執(zhí)行標(biāo)準(zhǔn)化、統(tǒng)一化、平臺(tái)化的安全檢查，及時(shí)發(fā)現(xiàn)安全管控薄弱環(huán)節(jié)，為潛在風(fēng)險(xiǎn)提供有效的預(yù)警和整改過(guò)程的跟蹤。（4）整改跟蹤：信息安全管理體系的評(píng)價(jià)階段，收集并分析安全檢查的結(jié)果數(shù)據(jù)，跟蹤整改效果，評(píng)價(jià)安全管控水平，通過(guò)統(tǒng)計(jì)視圖展現(xiàn)安全合規(guī)整體視圖，獲取可視化的安全決策信息，支撐今后的信息安全建設(shè)方向。制度策略和管控執(zhí)行，對(duì)應(yīng)的即是GRC中的G，前者作為信息安全治理的依據(jù)和執(zhí)行指導(dǎo)，后者正是治理要求在具體執(zhí)行層面的事實(shí)與落實(shí)；安全檢查，則對(duì)應(yīng)著GRC中的R，檢查信息安全治理要求的落實(shí)情況和風(fēng)險(xiǎn)規(guī)避的水平；合規(guī)評(píng)價(jià)，對(duì)應(yīng)著GRC中的C，評(píng)價(jià)信息安全管控措施的內(nèi)外部合規(guī)程度，指導(dǎo)未來(lái)的改進(jìn)方向。

2.3管理體系的實(shí)現(xiàn)要素

企業(yè)任何業(yè)務(wù)的有效運(yùn)行，都離不開(kāi)人、流程和技術(shù)3個(gè)層面的有機(jī)組合。因而，成熟的電信行業(yè)信息安全合規(guī)管理體系，人、流程和技術(shù)也構(gòu)成了其實(shí)現(xiàn)的要素。針對(duì)信息安全合規(guī)管理，具體來(lái)說(shuō)，“人”這一要素構(gòu)成了企業(yè)的信息安全組織，“技術(shù)”這一要素就是指信息安全矩陣，即支撐信息安全管理執(zhí)行落實(shí)、安全檢查以及合規(guī)評(píng)價(jià)的知識(shí)基礎(chǔ)，“流程”這一要素指的是信息安全合規(guī)管理平臺(tái)，將制度管理、控制落實(shí)、安全檢查、合規(guī)評(píng)價(jià)以及整改等信息安全管理流程固化到平臺(tái)中，提供流程化、平臺(tái)化的高效管理。

2.3.1信息安全組織

電信企業(yè)都是大型企業(yè)，包含有集團(tuán)總部和各個(gè)省市公司，因而應(yīng)該建立自上而下、分層分級(jí)、涵蓋各IT相關(guān)部門(mén)的信息安全組織。信息安全組織由安全決策層、安全管理層和安全執(zhí)行層3個(gè)層面的人員組成。安全決策層負(fù)責(zé)制定公司的信息安全目標(biāo)、掌握整體的信息安全管控與風(fēng)險(xiǎn)水平，部署信息安全改進(jìn)建設(shè)方向。安全管理層負(fù)責(zé)制定并審查信息安全制度規(guī)定，建立信息安全的管控要求、執(zhí)行標(biāo)準(zhǔn)和檢查依據(jù)，監(jiān)督安全問(wèn)題的整改落實(shí)情況。安全執(zhí)行層主要是按照要求，落實(shí)好公司的各項(xiàng)管控要求，保證信息安全工作落實(shí)到崗到人，對(duì)于存在問(wèn)題的地方做好徹底的整改工作。

