引入ISO27001 建立健全運營商云網(wǎng)網(wǎng)絡(luò)配置風(fēng)險管理

［孫亞紅］

1 引言

規(guī)范網(wǎng)絡(luò)配置管理是有效支撐市場業(yè)務(wù)發(fā)展的重要前提，隨著云網(wǎng)網(wǎng)絡(luò)規(guī)模逐漸擴(kuò)大，集約化運營步伐越來越快，各項工程建設(shè)、網(wǎng)絡(luò)優(yōu)化、業(yè)務(wù)開通等涉及到網(wǎng)絡(luò)配置的工作在日常維護(hù)工作中所占的比例越來越大，給網(wǎng)絡(luò)帶來的風(fēng)險及對用戶的影響也越來越嚴(yán)重，為了防范網(wǎng)絡(luò)配置對網(wǎng)絡(luò)及用戶的影響，在網(wǎng)絡(luò)配置工作中全面引入ISO27001 信息安全管理，加強(qiáng)各個關(guān)鍵點的控制，減少人為原因造成的網(wǎng)絡(luò)故障，增強(qiáng)網(wǎng)絡(luò)可用性，從企業(yè)服務(wù)能力向客戶感知方向轉(zhuǎn)變，提升客戶感知度。

2 網(wǎng)絡(luò)配置管理流程設(shè)計

2.1 引入ISO27001 加強(qiáng)風(fēng)險管理

ISO27001/ISO27002 標(biāo)準(zhǔn)被信息界一直喻為“滴水不漏的信息安全管理標(biāo)準(zhǔn)”。標(biāo)準(zhǔn)從管理模型、信息安全管理性控制措施、信息安全技術(shù)性控制措施提出了一系列的要求，其中包括14 個安全控制章節(jié)，共含有35 個主要安全類別，以及113 項控制措施。

風(fēng)險評估是信息安全管理體系建立的基礎(chǔ)，是對各方面風(fēng)險進(jìn)行辨識和分析的過程，風(fēng)險評估的過程一般先從保密性、完整性、可用性三方面評估信息資產(chǎn)價值大小，再從信息資產(chǎn)本身的脆弱性、面臨的威脅兩個方面評估威脅利用脆弱性的可能性及造成的影響大小，最后通過一定的計算最終計算出風(fēng)險的大小。

在全面理解風(fēng)險評估含義的基礎(chǔ)之上，從云網(wǎng)各網(wǎng)絡(luò)的特性、網(wǎng)絡(luò)配置對網(wǎng)絡(luò)產(chǎn)生的故障大小、對重點政企客戶的影響性，制定了三重維度的風(fēng)險評估準(zhǔn)則，并對涉及云網(wǎng)網(wǎng)絡(luò)近400 多項網(wǎng)絡(luò)配置開展風(fēng)險評估，定義風(fēng)險等級級別，針對不同的風(fēng)險級別定義不同的控制措施，統(tǒng)一規(guī)范事前網(wǎng)絡(luò)配置方案審核流程、事中全專業(yè)網(wǎng)絡(luò)配置作業(yè)流程、事后網(wǎng)絡(luò)配置審計流程，全面提升員工風(fēng)險防范意識，規(guī)避業(yè)務(wù)變更、系統(tǒng)升級、數(shù)據(jù)配置等存在的風(fēng)險并杜絕重大阻斷，如表1 所示。

表1 網(wǎng)絡(luò)配置風(fēng)險等級表

2.2 建立網(wǎng)絡(luò)配置管理完整生命周期,建立點到點的配置流程

參照ISO27001 信息安全管理標(biāo)準(zhǔn)，建立網(wǎng)絡(luò)配置規(guī)程，明確任務(wù)派發(fā)、方案制定、方案審核、方案審批、方案執(zhí)行、事后審計等關(guān)鍵環(huán)節(jié)規(guī)范，要求各專業(yè)通過整改，統(tǒng)一關(guān)鍵步驟、統(tǒng)一風(fēng)險管控點、統(tǒng)一作業(yè)記錄規(guī)范，達(dá)到全專業(yè)網(wǎng)絡(luò)配置規(guī)范一致性的目標(biāo)。

