浅谈大型电子通讯企业信息安全管理体系建设

1、    浅谈大型电子通讯企业信息安全管理体系建设    随煊摘 要 文章通过识别大型电子通讯企业建设信息安全体系的目的，结合企业实践，提出了信息安全管理体系建设的策略，分为高层重视、保证资源投入、建立信息安全组织、定期进行风险评估、重视培训、充分运用技术手段、审计与检查等几个方面，供电子通讯企业的信息安全管理人员参考。关键词 信息安全；管理体系；电子通讯；企业tn91 a 1674-6708（2018）225-0112-02随着信息技术在企业及其产品中的深入应用，大型电子通讯企业越来越重视信息安全体系建设。而早在2005年，iso就推出了iso/iec

2、27001：2005标准，该标准成为众多企业建设信息安全管理体系主要指导标准，现已更新到2013版本。本文中，笔者将谈一谈该如何推进大型电子通讯企业信息安全管理体系建设。1 需求分析在讨论信息安全管理体系建设之前，我们有必要分析电子通讯企业建设信息安全体系的目的，这样才能做到有的放矢。首先是信息安全本身的目的，iso/iec 27001标准将信息安全目的定义为机密性、完整性和可用性3个方面，在美国的信息保障技术框架（iatf）中，则将信息安全目的定义为访问控制、机密性、完整性、可用性、不可否认性5个方面。1）机密性：防止存储数据和通讯数据，在未经授权的情况下发生泄漏。2）完整性：防止在未经授权

3、的情况下，对数据进行非法修改；检测并通知对数据的非法修改、记录对数据的所有修改。3）可用性：授权用户及时可靠的访问数据和信息服务。4）访问控制：防止对网络软硬件资源未经授权的使用、对数据未经授权的泄漏和修改。5）不可否认性：证明实体确实参与通信的能力。其次，是电子通讯企业建设信息安全体系的目的，总结起来有如下3个方面。1）国际标准认证。由于电信网络涉及国家安全、社会秩序、经济运行、公共利益，一旦遭到破坏或无法正常提供服务，对国家、社会、网络和业务运营商造成的损害非常大。所以，对电信设备的信息安全要求很高。因此，大型电子通讯企业需要通过iso/iec 27001的认证才能参与电信设备市场的竞争。

4、2）主流运营商要求。电子通讯企业的欧美客户出于当地严苛的法律法规和市场竞争的需要，提出了比国际标准更为严格的信息安全需求，不仅要求电子通讯企业通过iso27001的认证，还要求具体的电信设备产品通过cc等专业认证。同时，对电子通讯企业的业务连續性也提出了要求，而其中很多方面涉及到信息安全领域，这样也进一步提高对信息安全体系建设的要求。3）知识产权保护。经过近30年的竞争，电子通讯设备从模拟通讯时代，2g、3g、4g、直至现在的5g时代，厂商数量虽然越来越少，但各厂商在市场、研发等方面的投入越来越大，竞争越来越激烈。近年来，几家大型电子通讯设备企业之间诉讼不断，你告我、我告你，大多是在知识产权领

5、域有争议。企业出于保护核心技术、关键方案等知识产权的考虑，越来越重视信息安全。2 管理体系建设策略2.1 高层重视信息安全管理体系和iso9000等其他管理体系一样，从目标设定、决策、组织建设、资源投入、培训、改进等方方面面都离不开高层的重视。高层领导（最好是企业的一把手）务必保证自己在信息安全管理体系建设中的投入，应定期召开高层领导参加的汇报会议，以便高层领导了解企业信息安全体系运作的情况，针对存在的问题，做出指导和决策。很多企业在引入iso27001体系、设立专业的信息安全管理机构之后，高层领导就逐步淡出，将信息安全管理的责任转给信息安全管理部门了。这样一来信息安全的重要程度就从公司级降为