2.3.2信息安全矩陣

信息安全合規(guī)管理的核心是建立信息安全矩陣。需要對(duì)內(nèi)外部信息安全合規(guī)要求進(jìn)行體系化梳理，建立信息安全矩陣框架，包括控制矩陣、檢查矩陣、對(duì)應(yīng)矩陣以及資產(chǎn)矩陣。控制矩陣，主要提供信息安全的各項(xiàng)管控要求，指導(dǎo)執(zhí)行人員予以落實(shí)，其關(guān)鍵屬性主要包含有控制點(diǎn)描述、控制領(lǐng)域、控制類(lèi)型、控制頻率。檢查矩陣，主要提供對(duì)控制矩陣中的各個(gè)控制點(diǎn)執(zhí)行情況的好壞，提供檢查的標(biāo)準(zhǔn)和具體的檢查步驟，用以指導(dǎo)檢查人員進(jìn)行安全檢查工作，其關(guān)鍵屬性主要包含有檢查點(diǎn)描述、檢查方式、檢查步驟、檢查點(diǎn)固有嚴(yán)重度、執(zhí)行建議、控制點(diǎn)編號(hào)、資產(chǎn)類(lèi)型。對(duì)應(yīng)矩陣，主要提供企業(yè)內(nèi)部信息安全制度與信息安全控制矩陣的對(duì)應(yīng)關(guān)系，便于相應(yīng)的查詢(xún)分析的需要；提供外部信息安全監(jiān)管規(guī)范要求與信息安全控制矩陣的對(duì)應(yīng)關(guān)系，便于分析當(dāng)前的控制矩陣是否能夠充分滿(mǎn)足外部監(jiān)管機(jī)構(gòu)的監(jiān)管要求，其關(guān)鍵屬性主要包含有內(nèi)部制度/外部規(guī)范控制要求編號(hào)和控制點(diǎn)編號(hào)。資產(chǎn)矩陣，主要提供對(duì)信息安全資產(chǎn)進(jìn)行定義、分類(lèi)、管理和查詢(xún)等；為控制點(diǎn)執(zhí)行管理、信息安全檢查、信息安全合規(guī)與風(fēng)險(xiǎn)評(píng)價(jià)等，提供統(tǒng)一的資產(chǎn)數(shù)據(jù)接口，其關(guān)鍵屬性主要包含有資產(chǎn)編號(hào)、所屬部門(mén)、資產(chǎn)責(zé)任人、資產(chǎn)類(lèi)型、資產(chǎn)重要性等級(jí)。如圖1所示，通過(guò)信息安全各個(gè)矩陣的映射關(guān)聯(lián)關(guān)系，可以進(jìn)行多維度的查詢(xún)分析。

2.3.3信息安全合規(guī)管理平臺(tái)

在構(gòu)建了企業(yè)級(jí)的全面層次化的信息安全組織，建立了信息安全矩陣后，為了能夠有效地進(jìn)行信息安全合規(guī)閉環(huán)管理，就需要搭建一個(gè)信息安全合規(guī)管理平臺(tái)，支撐各個(gè)信息安全管理流程的平臺(tái)化管理和實(shí)施。信息安全合規(guī)管理平臺(tái)，從業(yè)務(wù)角度出發(fā)，需要實(shí)現(xiàn)以下功能需求：（1）企業(yè)各類(lèi)信息安全管理工作要求能夠成體系、易維護(hù)。（2）企業(yè)任何人員可以通過(guò)該平臺(tái)了解企業(yè)針對(duì)自己所屬組織乃至自身所提出的信息安全工作要求。（3）企業(yè)各級(jí)部門(mén)通過(guò)該平臺(tái)明確自己的安全工作目標(biāo)，各級(jí)信息安全管理部門(mén)可以通過(guò)該平臺(tái)對(duì)企業(yè)各組織、系統(tǒng)進(jìn)行安全管理工作檢查、評(píng)價(jià)和整改指導(dǎo)。（4）企業(yè)各級(jí)信息安全管理部門(mén)可以通過(guò)該平臺(tái)進(jìn)行安全風(fēng)險(xiǎn)分析和量化評(píng)價(jià)。

