信息安全合規管理常態化

侯崇才

中國移動通信集團公司（簡稱中國移動）是根據國家關于電信體制改革的部署和要求，在原中國電信移動通信資產總體剝離的基礎上組建的國有重要骨干企業，于2000年4月20日成立。公司注冊資本為518億元，資產規模超過萬億元。

四大因素驅動管理水平提升

經過十多年的建設與發展，中國移動已建成一個覆蓋范圍廣、通信質量高、業務品種豐富、服務水平一流的移動通信網絡。目前，中國移動的網絡規模和客戶規模列全球第一。但近幾年來，中國移動的信息安全管理壓力不斷加大，這是由于以下四個因素：

首先，適應信息安全形勢發展的基本需要。隨著社會環境、產業環境的變化，通信網的重要性日益凸顯，民眾對通信網的依賴程度日益提高，網絡與我們的生產、生活密不可分。與此同時，網絡安全攻擊事件日益增多，網絡攻擊技術越來越多樣化，攻擊的自動化程度也越來越高，信息安全形勢日益嚴峻。作為國有重要骨干企業，中國移動加強信息安全管理，既是實現企業發展戰略目標的需要，也是履行企業社會責任的基本需要。

其次，資本的市場監管要求。2002年，美國安然、世通等財務欺詐事件之后，美國立法機構出臺了《薩班斯—奧克斯利法案》（以下簡稱《薩班斯法案》）?！端_班斯法案》不僅適用于美國上市公司，也適用于在美國證監會注冊的外國公司。中國移動作為在美國證券交易市場上市的海外公司，也必須遵循《薩班斯法案》相關要求。為了遵從《薩班斯法案》，中國移動制定的內部控制矩陣中，有313個項與信息安全有關。

再次，滿足國內監管部門的監管要求。隨著信息安全形勢的發展，國內監管部門對信息安全管理提出了明確要求。公安部、工業和信息化部、國家保密局和證監會等部委陸續發布了相關文件對企業信息安全管理提出了要求，如公安部、國家保密局、國家密碼管理局和國務院信息工作辦公室發布的《信息安全等級保護管理辦法》，公安部發布的《互聯網安全保護技術措施規定》，工業和信息化部發布的《通信網絡安全防護管理辦法》，財政部、 證監會、審計署、銀監會和保監會印發的《企業內部控制基本規范》等。

最后，滿足企業自身管理提升的要求。中國移動從提升自身管理的角度出發，建立了較為完整的信息安全管理體系，覆蓋系統建設和運維、業務經營、客戶信息保護等環節。

然而，由于信息安全管理涉及多個業務部門和管理部門，管理復雜度高，工作繁雜，過去難以進行體系化管理、執行難度高成為中國移動信息安全管理工作的突出問題。

五大管理措施保證信息安全

中國移動信息安全管理的總體目標是借鑒國際的先進GRC管理理念，按照PDCA（Plan—Do—Check—Action，計劃—實施—檢查—處理）模式，建立涵蓋合規要求、合規執行、合規檢查、合規評價、合規整改的閉環管理機制；采取相應的技術手段、通過有效的管理措施，保證信息資產免遭威脅，或將威脅帶來的不良后果降到最低；持續改進，實現信息安全管理水平的螺旋式提升，最終維護組織的正常運作和健康發展。具體來說，中國移動主要采取了以下五項措施保證目標的實現。

第一，建立信息安全合規閉環管理機制。中國移動在信息安全管理方面借鑒了GRC管理理念，參考了ISO27001信息安全閉環管理體系的PDCA模型，形成了特有的信息安全合規閉環管理機制。中國移動結合自身的實際情況，將信息安全合規管理工作劃分為合規要求、合規執行、合規檢查、合規評價、合規整改等五個環節。其中，合規要求對應的是計劃（Plan），合規執行對應是實施（Do），合規檢查和合規評價對應的是檢查（Check），合規整改對應的是處理（Action）。這五個環節形成了信息安全合規的閉環管理，借助流程全面貫徹。

第二，進行集中、制度化管理，全面滿足內外部監管需求。中國移動根據外部的《薩班斯法案》、ISO27011信息安全管理最佳實踐、國家信息安全等級保護、通信網安全防護等相關的合規要求，制定了多達200余個安全管理制度和標準，覆蓋系統建設與運維、業務經營、客戶信息保護等環節，涉及多個業務部門和管理部門，涵蓋了安全方針、風險管理、第三方管理、安全事件處理、安全基線等數十個領域。

值得一提的是，由于需要遵從的合規要求較多，部分“規”之間存在內容交叉和要求不一致的情況。如果缺少集中化的管理，會導致日常的制度和標準查詢、獲取和執行都比較困難。為此，中國移動對需要遵從的國際、國內、行業和企業內部的信息安全管理制度、標準進行了梳理，參照國內外標準和最佳實踐，形成了《中國移動信息安全管理制度體系框架》。通過制度體系框架，相關人員可以掌握公司整體的信息安全管理全貌，方便、快速地查找對應的要求，高效地分析出哪些領域可能存在制度缺失，為進一步完善信息安全管理體系提供有力的支持，為合規管理體系的建設提供有用的支撐。

第三，完善合規管理矩陣，將安全合規管理工作具體化。信息安全合規管理的核心是建立信息安全合規管理矩陣。該矩陣是基于對各種信息安全管理制度、規范建立的，是對各種信息安全管理要求的條目化、具體化。中國移動在梳理合規制度和建立合規控制框架的基礎上，首先建立信息安全責任制、客戶信息安全、業務安全和基礎安全等子矩陣，然后逐步豐富、完善子矩陣，最終形成全面的信息安全合規矩陣。合規矩陣包括控制矩陣、檢查矩陣、對應矩陣和資產矩陣。

第四，建立合規檢查規范，實現制度化、規范化管理。為了做好合規檢查，中國移動制定《信息安全監督檢查工作規范》，實現合規檢查制度化、規范化管理。合規檢查分為普查模式和專項檢查兩種模式。

第五，建立評價體系，實現整改工作的閉環管理。中國移動通過實施多維度的合規評價，針對不符合合規要求的檢查點和評價相對較差的環節，開展及時的問題整改工作，通過工單等工作流，以下發、整改、反饋和驗證四步閉環的管理模式，保證在問題發現后，有要求、有人改、有反饋、有驗證，有效落實整改工作。

信息化平臺是不可或缺的支撐

為了有效應對當前在信息安全合規管理方面所面臨的挑戰，中國移動在慧點科技協助下建立了全網集中的信息安全合規管理平臺。中國移動的各省公司都可以登錄該平臺開展合規管理工作。該平臺針對中國信息安全合規管理需求，固化了制度管理、控制落實、安全檢查、合規評價和整改等信息安全管理流程，為合規工作提供了流程化、平臺化的高效工具。

中國移動信息安全合規管理平臺包括制度管理、矩陣管理、執行管理、合規檢查、合規風險評價和整改管理等核心功能模塊，可以有效支撐信息安全合規的全生命周期流程管理。

通過建立以信息安全合規管理矩陣為核心的合規管理體系，全面部署信息安全合規管理平臺，中國移動實現了如下的效果：

第一，提升了信息安全業務管理的統一性、完整性；

第二，提升了集中化自主運營能力，有效提升業務連續性；

第三，實現了信息安全合規管控的常態化和流程化；

第四，落實了信息安全合規的量化評價，提升了相關的決策支撐能力。