6、了部门级，结果必然是事倍功半，千万要不得。2.2 资源投入建设信息安全管理体系需要企业持续投入资源。一是人力的投入，企业既要配备专业的全职信息安全管理人员，负责制订总体方针和安全策略、设计安全管理体系架构、组织审计、督促整改等工作；又要将信息安全职责纳入各级员工的工作中去，要求高中基层员工做出信息安全承诺、学习信息安全知识、落实信息安全举措。二是物力的投入，从网络安全到物理安全都离不开相应的信息安全硬件设备和软件工具的投入，如门禁、摄像监控系统、防火墙、备份服务器、后台监控系统等。三是财力的投入，上述人力和物力都离不开财力的支持，信息安全人员工资、员工培训、软硬件设备、第三方咨询和认证等加起来

7、真的是花费不菲。2.3 组织保障一般来说，电子通讯企业会设立一个专业部门来推进信息安全管理体系建设，这也是业界的普遍做法。但如果仅仅依靠专业部门，信息安全体系是难以落地的。由于信息安全体系涉及到企业的方方面面，所以必须在所有基层组织中设立信息安全组织。业界有一个颇有成效的做法是，由各级组织的行政一把手兼任该组织的信息安全负责人，这样才能够做到责任明晰，政令畅通。同时，保证各级组织在信息安全体系建设上的投入，从而将信息安全举措落到实处。2.4 风险评估风险评估是信息安全体系建设过程很重要的一个环节，风险评估过程可以识别出企业需要重点保护的信息安全资产，通过对信息安全资产的机密性、整体性、可用性等

8、方面的分析，结合发生信息安全风险的可能性，制订出有针对性的保护措施。这样能够将企业有限的资源和关注度聚焦在核心的信息安全资产上，同时又识别出管控的薄弱点，做到有的放矢。2.5 培训第一，信息安全体系建设离不开培训。信息安全体系的建设一方面专业性较强，另一方面又需要各级员工共同参与。所以有效的培训就显得非常重要。我们看到过很多的信息安全事件，既有高层的不慎导致的信息泄漏，又有基层失误导致的大面积宕机。针对多起事件进行分析，很多非主观故意的信息安全事件的发生，无非是因为人们的信息安全意识不够，或信息安全技能不足。第二，培训要有针对性。大型的电子通讯企业部门众多、分工细致、员工人数更多，不同部门、不

9、同职责和级别的员工接触到的信息不同，对信息安全的机密性、完整性、可用性等所产生的影响也不同。所以，培训不能千篇一律，需要面向不同人群的进行有针对性的培训。这就要求信息安全管理部门深入一线了解业务，同时，业务部门也要积极参与培训的前期工作，将信息安全培训需求和企业的实际业务紧密结合起来。第三，培训要持之以恒。信息安全涉及到电子通讯企业的各个方面、各个层次，重要但毕竟不是业务主线，如果不警钟长鸣，人们很容易懈怠；一旦懈怠，信息安全体系就会有疏漏，所以培训要定期做，坚持做。2.6 运用技术手段虽说很多时候信息安全体系保护的就是计算机、服务器、网络、软件环境等。但相对软件技术，成熟的信息安全技术在电子

10、通讯企业中还运用的较少，很多措施还需要靠人工操作，没有实现自动化。例如，强密码策略需要人工检查、安全漏洞不能批量扫描、拷贝记录需要人工查阅日志，这样不仅效率较低，效果还难以保证，难免疏漏。当然，这和企业的意识和投入有关，好在近年这种情况已逐步有所改观，不少企业加大了这方面的投入，更多的利用信息安全系统来监控，大大提高了效率，减少了疏漏。2.7 审计与检查就像人们要保持身体健康，一定要定期体检一样，要维持任何管理体系的健康运行都离不开检查。具体到信息安全管理体系中，就是要做好审计与检查。要做好审计与检查其实并不简单，只有做好核心信息的识别、风险识别、组织保障、培训、技术手段的运用、检查计划等前期工作，才可能做好最终的审计与检查，识别出问题点，进而通过改进来维持信息安全體系的健康运转。审计与检查大体可以分为3个层次。第一层，自我检查。信息安全是大家工作职责的一部分，各级部门和员工有责任和义务进行信息安全自查。第二层，信息安全管理部门审计。专业的信息安全管理部门作为信息安全管理体系的建设者和守护者，应该制订计划，定期组织审计，掌握信息安全管理体系的状态，及时组织整改。第三层，外部审计。电子通讯企业必须通过第三方机构的认证才能获得iso27001标准组织的授权。另外，运营商等客户也可能委托第三方机