3信息安全合規(guī)管理平臺(tái)的建設(shè)思路

為了有效地解決電信行業(yè)當(dāng)前信息安全合規(guī)所面臨的問(wèn)題和挑戰(zhàn)，未來(lái)的合規(guī)平臺(tái)將通過(guò)制度管理、信息安全矩陣管理、執(zhí)行管理、合規(guī)檢查、合規(guī)風(fēng)險(xiǎn)評(píng)價(jià)等功能模塊，來(lái)實(shí)現(xiàn)并支撐信息安全合規(guī)的全生命周期流程管理。基于上述各功能模塊的平臺(tái)整體業(yè)務(wù)功能框架視圖如圖2所示。其中，平臺(tái)的核心功能主要包含如下。（1）信息安全矩陣管理：該功能模塊主要提供信息安全矩陣的導(dǎo)入導(dǎo)出與維護(hù)管理、關(guān)聯(lián)查詢(xún)、版本管理和分級(jí)管理等功能，支撐對(duì)企業(yè)各級(jí)公司均適用的信息安全矩陣的統(tǒng)一和管理，作為整個(gè)企業(yè)的信息安全管控要求的統(tǒng)一標(biāo)準(zhǔn)。（2）執(zhí)行管理：該功能模塊主要是提供執(zhí)行任務(wù)分配、執(zhí)行人變更管理、控制執(zhí)行提醒和控制執(zhí)行查詢(xún)等功能，保證將控制點(diǎn)和檢查點(diǎn)的具體執(zhí)行要求落實(shí)到具體的控制點(diǎn)執(zhí)行人員；針對(duì)那些周期性執(zhí)行的控制點(diǎn)，通過(guò)平臺(tái)向執(zhí)行人員定期發(fā)送提醒，督促其按時(shí)完成控制點(diǎn)的執(zhí)行要求。（3）合規(guī)檢查：該功能模塊主要是提供檢查計(jì)劃管理、人工檢查管理和自動(dòng)檢查管理功能，用來(lái)完成信息安全檢查計(jì)劃的制定，對(duì)人工檢查和自動(dòng)檢查進(jìn)行過(guò)程管理，在線(xiàn)記錄或者自動(dòng)生成相應(yīng)的安全檢查結(jié)果。（4）合規(guī)風(fēng)險(xiǎn)評(píng)價(jià)：該功能模塊主要是根據(jù)安全檢查的結(jié)果，提供量化的合規(guī)評(píng)價(jià)、風(fēng)險(xiǎn)評(píng)價(jià)和綜合評(píng)價(jià)功能。合規(guī)評(píng)價(jià)，主要是通過(guò)對(duì)檢查點(diǎn)結(jié)果統(tǒng)計(jì)，得出滿(mǎn)足檢查要求的控制點(diǎn)的比例，主要反映控制點(diǎn)管控落實(shí)的工作量。風(fēng)險(xiǎn)評(píng)價(jià)，主要是針對(duì)那些不合規(guī)的控制點(diǎn)，根據(jù)其實(shí)際的執(zhí)行情況，分析并得出該控制點(diǎn)的潛在風(fēng)險(xiǎn)高低和影響大小。綜合評(píng)價(jià)，主要是基于對(duì)合規(guī)滿(mǎn)足度的評(píng)價(jià)結(jié)果和不合規(guī)控制點(diǎn)的風(fēng)險(xiǎn)大小，綜合給出合規(guī)管控工作的完成效果，便于進(jìn)行橫向比較。根據(jù)電信企業(yè)的特點(diǎn)和信息安全分級(jí)管理的需要，可考慮實(shí)施集團(tuán)總部和各個(gè)省市公司的兩級(jí)/多級(jí)平臺(tái)基礎(chǔ)架構(gòu)的部署。其中，集團(tuán)總部的合規(guī)一級(jí)平臺(tái)將主要負(fù)責(zé)制度管理、信息安全矩陣管理，制定全集團(tuán)的安全檢查計(jì)劃，分析和評(píng)價(jià)各省市公司的安全管控水平和風(fēng)險(xiǎn)。省市公司的合規(guī)二級(jí)平臺(tái)，則側(cè)重于分配落實(shí)好集團(tuán)控制矩陣的各項(xiàng)控制點(diǎn)和要求的責(zé)任人，落實(shí)集團(tuán)或者制定省內(nèi)的安全檢查計(jì)劃，實(shí)施安全檢查工作，分析和評(píng)價(jià)省內(nèi)的安全管控水平和安全風(fēng)險(xiǎn)，根據(jù)檢查結(jié)果完成后期安全整改工作。

