信息安全合規(guī)管理常態(tài)化

侯崇才

中國移動通信集團(tuán)公司（簡稱中國移動）是根據(jù)國家關(guān)于電信體制改革的部署和要求，在原中國電信移動通信資產(chǎn)總體剝離的基礎(chǔ)上組建的國有重要骨干企業(yè)，于2000年4月20日成立。公司注冊資本為518億元，資產(chǎn)規(guī)模超過萬億元。

四大因素驅(qū)動管理水平提升

經(jīng)過十多年的建設(shè)與發(fā)展，中國移動已建成一個覆蓋范圍廣、通信質(zhì)量高、業(yè)務(wù)品種豐富、服務(wù)水平一流的移動通信網(wǎng)絡(luò)。目前，中國移動的網(wǎng)絡(luò)規(guī)模和客戶規(guī)模列全球第一。但近幾年來，中國移動的信息安全管理壓力不斷加大，這是由于以下四個因素：

首先，適應(yīng)信息安全形勢發(fā)展的基本需要。隨著社會環(huán)境、產(chǎn)業(yè)環(huán)境的變化，通信網(wǎng)的重要性日益凸顯，民眾對通信網(wǎng)的依賴程度日益提高，網(wǎng)絡(luò)與我們的生產(chǎn)、生活密不可分。與此同時，網(wǎng)絡(luò)安全攻擊事件日益增多，網(wǎng)絡(luò)攻擊技術(shù)越來越多樣化，攻擊的自動化程度也越來越高，信息安全形勢日益嚴(yán)峻。作為國有重要骨干企業(yè)，中國移動加強(qiáng)信息安全管理，既是實現(xiàn)企業(yè)發(fā)展戰(zhàn)略目標(biāo)的需要，也是履行企業(yè)社會責(zé)任的基本需要。

其次，資本的市場監(jiān)管要求。2002年，美國安然、世通等財務(wù)欺詐事件之后，美國立法機(jī)構(gòu)出臺了《薩班斯—奧克斯利法案》（以下簡稱《薩班斯法案》）?！端_班斯法案》不僅適用于美國上市公司，也適用于在美國證監(jiān)會注冊的外國公司。中國移動作為在美國證券交易市場上市的海外公司，也必須遵循《薩班斯法案》相關(guān)要求。為了遵從《薩班斯法案》，中國移動制定的內(nèi)部控制矩陣中，有313個項與信息安全有關(guān)。

再次，滿足國內(nèi)監(jiān)管部門的監(jiān)管要求。隨著信息安全形勢的發(fā)展，國內(nèi)監(jiān)管部門對信息安全管理提出了明確要求。公安部、工業(yè)和信息化部、國家保密局和證監(jiān)會等部委陸續(xù)發(fā)布了相關(guān)文件對企業(yè)信息安全管理提出了要求，如公安部、國家保密局、國家密碼管理局和國務(wù)院信息工作辦公室發(fā)布的《信息安全等級保護(hù)管理辦法》，公安部發(fā)布的《互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定》，工業(yè)和信息化部發(fā)布的《通信網(wǎng)絡(luò)安全防護(hù)管理辦法》，財政部、 證監(jiān)會、審計署、銀監(jiān)會和保監(jiān)會印發(fā)的《企業(yè)內(nèi)部控制基本規(guī)范》等。

最后，滿足企業(yè)自身管理提升的要求。中國移動從提升自身管理的角度出發(fā)，建立了較為完整的信息安全管理體系，覆蓋系統(tǒng)建設(shè)和運(yùn)維、業(yè)務(wù)經(jīng)營、客戶信息保護(hù)等環(huán)節(jié)。

然而，由于信息安全管理涉及多個業(yè)務(wù)部門和管理部門，管理復(fù)雜度高，工作繁雜，過去難以進(jìn)行體系化管理、執(zhí)行難度高成為中國移動信息安全管理工作的突出問題。

五大管理措施保證信息安全

中國移動信息安全管理的總體目標(biāo)是借鑒國際的先進(jìn)GRC管理理念，按照PDCA（Plan—Do—Check—Action，計劃—實施—檢查—處理）模式，建立涵蓋合規(guī)要求、合規(guī)執(zhí)行、合規(guī)檢查、合規(guī)評價、合規(guī)整改的閉環(huán)管理機(jī)制；采取相應(yīng)的技術(shù)手段、通過有效的管理措施，保證信息資產(chǎn)免遭威脅，或?qū)⑼{帶來的不良后果降到最低；持續(xù)改進(jìn)，實現(xiàn)信息安全管理水平的螺旋式提升，最終維護(hù)組織的正常運(yùn)作和健康發(fā)展。具體來說，中國移動主要采取了以下五項措施保證目標(biāo)的實現(xiàn)。

第一，建立信息安全合規(guī)閉環(huán)管理機(jī)制。中國移動在信息安全管理方面借鑒了GRC管理理念，參考了ISO27001信息安全閉環(huán)管理體系的PDCA模型，形成了特有的信息安全合規(guī)閉環(huán)管理機(jī)制。中國移動結(jié)合自身的實際情況，將信息安全合規(guī)管理工作劃分為合規(guī)要求、合規(guī)執(zhí)行、合規(guī)檢查、合規(guī)評價、合規(guī)整改等五個環(huán)節(jié)。其中，合規(guī)要求對應(yīng)的是計劃（Plan），合規(guī)執(zhí)行對應(yīng)是實施（Do），合規(guī)檢查和合規(guī)評價對應(yīng)的是檢查（Check），合規(guī)整改對應(yīng)的是處理（Action）。這五個環(huán)節(jié)形成了信息安全合規(guī)的閉環(huán)管理，借助流程全面貫徹。

