在电信运营市场竞争日趋激烈,通信技术不断更新发展,客户及市场日渐成熟的新形式下,移动通信行业充分认识到需要加强企业信息化安全,狠抓企业内部的信息化安全建设,使它成为推动企业低成本、高效运营的重要基础,坚持集中化、标准化、集成化的原则,实现“以业务为导向、以客户为中心、以安全为保障”的服务模式。
在信息安全管理建设过程中,通信行业也面临着一些普遍的问题如:安全工作开展普遍着重于运维阶段,运维阶段的安全管理、安全运作、安全技术上都能得到较完善的支撑;但系统上线前缺乏有效的安全规划和管理,不仅使系统存在大量的缺陷与漏洞,还加大了后期运维工作的压力。
针对这一问题,梵禅通过加强系统开发生命周期的管理,在系统生命周期各个阶段都针对性的制定和开展安全管理和安全技术工作,建立完善系统运维前的安全保障过程,使安全工作前移,从而有效的缓解了运维的压力。
通信行业信息安全管理是一个长期的建设和改进过程,在这些过程中应遵循:
全面性:覆盖通信行业内信息安全管理的各个方面。
规范性::符合标准化工作的原则和规范。
可扩展性:充分考虑未来信息安全管理的新需求。
梵禅信息从事信息安全专业咨询,重点关注通信行业,先后为包括广东电信、北京电信、青海电信、天津电信、广东移动、上海移动、四川移动、深圳移动、汕头移动、北京联通、联通集团等机构提供过专业咨询服务,对通信行业实施IT治理、信息安全管理和IT服务管理有着深刻的理解,并为此专门提出一套解决方案。
我们认为,通信行业的信息安全管理的主要可以从基础安全、安全运维、安全制度三个维度来进行解读充分满足信息安全管理的全面性、规范性和可扩展性。
(1)基础安全
基础安全定义了信息安全框架中的五个核心的基础技术架构和相关服务:物理安全、基础架构安全、身份/访问安全、数据安全和应用安全。基础安全是安全运维和管理的对象,其功能由各自的子系统提供保证。(见图1)
(2)安全运维
安全运维是指在安全策略的指导下,安全组织利用安全技术来达成安全保护目标的过程。安全运维与 IT 运维相辅相成、互为依托、共享信息与资源。安全运维与安全组织联系紧密,融合在业务管理和 IT 管理体系中。安全运维包含威胁分析与预警,安全状态和事件的监控,安全事件或事故的响应,以及基于安全目标的操作行为和日志审计,这些安全运维的任务主要可通过安全事件监控、响应、审计和相应的安全策略体系共同完成。(见图2)
(3)安全制度、标准、流程
结合了多个信息安全体系及标准,同时考虑了安全标准化的实际需求,打造适合通信行业的信息安全标准和制定相应的安全制度与流程。(见图3)
三个维度共同构成了一个立体式的标准体系架构,基本可以通信行业信息安全管理工作的全部内容(见图4)。
信息安全体系建设三段论
在为通信行业建设信息安全过程中,梵禅信息提出了所谓“三段论”的解决方案,即经过三个建设、整合和落地三个阶段,建设层层递进的信息安全体系,在三个层面上,依靠制度、流程及工具,最终实现全面的信息科技风险管理。(见图5)。
在对通信企业进行信息安全管理整体规划时,还需重视风险管理战略目标与企业整体发展战略的一致性,并实行信息安全全生命周期的风险管理机制、高度整合的风险控制框架、自适应的合规管理、多层次的意识培训,以及绩效评价和保障机制等方面做好设计和规划,从而确保信息安全管理体系能最终实现。通信企业信息安全框架(见图6)