4信息安全合規(guī)管理體系的應(yīng)用與價(jià)值

通過(guò)搭建信息安全合規(guī)管理平臺(tái)，實(shí)施信息安全合規(guī)管理體系，能夠帶來(lái)重要的價(jià)值。（1）提升信息安全管理的統(tǒng)一性和有效性。將分散的信息安全制度進(jìn)行集中管理，形成以信息安全合規(guī)矩陣為核心，在全公司普遍適用，具有標(biāo)桿意義的制度框架體系。通過(guò)制度體系在平臺(tái)中的固化，可以隨時(shí)隨地進(jìn)行信息安全制度的查詢(xún)、分析和對(duì)標(biāo)，制度體系的更新與維護(hù)也變得十分便捷。同時(shí)，建立整個(gè)企業(yè)的標(biāo)準(zhǔn)的信息安全合規(guī)管理體系框架，通過(guò)平臺(tái)統(tǒng)一企業(yè)總部及子公司的信息安全管控落實(shí)與檢查評(píng)價(jià)工作，有效避免實(shí)際執(zhí)行工作中的差異性。（2）實(shí)現(xiàn)信息安全合規(guī)管控落實(shí)的常態(tài)化和流程化。通過(guò)信息安全合規(guī)管理平臺(tái)固化了信息安全管控執(zhí)行流程和信息安全矩陣，包括控制執(zhí)行方式、控制執(zhí)行頻率、控制所屬崗位、控制關(guān)聯(lián)資產(chǎn)配置等信息，指導(dǎo)具體的IT人員執(zhí)行落實(shí)安全管控的工作要求。通過(guò)執(zhí)行工作的流程化，將安全管控要求落實(shí)到人，確保管理要求能有效執(zhí)行，或結(jié)合安全控制要求的執(zhí)行頻率，定期自動(dòng)向執(zhí)行人員發(fā)送例行提醒，推動(dòng)合規(guī)管控落實(shí)的常態(tài)化。（3）提升信息安全合規(guī)檢查的效率。通過(guò)集成標(biāo)準(zhǔn)化檢查工具，遵循規(guī)范的檢查要求和步驟，大大降低了人工檢查的成本，避免檢查過(guò)程中標(biāo)準(zhǔn)不一致和質(zhì)量參差不齊的問(wèn)題。針對(duì)不同的專(zhuān)項(xiàng)檢查需要，可以通過(guò)平臺(tái)方便地定制有針對(duì)性的檢查計(jì)劃。針對(duì)新的內(nèi)外部信息安全監(jiān)管要求，能夠及時(shí)便捷的更新補(bǔ)充相應(yīng)的檢查內(nèi)容和要求到平臺(tái)中，保證與外部監(jiān)管要求的一致性和實(shí)效性。同時(shí)，針對(duì)檢查中發(fā)現(xiàn)的問(wèn)題，通過(guò)平臺(tái)能夠提供流程化的整改任務(wù)派發(fā)工單，發(fā)送給安全管理人員予以整改，并限定時(shí)間，與提醒機(jī)制聯(lián)動(dòng)，整改過(guò)程可以通過(guò)平臺(tái)進(jìn)行有效的跟蹤，保證信息安全問(wèn)題得到及時(shí)整改。（4）提升信息安全合規(guī)的量化評(píng)價(jià)水平和決策支撐能力。建立統(tǒng)一的信息安全量化的評(píng)價(jià)體系和標(biāo)準(zhǔn)，固化到平臺(tái)中，實(shí)現(xiàn)安全合規(guī)水平的量化管理，結(jié)合平臺(tái)的數(shù)據(jù)處理分析能力，提供信息安全合規(guī)管控情況和風(fēng)險(xiǎn)的多維度、可視化視圖。執(zhí)行層可以獲得基于部門(mén)、省市公司、IT或者業(yè)務(wù)流程、資產(chǎn)、外部合規(guī)要求等不同維度的統(tǒng)計(jì)和分析信息，為信息安全合規(guī)工作的持續(xù)改進(jìn)提供充足的信息。管理層可以通過(guò)統(tǒng)計(jì)的結(jié)果，直觀地掌握企業(yè)整體安全管控水平全貌和當(dāng)前面臨的主要風(fēng)險(xiǎn)，為決策提供有力的數(shù)據(jù)支撐。

5展望

當(dāng)前，電信企業(yè)面臨著復(fù)雜的網(wǎng)絡(luò)環(huán)境和多種安全挑戰(zhàn)。搭建信息安全合規(guī)管理平臺(tái)，構(gòu)建電信企業(yè)信息安全合規(guī)管理體系，正是應(yīng)對(duì)這些挑戰(zhàn)的一種努力，但是體系的建設(shè)不是一蹴而就的，需要螺旋式的發(fā)展。信息安全合規(guī)管理可以選取風(fēng)險(xiǎn)最高的安全控制要求進(jìn)行固化，并在此基礎(chǔ)上進(jìn)行不斷補(bǔ)充完善，經(jīng)過(guò)幾年的時(shí)間，才能形成完善的體系，達(dá)到安全管理體系化、安全執(zhí)行流程化、安全檢查系統(tǒng)化、安全評(píng)價(jià)科學(xué)化的目標(biāo)。

本文作者:張濱工作單位:中國(guó)移動(dòng)通信集團(tuán)公司信息安全管理與運(yùn)行中心