张滨

（中国移动通信集团公司信息安全管理与运行中心，北京 100053）

电信企业信息安全合规管理体系研究

张滨

（中国移动通信集团公司信息安全管理与运行中心，北京 100053）

本文从电信企业的特点出发，深入剖析了电信企业在信息安全管理方面所面临的问题和挑战，提出借鉴GRC理念，构建信息安全合规管理体系，有效提升电信企业信息安全管控水平的方法。文章详细介绍了信息安全合规管理体系的核心机制和实现要素，以及合规管理平台建设思路，指出信息安全合规管理体系的应用价值以及未来的发展方向。

信息安全；合规；控制矩阵；GRC

张 滨 高级工程师，现任中国移动通信集团公司信息安全管理与运行中心总经理。清华大学无线电系毕业，曾担任江西省移动通信局副局长，中国移动通信集团公司计划部、管理信息系统部副总经理，国务院国有资产监督管理委员会信息中心副主任。长期从事通信网规划建设、信息化推进、信息安全管理工作，参与了中央企业信息化政策措施研究，组织了中国移动ERP项目的实施，在通信、互联网、信息化和信息安全领域有较深入的研究。

做好信息安全管理是确保电信企业可持续发展的重要手段，是维护国家安全、社会稳定，履行社会责任的基本需要，也是企业自身发展的需要。为了保障企业的安全运营，企业内部形成了各种安全管理制度。另外，公安部、工信部、国家保密局等部委都陆续颁发了相关企业信息安全管理的要求，如《信息安全等级保护管理办法》、《互联网安全保护技术措施规定》、《基础电信企业信息安全责任管理办法》、《通信网安全防护技术要求》等，同时，作为海外上市公司，电信企业还必须遵循《萨班斯法案》相关要求。电信企业需要满足的合规要求众多，信息安全体系化管理难、落实执行难、监督检查难、量化评价难成为信息安全管理工作中的突出问题。

信息安全合规管理的总体目标，就是借鉴国际先进GRC管理理念，按照PDCA管理模式，建立合规要求、合规执行、合规检查、合规评价、合规整改的闭环管理机制。通过采取相应的技术手段和管理措施，实现信息安全管理体系化、落实执行流程化、监督检查系统化，水平评价科学化，从而实现信息安全管理水平的螺旋式提升，最终保障企业的可持续健康发展。

1 电信企业信息安全管理面临的问题与挑战

1.1 电信企业的特点

近10年来，电信企业经历了高速的发展，网络规模庞大、用户数量众多、业务发展多元化，使得电信企业具有了如下的主要运营特点：

（1）电信企业业务种类繁多，流程复杂程度高。当前，随着人们需求的多元化和个性化，单一的话音业务已不能满足用户通信的需求，电信企业根据不同细分市场的用户需求提供多种多样的增值电信业务，业务流程复杂性增大。同时，电信企业的部分业务涉及多方参与，除了最终用户，还有众多第三方公司，甚至还有当地政府部门。在监管方面，电信企业也必须依照国家法律对第三方提供内容监管，防止其提供违法信息。

（2）电信业务涉及大量的电子业务数据交互，数据涉及用户的个人敏感信息。电信企业内部运作主要依赖于各种IT系统，大部分业务数据和内部管理运作轨迹数据都是以电子数据的形式存在于各系统的数据库中。海量的业务数据中，包含了用户的个人敏感信息，诸如用户个人身份信息、订购信息、交易信息等；内部管理数据中，包含了企业发展战略、重要规章制度、管理信息等机密内容。不同的业务数据之间要进行交互，如果人为通过系统后台改变用户的账户或交易信息，将会对业务结算或者财务带来风险。

（3）业务运营和企业内部运作对支撑系统依赖程度高，平台种类繁多。电信企业所提供的服务都需要后台支撑系统的支持，如业务运营支撑系统就承载着计费、结算、营业账务和客户服务等多项核心业务，这些业务都要求有一个高度稳定、运行顺畅、安全可靠的系统。同时，企业内部工作主要依赖管理信息系统，如现在重要的公文审批都会通过OA系统进行签批，业务系统账号申请与维护也是在内部管理信息系统中完成。

电信行业的这些特点，不难得出信息化运营和管理在电信行业发展中的重要地位，一旦信息安全出现问题，必将带来十分严重的后果。因此，从电信行业的运营特点出发，构建全面的信息安全合规管理体系，是电信企业实现业务快速、稳定、健康发展的必由之路。

