侯崇才

中國(guó)移動(dòng)通信集團(tuán)公司（簡(jiǎn)稱(chēng)中國(guó)移動(dòng)）是根據(jù)國(guó)家關(guān)于電信體制改革的部署和要求，在原中國(guó)電信移動(dòng)通信資產(chǎn)總體剝離的基礎(chǔ)上組建的國(guó)有重要骨干企業(yè)，于2000年4月20日成立。公司注冊(cè)資本為518億元，資產(chǎn)規(guī)模超過(guò)萬(wàn)億元。

四大因素驅(qū)動(dòng)管理水平提升

經(jīng)過(guò)十多年的建設(shè)與發(fā)展，中國(guó)移動(dòng)已建成一個(gè)覆蓋范圍廣、通信質(zhì)量高、業(yè)務(wù)品種豐富、服務(wù)水平一流的移動(dòng)通信網(wǎng)絡(luò)。目前，中國(guó)移動(dòng)的網(wǎng)絡(luò)規(guī)模和客戶(hù)規(guī)模列全球第一。但近幾年來(lái)，中國(guó)移動(dòng)的信息安全管理壓力不斷加大，這是由于以下四個(gè)因素：

首先，適應(yīng)信息安全形勢(shì)發(fā)展的基本需要。隨著社會(huì)環(huán)境、產(chǎn)業(yè)環(huán)境的變化，通信網(wǎng)的重要性日益凸顯，民眾對(duì)通信網(wǎng)的依賴(lài)程度日益提高，網(wǎng)絡(luò)與我們的生產(chǎn)、生活密不可分。與此同時(shí)，網(wǎng)絡(luò)安全攻擊事件日益增多，網(wǎng)絡(luò)攻擊技術(shù)越來(lái)越多樣化，攻擊的自動(dòng)化程度也越來(lái)越高，信息安全形勢(shì)日益嚴(yán)峻。作為國(guó)有重要骨干企業(yè)，中國(guó)移動(dòng)加強(qiáng)信息安全管理，既是實(shí)現(xiàn)企業(yè)發(fā)展戰(zhàn)略目標(biāo)的需要，也是履行企業(yè)社會(huì)責(zé)任的基本需要。

其次，資本的市場(chǎng)監(jiān)管要求。2002年，美國(guó)安然、世通等財(cái)務(wù)欺詐事件之后，美國(guó)立法機(jī)構(gòu)出臺(tái)了《薩班斯—奧克斯利法案》（以下簡(jiǎn)稱(chēng)《薩班斯法案》）?！端_班斯法案》不僅適用于美國(guó)上市公司，也適用于在美國(guó)證監(jiān)會(huì)注冊(cè)的外國(guó)公司。中國(guó)移動(dòng)作為在美國(guó)證券交易市場(chǎng)上市的海外公司，也必須遵循《薩班斯法案》相關(guān)要求。為了遵從《薩班斯法案》，中國(guó)移動(dòng)制定的內(nèi)部控制矩陣中，有313個(gè)項(xiàng)與信息安全有關(guān)。

再次，滿(mǎn)足國(guó)內(nèi)監(jiān)管部門(mén)的監(jiān)管要求。隨著信息安全形勢(shì)的發(fā)展，國(guó)內(nèi)監(jiān)管部門(mén)對(duì)信息安全管理提出了明確要求。公安部、工業(yè)和信息化部、國(guó)家保密局和證監(jiān)會(huì)等部委陸續(xù)發(fā)布了相關(guān)文件對(duì)企業(yè)信息安全管理提出了要求，如公安部、國(guó)家保密局、國(guó)家密碼管理局和國(guó)務(wù)院信息工作辦公室發(fā)布的《信息安全等級(jí)保護(hù)管理辦法》，公安部發(fā)布的《互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定》，工業(yè)和信息化部發(fā)布的《通信網(wǎng)絡(luò)安全防護(hù)管理辦法》，財(cái)政部、 證監(jiān)會(huì)、審計(jì)署、銀監(jiān)會(huì)和保監(jiān)會(huì)印發(fā)的《企業(yè)內(nèi)部控制基本規(guī)范》等。

