淺談大型電子通訊企業(yè)信息安全管理體系建設(shè)

隨煊

摘 要 文章通過識別大型電子通訊企業(yè)建設(shè)信息安全體系的目的，結(jié)合企業(yè)實踐，提出了信息安全管理體系建設(shè)的策略，分為高層重視、保證資源投入、建立信息安全組織、定期進行風(fēng)險評估、重視培訓(xùn)、充分運用技術(shù)手段、審計與檢查等幾個方面，供電子通訊企業(yè)的信息安全管理人員參考。

關(guān)鍵詞 信息安全；管理體系；電子通訊；企業(yè)

中圖分類號 TN91 文獻標(biāo)識碼 A 文章編號 1674-6708（2018）225-0112-02

隨著信息技術(shù)在企業(yè)及其產(chǎn)品中的深入應(yīng)用，大型電子通訊企業(yè)越來越重視信息安全體系建設(shè)。而早在2005年，ISO就推出了ISO/IEC 27001：2005標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)成為眾多企業(yè)建設(shè)信息安全管理體系主要指導(dǎo)標(biāo)準(zhǔn)，現(xiàn)已更新到2013版本。本文中，筆者將談一談該如何推進大型電子通訊企業(yè)信息安全管理體系建設(shè)。

1 需求分析

在討論信息安全管理體系建設(shè)之前，我們有必要分析電子通訊企業(yè)建設(shè)信息安全體系的目的，這樣才能做到有的放矢。

首先是信息安全本身的目的，ISO/IEC 27001標(biāo)準(zhǔn)將信息安全目的定義為機密性、完整性和可用性3個方面，在美國的信息保障技術(shù)框架（IATF）中，則將信息安全目的定義為訪問控制、機密性、完整性、可用性、不可否認(rèn)性5個方面。

1）機密性：防止存儲數(shù)據(jù)和通訊數(shù)據(jù)，在未經(jīng)授權(quán)的情況下發(fā)生泄漏。2）完整性：防止在未經(jīng)授權(quán)的情況下，對數(shù)據(jù)進行非法修改；檢測并通知對數(shù)據(jù)的非法修改、記錄對數(shù)據(jù)的所有修改。3）可用性：授權(quán)用戶及時可靠的訪問數(shù)據(jù)和信息服務(wù)。4）訪問控制：防止對網(wǎng)絡(luò)軟硬件資源未經(jīng)授權(quán)的使用、對數(shù)據(jù)未經(jīng)授權(quán)的泄漏和修改。5）不可否認(rèn)性：證明實體確實參與通信的能力。

其次，是電子通訊企業(yè)建設(shè)信息安全體系的目的，總結(jié)起來有如下3個方面。

1）國際標(biāo)準(zhǔn)認(rèn)證。由于電信網(wǎng)絡(luò)涉及國家安全、社會秩序、經(jīng)濟運行、公共利益，一旦遭到破壞或無法正常提供服務(wù)，對國家、社會、網(wǎng)絡(luò)和業(yè)務(wù)運營商造成的損害非常大。所以，對電信設(shè)備的信息安全要求很高。因此，大型電子通訊企業(yè)需要通過ISO/IEC 27001的認(rèn)證才能參與電信設(shè)備市場的競爭。2）主流運營商要求。電子通訊企業(yè)的歐美客戶出于當(dāng)?shù)貒?yán)苛的法律法規(guī)和市場競爭的需要，提出了比國際標(biāo)準(zhǔn)更為嚴(yán)格的信息安全需求，不僅要求電子通訊企業(yè)通過ISO27001的認(rèn)證，還要求具體的電信設(shè)備產(chǎn)品通過CC等專業(yè)認(rèn)證。同時，對電子通訊企業(yè)的業(yè)務(wù)連續(xù)性也提出了要求，而其中很多方面涉及到信息安全領(lǐng)域，這樣也進一步提高對信息安全體系建設(shè)的要求。3）知識產(chǎn)權(quán)保護。經(jīng)過近30年的競爭，電子通訊設(shè)備從模擬通訊時代，2G、3G、4G、直至現(xiàn)在的5G時代，廠商數(shù)量雖然越來越少，但各廠商在市場、研發(fā)等方面的投入越來越大，競爭越來越激烈。近年來，幾家大型電子通訊設(shè)備企業(yè)之間訴訟不斷，你告我、我告你，大多是在知識產(chǎn)權(quán)領(lǐng)域有爭議。企業(yè)出于保護核心技術(shù)、關(guān)鍵方案等知識產(chǎn)權(quán)的考慮，越來越重視信息安全。

