我們認為,通信行業的信息安全管理的主要可以從基礎安全、安全運維、安全制度三個維度來進行解讀充分滿足信息安全管理的全面性、規范性和可擴展性。
在電信運營市場競爭日趨激烈,通信技術不斷更新發展,客戶及市場日漸成熟的新形式下,移動通信行業充分認識到需要加強企業信息化安全,狠抓企業內部的信息化安全建設,使它成為推動企業低成本、高效運營的重要基礎,堅持集中化、標準化、集成化的原則,實現“以業務為導向、以客戶為中心、以安全為保障”的服務模式。
在信息安全管理建設過程中,通信行業也面臨著一些普遍的問題如:安全工作開展普遍著重于運維階段,運維階段的安全管理、安全運作、安全技術上都能得到較完善的支撐;但系統上線前缺乏有效的安全規劃和管理,不僅使系統存在大量的缺陷與漏洞,還加大了后期運維工作的壓力。
針對這一問題,通過加強系統開發生命周期的管理,在系統生命周期各個階段都針對性的制定和開展安全管理和安全技術工作,建立完善系統運維前的安全保障過程,使安全工作前移,從而有效的緩解了運維的壓力。
通信行業信息安全管理是一個長期的建設和改進過程,在這些過程中應遵循:全面性:覆蓋通信行業內信息安全管理的各個方面。
規范性::符合標準化工作的原則和規范。
可擴展性:充分考慮未來信息安全管理的新需求。我們認為,通信行業的信息安全管理的主要可以從基礎安全、安全運維、安全制度三個維度來進行解讀充分滿足信息安全管理的全面性、規范性和可擴展性。
(1)基礎安全
基礎安全定義了信息安全框架中的五個核心的基礎技術架構和相關服務:物理安全、基礎架構安全、身份/訪問安全、數據安全和應用安全。基礎安全是安全運維和管理的對象,其功能由各自的子系統提供保證。(2)安全運維
安全運維是指在安全策略的指導下,安全組織利用安全技術來達成安全保護目標的過程。安全運維與 IT 運維相輔相成、互為依托、共享信息與資源。安全運維與安全組織聯系緊密,融合在業務管理和 IT 管理體系中。安全運維包含威脅分析與預警,安全狀態和事件的監控,安全事件或事故的響應,以及基于安全目標的操作行為和日志審計,這些安全運維的任務主要可通過安全事件監控、響應、審計和相應的安全策略體系共同完成。(3)安全制度、標準、流程
結合了多個信息安全體系及標準,同時考慮了安全標準化的實際需求,打造適合通信行業的信息安全標準和制定相應的安全制度與流程。
三個維度共同構成了一個立體式的標準體系架構,基本可以通信行業信息安全管理工作的全部內容。
信息安全體系建設三段論
在為通信行業建設信息安全過程中,即經過三個建設、整合和落地三個階段,建設層層遞進的信息安全體系,在三個層面上,依靠制度、流程及工具,最終實現全面的信息科技風險管理。
在對通信企業進行信息安全管理整體規劃時,還需重視風險管理戰略目標與企業整體發展戰略的一致性,并實行信息安全全生命周期的風險管理機制、高度整合的風險控制框架、自適應的合規管理、多層次的意識培訓,以及績效評價和保障機制等方面做好設計和規劃,從而 確保信息安全管理體系能最終實現。通信企業信息安全框架。