2.3 明確網(wǎng)絡(luò)配置各崗位的職責(zé)

網(wǎng)絡(luò)配置實施流程中明確了網(wǎng)絡(luò)配置各個崗位的職責(zé)，在實際網(wǎng)絡(luò)配置過程中，網(wǎng)絡(luò)維護(hù)人員根據(jù)承擔(dān)的職責(zé)完成網(wǎng)絡(luò)配置的流程。網(wǎng)絡(luò)配置實施流程中一般有網(wǎng)絡(luò)配置方案制作人、方案審核人及審批人，在此次網(wǎng)絡(luò)配置流程中新增了網(wǎng)絡(luò)配置任務(wù)派發(fā)人、網(wǎng)絡(luò)配置質(zhì)監(jiān)員，加強(qiáng)網(wǎng)絡(luò)配置的事前管控、事中審批、事后審計管理。

2.4 建立網(wǎng)絡(luò)配置的現(xiàn)場雙重確認(rèn)機(jī)制，保留網(wǎng)絡(luò)配置的實時記錄

對于風(fēng)險級別較高的網(wǎng)絡(luò)配置，開展現(xiàn)場雙重確認(rèn)，減少網(wǎng)絡(luò)配置錯誤，并對網(wǎng)絡(luò)配置記錄開展實時記錄，包括事前設(shè)備的狀態(tài)記錄、事中的操作記錄、事后設(shè)備及業(yè)務(wù)的測試記錄；對于不能使用網(wǎng)管系統(tǒng)進(jìn)行實時記錄的系統(tǒng)，采用DECMAP 記錄，使所有的網(wǎng)絡(luò)配置都可以回顧、可以審計。

2.5 建立網(wǎng)絡(luò)配置審計制度，多層監(jiān)督管控

為了防范網(wǎng)絡(luò)配置人員在網(wǎng)絡(luò)配置過程中的松懈，建立了多重審計監(jiān)督制度。在執(zhí)行室由網(wǎng)絡(luò)配置質(zhì)監(jiān)員來負(fù)責(zé)實施，開展周期性檢查，落實安全方針與策略，及時發(fā)現(xiàn)網(wǎng)絡(luò)配置在技術(shù)、人員及流程方面存在的隱患，監(jiān)督管理室對各執(zhí)行室審計完成的內(nèi)容進(jìn)行再次審計并通報情況，有效提升各執(zhí)行室的執(zhí)行力。

2.6 全員風(fēng)險意識培訓(xùn)和宣貫

運營商網(wǎng)絡(luò)配置直接關(guān)系市場支撐和客戶感知，全面提升員工的風(fēng)險防范意識和客戶服務(wù)意識是網(wǎng)絡(luò)配置安全的關(guān)鍵保證。梳理網(wǎng)絡(luò)配置中的關(guān)鍵控制點、在執(zhí)行中的易錯點對一線維護(hù)人員開展宣貫，并采用卡通圖片等通俗易懂的方式闡述網(wǎng)絡(luò)配置中各個環(huán)節(jié)的控制關(guān)鍵點，從而提高維護(hù)人員日常網(wǎng)絡(luò)配置操作的安全意識 。

3 網(wǎng)絡(luò)配置信息化管理

在電子運行維護(hù)系統(tǒng)建立了網(wǎng)絡(luò)配置的模塊，實現(xiàn)了統(tǒng)一流程的管理，增強(qiáng)操作的可執(zhí)行性、規(guī)范性。

3.1 網(wǎng)絡(luò)配置的流程執(zhí)行

如圖1 所示。將網(wǎng)絡(luò)配置中任務(wù)派發(fā)、方案制作、方案審核、實施審批、方案執(zhí)行、驗證歸檔確認(rèn)流程固化到系統(tǒng)中，加強(qiáng)執(zhí)行的可控性；對于每個環(huán)節(jié)的需要提交的記錄進(jìn)行明確，減少操作人員的隨意行為。

圖1 網(wǎng)絡(luò)配置流程圖

3.2 網(wǎng)絡(luò)配置的查詢、統(tǒng)計與分析

根據(jù)管理職責(zé)的不同配置不同的查詢權(quán)限。具有全中心管理職能的科室能查詢所有工單，而專業(yè)室只能查詢到自己的工單，這加強(qiáng)了信息安全保密性；查詢功能模塊中設(shè)置了多維度查詢分析，如網(wǎng)絡(luò)配置級別、網(wǎng)絡(luò)配置人員等。