第二，進(jìn)行集中、制度化管理，全面滿足內(nèi)外部監(jiān)管需求。中國移動根據(jù)外部的《薩班斯法案》、ISO27011信息安全管理最佳實踐、國家信息安全等級保護(hù)、通信網(wǎng)安全防護(hù)等相關(guān)的合規(guī)要求，制定了多達(dá)200余個安全管理制度和標(biāo)準(zhǔn)，覆蓋系統(tǒng)建設(shè)與運(yùn)維、業(yè)務(wù)經(jīng)營、客戶信息保護(hù)等環(huán)節(jié)，涉及多個業(yè)務(wù)部門和管理部門，涵蓋了安全方針、風(fēng)險管理、第三方管理、安全事件處理、安全基線等數(shù)十個領(lǐng)域。

值得一提的是，由于需要遵從的合規(guī)要求較多，部分“規(guī)”之間存在內(nèi)容交叉和要求不一致的情況。如果缺少集中化的管理，會導(dǎo)致日常的制度和標(biāo)準(zhǔn)查詢、獲取和執(zhí)行都比較困難。為此，中國移動對需要遵從的國際、國內(nèi)、行業(yè)和企業(yè)內(nèi)部的信息安全管理制度、標(biāo)準(zhǔn)進(jìn)行了梳理，參照國內(nèi)外標(biāo)準(zhǔn)和最佳實踐，形成了《中國移動信息安全管理制度體系框架》。通過制度體系框架，相關(guān)人員可以掌握公司整體的信息安全管理全貌，方便、快速地查找對應(yīng)的要求，高效地分析出哪些領(lǐng)域可能存在制度缺失，為進(jìn)一步完善信息安全管理體系提供有力的支持，為合規(guī)管理體系的建設(shè)提供有用的支撐。

第三，完善合規(guī)管理矩陣，將安全合規(guī)管理工作具體化。信息安全合規(guī)管理的核心是建立信息安全合規(guī)管理矩陣。該矩陣是基于對各種信息安全管理制度、規(guī)范建立的，是對各種信息安全管理要求的條目化、具體化。中國移動在梳理合規(guī)制度和建立合規(guī)控制框架的基礎(chǔ)上，首先建立信息安全責(zé)任制、客戶信息安全、業(yè)務(wù)安全和基礎(chǔ)安全等子矩陣，然后逐步豐富、完善子矩陣，最終形成全面的信息安全合規(guī)矩陣。合規(guī)矩陣包括控制矩陣、檢查矩陣、對應(yīng)矩陣和資產(chǎn)矩陣。

第四，建立合規(guī)檢查規(guī)范，實現(xiàn)制度化、規(guī)范化管理。為了做好合規(guī)檢查，中國移動制定《信息安全監(jiān)督檢查工作規(guī)范》，實現(xiàn)合規(guī)檢查制度化、規(guī)范化管理。合規(guī)檢查分為普查模式和專項檢查兩種模式。

第五，建立評價體系，實現(xiàn)整改工作的閉環(huán)管理。中國移動通過實施多維度的合規(guī)評價，針對不符合合規(guī)要求的檢查點和評價相對較差的環(huán)節(jié)，開展及時的問題整改工作，通過工單等工作流，以下發(fā)、整改、反饋和驗證四步閉環(huán)的管理模式，保證在問題發(fā)現(xiàn)后，有要求、有人改、有反饋、有驗證，有效落實整改工作。

信息化平臺是不可或缺的支撐

為了有效應(yīng)對當(dāng)前在信息安全合規(guī)管理方面所面臨的挑戰(zhàn)，中國移動在慧點科技協(xié)助下建立了全網(wǎng)集中的信息安全合規(guī)管理平臺。中國移動的各省公司都可以登錄該平臺開展合規(guī)管理工作。該平臺針對中國信息安全合規(guī)管理需求，固化了制度管理、控制落實、安全檢查、合規(guī)評價和整改等信息安全管理流程，為合規(guī)工作提供了流程化、平臺化的高效工具。

中國移動信息安全合規(guī)管理平臺包括制度管理、矩陣管理、執(zhí)行管理、合規(guī)檢查、合規(guī)風(fēng)險評價和整改管理等核心功能模塊，可以有效支撐信息安全合規(guī)的全生命周期流程管理。

通過建立以信息安全合規(guī)管理矩陣為核心的合規(guī)管理體系，全面部署信息安全合規(guī)管理平臺，中國移動實現(xiàn)了如下的效果：

第一，提升了信息安全業(yè)務(wù)管理的統(tǒng)一性、完整性；

第二，提升了集中化自主運(yùn)營能力，有效提升業(yè)務(wù)連續(xù)性；

第三，實現(xiàn)了信息安全合規(guī)管控的常態(tài)化和流程化；

第四，落實了信息安全合規(guī)的量化評價，提升了相關(guān)的決策支撐能力。