最后，滿(mǎn)足企業(yè)自身管理提升的要求。中國(guó)移動(dòng)從提升自身管理的角度出發(fā)，建立了較為完整的信息安全管理體系，覆蓋系統(tǒng)建設(shè)和運(yùn)維、業(yè)務(wù)經(jīng)營(yíng)、客戶(hù)信息保護(hù)等環(huán)節(jié)。

然而，由于信息安全管理涉及多個(gè)業(yè)務(wù)部門(mén)和管理部門(mén)，管理復(fù)雜度高，工作繁雜，過(guò)去難以進(jìn)行體系化管理、執(zhí)行難度高成為中國(guó)移動(dòng)信息安全管理工作的突出問(wèn)題。

五大管理措施保證信息安全

中國(guó)移動(dòng)信息安全管理的總體目標(biāo)是借鑒國(guó)際的先進(jìn)GRC管理理念，按照PDCA（Plan—Do—Check—Action，計(jì)劃—實(shí)施—檢查—處理）模式，建立涵蓋合規(guī)要求、合規(guī)執(zhí)行、合規(guī)檢查、合規(guī)評(píng)價(jià)、合規(guī)整改的閉環(huán)管理機(jī)制；采取相應(yīng)的技術(shù)手段、通過(guò)有效的管理措施，保證信息資產(chǎn)免遭威脅，或?qū)⑼{帶來(lái)的不良后果降到最低；持續(xù)改進(jìn)，實(shí)現(xiàn)信息安全管理水平的螺旋式提升，最終維護(hù)組織的正常運(yùn)作和健康發(fā)展。具體來(lái)說(shuō)，中國(guó)移動(dòng)主要采取了以下五項(xiàng)措施保證目標(biāo)的實(shí)現(xiàn)。

第一，建立信息安全合規(guī)閉環(huán)管理機(jī)制。中國(guó)移動(dòng)在信息安全管理方面借鑒了GRC管理理念，參考了ISO27001信息安全閉環(huán)管理體系的PDCA模型，形成了特有的信息安全合規(guī)閉環(huán)管理機(jī)制。中國(guó)移動(dòng)結(jié)合自身的實(shí)際情況，將信息安全合規(guī)管理工作劃分為合規(guī)要求、合規(guī)執(zhí)行、合規(guī)檢查、合規(guī)評(píng)價(jià)、合規(guī)整改等五個(gè)環(huán)節(jié)。其中，合規(guī)要求對(duì)應(yīng)的是計(jì)劃（Plan），合規(guī)執(zhí)行對(duì)應(yīng)是實(shí)施（Do），合規(guī)檢查和合規(guī)評(píng)價(jià)對(duì)應(yīng)的是檢查（Check），合規(guī)整改對(duì)應(yīng)的是處理（Action）。這五個(gè)環(huán)節(jié)形成了信息安全合規(guī)的閉環(huán)管理，借助流程全面貫徹。

第二，進(jìn)行集中、制度化管理，全面滿(mǎn)足內(nèi)外部監(jiān)管需求。中國(guó)移動(dòng)根據(jù)外部的《薩班斯法案》、ISO27011信息安全管理最佳實(shí)踐、國(guó)家信息安全等級(jí)保護(hù)、通信網(wǎng)安全防護(hù)等相關(guān)的合規(guī)要求，制定了多達(dá)200余個(gè)安全管理制度和標(biāo)準(zhǔn)，覆蓋系統(tǒng)建設(shè)與運(yùn)維、業(yè)務(wù)經(jīng)營(yíng)、客戶(hù)信息保護(hù)等環(huán)節(jié)，涉及多個(gè)業(yè)務(wù)部門(mén)和管理部門(mén)，涵蓋了安全方針、風(fēng)險(xiǎn)管理、第三方管理、安全事件處理、安全基線(xiàn)等數(shù)十個(gè)領(lǐng)域。

值得一提的是，由于需要遵從的合規(guī)要求較多，部分“規(guī)”之間存在內(nèi)容交叉和要求不一致的情況。如果缺少集中化的管理，會(huì)導(dǎo)致日常的制度和標(biāo)準(zhǔn)查詢(xún)、獲取和執(zhí)行都比較困難。為此，中國(guó)移動(dòng)對(duì)需要遵從的國(guó)際、國(guó)內(nèi)、行業(yè)和企業(yè)內(nèi)部的信息安全管理制度、標(biāo)準(zhǔn)進(jìn)行了梳理，參照國(guó)內(nèi)外標(biāo)準(zhǔn)和最佳實(shí)踐，形成了《中國(guó)移動(dòng)信息安全管理制度體系框架》。通過(guò)制度體系框架，相關(guān)人員可以掌握公司整體的信息安全管理全貌，方便、快速地查找對(duì)應(yīng)的要求，高效地分析出哪些領(lǐng)域可能存在制度缺失，為進(jìn)一步完善信息安全管理體系提供有力的支持，為合規(guī)管理體系的建設(shè)提供有用的支撐。