1.2 信息安全管理面临的问题

近年来，各大电信企业针对信息安全建设进行了大量的工作，但是依然面临着很多问题，主要表现在：

（1）信息安全管控要求多。存在多个部门发布、维护信息安全制度的情况，缺乏平台化的制度管理机制，具体的执行人员很难在第一时间了解最新的安全制度要求。此外，针对同样的安全管控内容，不同的信息安全制度常常存在标准不统一的情况，令执行人员无所适从。

（2）部分信息安全制度中的规定缺乏实质性管控要求，无法明确有效地转化到执行层面予以落实。同时，往往信息安全管理要求没有落实到具体的部门，更没有落实到具体的岗位，面对大量的安全管控要求，执行起来非常困难。

（3）信息安全检查缺乏统一的标准，并且主要采用人工检查，每次检查往往需要进行人工访谈、资料查阅、现场测试等多个环节，耗费大量的时间、人力和物力。检查内容、检查方法、检查工具、检查人员的能力等都成为影响检查效果的因素。

（4）针对企业各个层面的信息安全管理情况缺乏统一的评价标准，不能进行量化考核；没有量化数据，无法实现对部门和系统合规水平综合评价的数据支撑。

（5）没有统一的信息安全合规管理平台，就无法为信息安全合规管理的体系落地、执行提示、监督检查和水平评价提供统一、全面的系统管理支撑基础。

1.3 信息安全管理的解决之道

针对上述信息安全管理面临的问题，本文借鉴国际上的GRC管理理念和SOX内控矩阵的思想，按照PDCA管理模式来构建电信企业的信息安全合规管理体系，从而解决信息安全体系化管理难、落实执行难、监督检查难、量化管理难的问题。通过建立信息安全合规管理系统，形成信息安全合规整体视图，实现安全要求、任务执行、监督检查、整改跟踪、量化评价的管理闭环，支撑信息安全全生命周期的管理，最终达到信息安全水平的持续螺旋式提升。

2 信息安全合规管理体系

信息安全合规管理应借鉴国际先进管理理念，明确管理体系的核心要素，从信息安全组织与人员的构建、信息安全矩阵的知识支撑、信息安全合规管理平台建设等方面入手，来构建电信企业的信息安全合规管理体系。

2.1 GRC理念

GRC理念是国际先进的现代化企业管理理念。作为企业上层建筑，GRC包含了公司治理、战略绩效管理、风险管理、审计、法律、合规遵从、IT治理、道德和企业社会责任、质量管理、人力资本、企业文化、财务等广泛的领域。GRC理念应用的价值在于，以企业管控、风险和法规遵从为对象，为决策层和管理层提供综合信息和流程控制支持，帮助企业安全、高效地实现预期目标。

2.2 管理体系的核心机制

信息安全合规管理体系以制度策略、管控执行、安全检查、整改跟踪为主线，实现信息安全合规的闭环管理，也即管理体系的核心机制：

（1）制度策略：信息安全管理体系的建设阶段，针对信息安全制度进行统筹化、体系化管理，掌握制度体系建设全貌，有效警示制度的缺失和盲点。

（2）管控执行：信息安全管理体系的实施阶段，将信息安全管控要求明确落实到企业的各个责任部门、岗位和人员，具体执行人员在落实管控要求时，都能得到知识的指导和定期的提醒。

（3）安全检查：信息安全管理体系的检查阶段，推动执行标准化、统一化、平台化的安全检查，及时发现安全管控薄弱环节，为潜在风险提供有效的预警和整改过程的跟踪。

（4）整改跟踪：信息安全管理体系的评价阶段，收集并分析安全检查的结果数据，跟踪整改效果，评价安全管控水平，通过统计视图展现安全合规整体视图，获取可视化的安全决策信息，支撑今后的信息安全建设方向。

制度策略和管控执行，对应的即是GRC中的G，前者作为信息安全治理的依据和执行指导，后者正是治理要求在具体执行层面的事实与落实；安全检查，则对应着GRC中的R，检查信息安全治理要求的落实情况和风险规避的水平；合规评价，对应着GRC中的C，评价信息安全管控措施的内外部合规程度，指导未来的改进方向。

2.3 管理体系的实现要素

企业任何业务的有效运行，都离不开人、流程和技术3个层面的有机组合。因而，成熟的电信行业信息安全合规管理体系，人、流程和技术也构成了其实现的要素。针对信息安全合规管理，具体来说，“人”这一要素构成了企业的信息安全组织，“技术”这一要素就是指信息安全矩阵，即支撑信息安全管理执行落实、安全检查以及合规评价的知识基础，“流程”这一要素指的是信息安全合规管理平台，将制度管理、控制落实、安全检查、合规评价以及整改等信息安全管理流程固化到平台中，提供流程化、平台化的高效管理。