3.3 建立完善的審計流程

根據(jù)網(wǎng)絡(luò)配置級別抽取不同的級別的審計的工單數(shù)量，如高級100%，中級50%，低級30%，較低10%；網(wǎng)絡(luò)配置質(zhì)監(jiān)員對抽取出來的工單進(jìn)行審計，并對審計中存在的問題進(jìn)行分類，如是否為緊急工單、記錄上傳不齊全、分公司未上報測試結(jié)果等；將存在問題的工單直接轉(zhuǎn)給相關(guān)的人員進(jìn)行處理；對審計的結(jié)果開展分類統(tǒng)計，按照科室、網(wǎng)絡(luò)、級別、存在問題的單數(shù)、產(chǎn)生問題的原因進(jìn)行統(tǒng)計。

4 成效

通過引入ISO27001 建立健全網(wǎng)絡(luò)配置風(fēng)險管理，網(wǎng)絡(luò)配置各項工作有效管控，人員風(fēng)險意識加強(qiáng)，日常網(wǎng)絡(luò)維護(hù)工作上了新臺階，提升了基礎(chǔ)管理水平。

統(tǒng)一流程管理，加強(qiáng)關(guān)鍵點控制，提升了基礎(chǔ)管理，貫穿ISO27001 信息安全管理標(biāo)準(zhǔn)，實現(xiàn)從網(wǎng)絡(luò)配置腳本制作到審核、從網(wǎng)絡(luò)配置執(zhí)行到執(zhí)行結(jié)果審計全生命周期管理，建立了完善的風(fēng)險分析制度，并要求對可能出現(xiàn)的風(fēng)險制定了具體管控措施或應(yīng)急措施。加強(qiáng)了網(wǎng)絡(luò)配置工作審批管理力度，明確各級人員業(yè)務(wù)審批范圍和關(guān)鍵要素信息；業(yè)務(wù)配置審核流程統(tǒng)一管控，業(yè)務(wù)配置過程統(tǒng)一管控，配置命令結(jié)果可追溯；全面梳理網(wǎng)絡(luò)間的連接和承載關(guān)系，理順專業(yè)執(zhí)行網(wǎng)絡(luò)配置時其它相關(guān)專業(yè)的配合流程，保證各專業(yè)統(tǒng)一行動。

統(tǒng)一支撐系統(tǒng)，加強(qiáng)有效性執(zhí)行，提供了可借鑒的成功案例。網(wǎng)絡(luò)配置的各個關(guān)鍵點控制都在電子運維系統(tǒng)網(wǎng)絡(luò)配置模塊中實現(xiàn)，完善了網(wǎng)絡(luò)配置日常的實施操作、網(wǎng)絡(luò)配置的統(tǒng)計與分析、網(wǎng)絡(luò)配置的審計與分析功能，為電信運維單位或其他企業(yè)提供了可借鑒的成功案例，可參考此網(wǎng)絡(luò)配置系統(tǒng)實現(xiàn)本企業(yè)的網(wǎng)絡(luò)配置風(fēng)險管理，提升本企業(yè)的網(wǎng)絡(luò)配置管理，提升本企業(yè)對市場的支撐。

5 結(jié)束語

本文主要介紹了電信運營商云網(wǎng)網(wǎng)絡(luò)配置風(fēng)險管理，結(jié)合ISO27001 風(fēng)險評估理論確立云網(wǎng)網(wǎng)絡(luò)配置中每一項網(wǎng)絡(luò)配置的風(fēng)險級別，根據(jù)不同的風(fēng)險級別明確不同的任務(wù)派發(fā)、方案制作、方案審核、審批、實施、驗證、審計管控要求，實現(xiàn)了此流程的電子化操作，在實際工作中有非常好的效果，極大提高網(wǎng)絡(luò)配置風(fēng)險管理，值得在各企業(yè)中推廣使用，以改善較多企業(yè)網(wǎng)絡(luò)配置引起的問題。