第三，完善合規(guī)管理矩陣，將安全合規(guī)管理工作具體化。信息安全合規(guī)管理的核心是建立信息安全合規(guī)管理矩陣。該矩陣是基于對(duì)各種信息安全管理制度、規(guī)范建立的，是對(duì)各種信息安全管理要求的條目化、具體化。中國(guó)移動(dòng)在梳理合規(guī)制度和建立合規(guī)控制框架的基礎(chǔ)上，首先建立信息安全責(zé)任制、客戶(hù)信息安全、業(yè)務(wù)安全和基礎(chǔ)安全等子矩陣，然后逐步豐富、完善子矩陣，最終形成全面的信息安全合規(guī)矩陣。合規(guī)矩陣包括控制矩陣、檢查矩陣、對(duì)應(yīng)矩陣和資產(chǎn)矩陣。

第四，建立合規(guī)檢查規(guī)范，實(shí)現(xiàn)制度化、規(guī)范化管理。為了做好合規(guī)檢查，中國(guó)移動(dòng)制定《信息安全監(jiān)督檢查工作規(guī)范》，實(shí)現(xiàn)合規(guī)檢查制度化、規(guī)范化管理。合規(guī)檢查分為普查模式和專(zhuān)項(xiàng)檢查兩種模式。

第五，建立評(píng)價(jià)體系，實(shí)現(xiàn)整改工作的閉環(huán)管理。中國(guó)移動(dòng)通過(guò)實(shí)施多維度的合規(guī)評(píng)價(jià)，針對(duì)不符合合規(guī)要求的檢查點(diǎn)和評(píng)價(jià)相對(duì)較差的環(huán)節(jié)，開(kāi)展及時(shí)的問(wèn)題整改工作，通過(guò)工單等工作流，以下發(fā)、整改、反饋和驗(yàn)證四步閉環(huán)的管理模式，保證在問(wèn)題發(fā)現(xiàn)后，有要求、有人改、有反饋、有驗(yàn)證，有效落實(shí)整改工作。

信息化平臺(tái)是不可或缺的支撐

為了有效應(yīng)對(duì)當(dāng)前在信息安全合規(guī)管理方面所面臨的挑戰(zhàn)，中國(guó)移動(dòng)在慧點(diǎn)科技協(xié)助下建立了全網(wǎng)集中的信息安全合規(guī)管理平臺(tái)。中國(guó)移動(dòng)的各省公司都可以登錄該平臺(tái)開(kāi)展合規(guī)管理工作。該平臺(tái)針對(duì)中國(guó)信息安全合規(guī)管理需求，固化了制度管理、控制落實(shí)、安全檢查、合規(guī)評(píng)價(jià)和整改等信息安全管理流程，為合規(guī)工作提供了流程化、平臺(tái)化的高效工具。

中國(guó)移動(dòng)信息安全合規(guī)管理平臺(tái)包括制度管理、矩陣管理、執(zhí)行管理、合規(guī)檢查、合規(guī)風(fēng)險(xiǎn)評(píng)價(jià)和整改管理等核心功能模塊，可以有效支撐信息安全合規(guī)的全生命周期流程管理。

通過(guò)建立以信息安全合規(guī)管理矩陣為核心的合規(guī)管理體系，全面部署信息安全合規(guī)管理平臺(tái)，中國(guó)移動(dòng)實(shí)現(xiàn)了如下的效果：

第一，提升了信息安全業(yè)務(wù)管理的統(tǒng)一性、完整性；

第二，提升了集中化自主運(yùn)營(yíng)能力，有效提升業(yè)務(wù)連續(xù)性；

第三，實(shí)現(xiàn)了信息安全合規(guī)管控的常態(tài)化和流程化；

第四，落實(shí)了信息安全合規(guī)的量化評(píng)價(jià)，提升了相關(guān)的決策支撐能力。