2 管理體系建設(shè)策略

2.1 高層重視

信息安全管理體系和ISO9000等其他管理體系一樣，從目標(biāo)設(shè)定、決策、組織建設(shè)、資源投入、培訓(xùn)、改進等方方面面都離不開高層的重視。高層領(lǐng)導(dǎo)（最好是企業(yè)的一把手）務(wù)必保證自己在信息安全管理體系建設(shè)中的投入，應(yīng)定期召開高層領(lǐng)導(dǎo)參加的匯報會議，以便高層領(lǐng)導(dǎo)了解企業(yè)信息安全體系運作的情況，針對存在的問題，做出指導(dǎo)和決策。很多企業(yè)在引入ISO27001體系、設(shè)立專業(yè)的信息安全管理機構(gòu)之后，高層領(lǐng)導(dǎo)就逐步淡出，將信息安全管理的責(zé)任轉(zhuǎn)給信息安全管理部門了。這樣一來信息安全的重要程度就從公司級降為了部門級，結(jié)果必然是事倍功半，千萬要不得。

2.2 資源投入

建設(shè)信息安全管理體系需要企業(yè)持續(xù)投入資源。

一是人力的投入，企業(yè)既要配備專業(yè)的全職信息安全管理人員，負(fù)責(zé)制訂總體方針和安全策略、設(shè)計安全管理體系架構(gòu)、組織審計、督促整改等工作；又要將信息安全職責(zé)納入各級員工的工作中去，要求高中基層員工做出信息安全承諾、學(xué)習(xí)信息安全知識、落實信息安全舉措。

二是物力的投入，從網(wǎng)絡(luò)安全到物理安全都離不開相應(yīng)的信息安全硬件設(shè)備和軟件工具的投入，如門禁、攝像監(jiān)控系統(tǒng)、防火墻、備份服務(wù)器、后臺監(jiān)控系統(tǒng)等。

三是財力的投入，上述人力和物力都離不開財力的支持，信息安全人員工資、員工培訓(xùn)、軟硬件設(shè)備、第三方咨詢和認(rèn)證等加起來真的是花費不菲。

2.3 組織保障

一般來說，電子通訊企業(yè)會設(shè)立一個專業(yè)部門來推進信息安全管理體系建設(shè)，這也是業(yè)界的普遍做法。但如果僅僅依靠專業(yè)部門，信息安全體系是難以落地的。由于信息安全體系涉及到企業(yè)的方方面面，所以必須在所有基層組織中設(shè)立信息安全組織。業(yè)界有一個頗有成效的做法是，由各級組織的行政一把手兼任該組織的信息安全負(fù)責(zé)人，這樣才能夠做到責(zé)任明晰，政令暢通。同時，保證各級組織在信息安全體系建設(shè)上的投入，從而將信息安全舉措落到實處。

2.4 風(fēng)險評估

風(fēng)險評估是信息安全體系建設(shè)過程很重要的一個環(huán)節(jié)，風(fēng)險評估過程可以識別出企業(yè)需要重點保護的信息安全資產(chǎn)，通過對信息安全資產(chǎn)的機密性、整體性、可用性等方面的分析，結(jié)合發(fā)生信息安全風(fēng)險的可能性，制訂出有針對性的保護措施。這樣能夠?qū)⑵髽I(yè)有限的資源和關(guān)注度聚焦在核心的信息安全資產(chǎn)上，同時又識別出管控的薄弱點，做到有的放矢。

2.5 培訓(xùn)