2.3.1 信息安全组织

电信企业都是大型企业，包含有集团总部和各个省市公司，因而应该建立自上而下、分层分级、涵盖各IT相关部门的信息安全组织。信息安全组织由安全决策层、安全管理层和安全执行层3个层面的人员组成。安全决策层负责制定公司的信息安全目标、掌握整体的信息安全管控与风险水平，部署信息安全改进建设方向。安全管理层负责制定并审查信息安全制度规定，建立信息安全的管控要求、执行标准和检查依据，监督安全问题的整改落实情况。安全执行层主要是按照要求，落实好公司的各项管控要求，保证信息安全工作落实到岗到人，对于存在问题的地方做好彻底的整改工作。

2.3.2 信息安全矩阵

信息安全合规管理的核心是建立信息安全矩阵。需要对内外部信息安全合规要求进行体系化梳理，建立信息安全矩阵框架，包括控制矩阵、检查矩阵、对应矩阵以及资产矩阵。

控制矩阵，主要提供信息安全的各项管控要求，指导执行人员予以落实，其关键属性主要包含有控制点描述、控制领域、控制类型、控制频率。

检查矩阵，主要提供对控制矩阵中的各个控制点执行情况的好坏，提供检查的标准和具体的检查步骤，用以指导检查人员进行安全检查工作，其关键属性主要包含有检查点描述、检查方式、检查步骤、检查点固有严重度、执行建议、控制点编号、资产类型。

对应矩阵，主要提供企业内部信息安全制度与信息安全控制矩阵的对应关系，便于相应的查询分析的需要；提供外部信息安全监管规范要求与信息安全控制矩阵的对应关系，便于分析当前的控制矩阵是否能够充分满足外部监管机构的监管要求，其关键属性主要包含有内部制度/外部规范控制要求编号和控制点编号。

资产矩阵，主要提供对信息安全资产进行定义、分类、管理和查询等；为控制点执行管理、信息安全检查、信息安全合规与风险评价等，提供统一的资产数据接口，其关键属性主要包含有资产编号、所属部门、资产责任人、资产类型、资产重要性等级。

如图1所示，通过信息安全各个矩阵的映射关联关系，可以进行多维度的查询分析。

图1 信息安全矩阵的映射关联

2.3.3 信息安全合规管理平台

在构建了企业级的全面层次化的信息安全组织，建立了信息安全矩阵后，为了能够有效地进行信息安全合规闭环管理，就需要搭建一个信息安全合规管理平台，支撑各个信息安全管理流程的平台化管理和实施。信息安全合规管理平台，从业务角度出发，需要实现以下功能需求：

（1）企业各类信息安全管理工作要求能够成体系、易维护。

（2）企业任何人员可以通过该平台了解企业针对自己所属组织乃至自身所提出的信息安全工作要求。

（3）企业各级部门通过该平台明确自己的安全工作目标，各级信息安全管理部门可以通过该平台对企业各组织、系统进行安全管理工作检查、评价和整改指导。

（4）企业各级信息安全管理部门可以通过该平台进行安全风险分析和量化评价。

3 信息安全合规管理平台的建设思路

为了有效地解决电信行业当前信息安全合规所面临的问题和挑战，未来的合规平台将通过制度管理、信息安全矩阵管理、执行管理、合规检查、合规风险评价等功能模块，来实现并支撑信息安全合规的全生命周期流程管理。基于上述各功能模块的平台整体业务功能框架视图如图2所示。

其中，平台的核心功能主要包含如下。

（1）信息安全矩阵管理：该功能模块主要提供信息安全矩阵的导入导出与维护管理、关联查询、版本管理和分级管理等功能，支撑对企业各级公司均适用的信息安全矩阵的统一发布和管理，作为整个企业的信息安全管控要求的统一标准。

（2）执行管理：该功能模块主要是提供执行任务分配、执行人变更管理、控制执行提醒和控制执行查询等功能，保证将控制点和检查点的具体执行要求落实到具体的控制点执行人员；针对那些周期性执行的控制点，通过平台向执行人员定期发送提醒，督促其按时完成控制点的执行要求。

图2 信息安全合规平台

（3）合规检查：该功能模块主要是提供检查计划管理、人工检查管理和自动检查管理功能，用来完成信息安全检查计划的制定，对人工检查和自动检查进行过程管理，在线记录或者自动生成相应的安全检查结果。