第一，信息安全體系建設(shè)離不開培訓(xùn)。信息安全體系的建設(shè)一方面專業(yè)性較強，另一方面又需要各級員工共同參與。所以有效的培訓(xùn)就顯得非常重要。我們看到過很多的信息安全事件，既有高層的不慎導(dǎo)致的信息泄漏，又有基層失誤導(dǎo)致的大面積宕機。針對多起事件進行分析，很多非主觀故意的信息安全事件的發(fā)生，無非是因為人們的信息安全意識不夠，或信息安全技能不足。

第二，培訓(xùn)要有針對性。大型的電子通訊企業(yè)部門眾多、分工細致、員工人數(shù)更多，不同部門、不同職責(zé)和級別的員工接觸到的信息不同，對信息安全的機密性、完整性、可用性等所產(chǎn)生的影響也不同。所以，培訓(xùn)不能千篇一律，需要面向不同人群的進行有針對性的培訓(xùn)。這就要求信息安全管理部門深入一線了解業(yè)務(wù)，同時，業(yè)務(wù)部門也要積極參與培訓(xùn)的前期工作，將信息安全培訓(xùn)需求和企業(yè)的實際業(yè)務(wù)緊密結(jié)合起來。

第三，培訓(xùn)要持之以恒。信息安全涉及到電子通訊企業(yè)的各個方面、各個層次，重要但畢竟不是業(yè)務(wù)主線，如果不警鐘長鳴，人們很容易懈怠；一旦懈怠，信息安全體系就會有疏漏，所以培訓(xùn)要定期做，堅持做。

2.6 運用技術(shù)手段

雖說很多時候信息安全體系保護的就是計算機、服務(wù)器、網(wǎng)絡(luò)、軟件環(huán)境等。但相對軟件技術(shù)，成熟的信息安全技術(shù)在電子通訊企業(yè)中還運用的較少，很多措施還需要靠人工操作，沒有實現(xiàn)自動化。例如，強密碼策略需要人工檢查、安全漏洞不能批量掃描、拷貝記錄需要人工查閱日志，這樣不僅效率較低，效果還難以保證，難免疏漏。當(dāng)然，這和企業(yè)的意識和投入有關(guān)，好在近年這種情況已逐步有所改觀，不少企業(yè)加大了這方面的投入，更多的利用信息安全系統(tǒng)來監(jiān)控，大大提高了效率，減少了疏漏。

2.7 審計與檢查

就像人們要保持身體健康，一定要定期體檢一樣，要維持任何管理體系的健康運行都離不開檢查。具體到信息安全管理體系中，就是要做好審計與檢查。要做好審計與檢查其實并不簡單，只有做好核心信息的識別、風(fēng)險識別、組織保障、培訓(xùn)、技術(shù)手段的運用、檢查計劃等前期工作，才可能做好最終的審計與檢查，識別出問題點，進而通過改進來維持信息安全體系的健康運轉(zhuǎn)。審計與檢查大體可以分為3個層次。

第一層，自我檢查。信息安全是大家工作職責(zé)的一部分，各級部門和員工有責(zé)任和義務(wù)進行信息安全自查。

第二層，信息安全管理部門審計。專業(yè)的信息安全管理部門作為信息安全管理體系的建設(shè)者和守護者，應(yīng)該制訂計劃，定期組織審計，掌握信息安全管理體系的狀態(tài)，及時組織整改。

第三層，外部審計。電子通訊企業(yè)必須通過第三方機構(gòu)的認(rèn)證才能獲得ISO27001標(biāo)準(zhǔn)組織的授權(quán)。另外，運營商等客戶也可能委托第三方機構(gòu)或直接派員到現(xiàn)場審計。

3 結(jié)論

綜上，只有在高層足夠重視、保證資源投入、建立自上而下的信息安全組織、定期進行風(fēng)險評估、重視培訓(xùn)、充分運用技術(shù)手段、做好檢查的情況下，大型電子通訊企業(yè)才能建立起一個行之有效的信息安全體系。

參考文獻

[1]謝宗曉.信息安全管理體系實施指南[M].2版.北京：中國質(zhì)檢出版社，中國標(biāo)準(zhǔn)出版社，2012.