（4）合规风险评价：该功能模块主要是根据安全检查的结果，提供量化的合规评价、风险评价和综合评价功能。合规评价，主要是通过对检查点结果统计，得出满足检查要求的控制点的比例，主要反映控制点管控落实的工作量。风险评价，主要是针对那些不合规的控制点，根据其实际的执行情况，分析并得出该控制点的潜在风险高低和影响大小。综合评价，主要是基于对合规满足度的评价结果和不合规控制点的风险大小，综合给出合规管控工作的完成效果，便于进行横向比较。

根据电信企业的特点和信息安全分级管理的需要，可考虑实施集团总部和各个省市公司的两级/多级平台基础架构的部署。其中，集团总部的合规一级平台将主要负责制度管理、信息安全矩阵管理，制定全集团的安全检查计划，分析和评价各省市公司的安全管控水平和风险。省市公司的合规二级平台，则侧重于分配落实好集团控制矩阵的各项控制点和要求的责任人，落实集团或者制定省内的安全检查计划，实施安全检查工作，分析和评价省内的安全管控水平和安全风险，根据检查结果完成后期安全整改工作。

4 信息安全合规管理体系的应用与价值

通过搭建信息安全合规管理平台，实施信息安全合规管理体系，能够带来重要的价值。

（1）提升信息安全管理的统一性和有效性。将分散的信息安全制度进行集中管理，形成以信息安全合规矩阵为核心，在全公司普遍适用，具有标杆意义的制度框架体系。通过制度体系在平台中的固化，可以随时随地进行信息安全制度的查询、分析和对标，制度体系的更新与维护也变得十分便捷。同时，建立整个企业的标准的信息安全合规管理体系框架，通过平台统一企业总部及子公司的信息安全管控落实与检查评价工作，有效避免实际执行工作中的差异性。

（2）实现信息安全合规管控落实的常态化和流程化。通过信息安全合规管理平台固化了信息安全管控执行流程和信息安全矩阵，包括控制执行方式、控制执行频率、控制所属岗位、控制关联资产配置等信息，指导具体的IT人员执行落实安全管控的工作要求。通过执行工作的流程化，将安全管控要求落实到人，确保管理要求能有效执行，或结合安全控制要求的执行频率，定期自动向执行人员发送例行提醒，推动合规管控落实的常态化。

（3）提升信息安全合规检查的效率。通过集成标准化检查工具，遵循规范的检查要求和步骤，大大降低了人工检查的成本，避免检查过程中标准不一致和质量参差不齐的问题。针对不同的专项检查需要，可以通过平台方便地定制有针对性的检查计划。针对新的内外部信息安全监管要求，能够及时便捷的更新补充相应的检查内容和要求到平台中，保证与外部监管要求的一致性和实效性。同时，针对检查中发现的问题，通过平台能够提供流程化的整改任务派发工单，发送给安全管理人员予以整改，并限定时间，与提醒机制联动，整改过程可以通过平台进行有效的跟踪，保证信息安全问题得到及时整改。

（4）提升信息安全合规的量化评价水平和决策支撑能力。建立统一的信息安全量化的评价体系和标准，固化到平台中，实现安全合规水平的量化管理，结合平台的数据处理分析能力，提供信息安全合规管控情况和风险的多维度、可视化视图。

执行层可以获得基于部门、省市公司、IT或者业务流程、资产、外部合规要求等不同维度的统计和分析信息，为信息安全合规工作的持续改进提供充足的信息。管理层可以通过统计的结果，直观地掌握企业整体安全管控水平全貌和当前面临的主要风险，为决策提供有力的数据支撑。

5 展望

当前，电信企业面临着复杂的网络环境和多种安全挑战。搭建信息安全合规管理平台，构建电信企业信息安全合规管理体系，正是应对这些挑战的一种努力，但是体系的建设不是一蹴而就的，需要螺旋式的发展。信息安全合规管理可以选取风险最高的安全控制要求进行固化，并在此基础上进行不断补充完善，经过几年的时间，才能形成完善的体系，达到安全管理体系化、安全执行流程化、安全检查系统化、安全评价科学化的目标。

Study on information security compliance management system of telecom enterprise

ZHANG Bin
(China Mobile Information Security Center, Beijing 100053, China)

This article analyzes the characteristics of the telecommunications enterprises, the problems and challenges in information security management, and builds information security compliance management system, on the idea of GRC to effectively enhance telecommunications enterprise information security management and control ability. The article describes in detail the core mechanism of the information security and compliance management system and elements, as well as compliance management platform construction ideas, pointing out the value of information security and compliance management system and the future directiont.

information security; compliance; control matrix; GRC

TN918

A

1008-5599（2013）12-0001-06

2013-11-22