对电信运营商而言,高度信息化是企业一切业务、管理和运营活动的基础之一。国家出台了很多信息安全的法律法规,信息产业部已将安全与业务准入挂钩,随着此项工作的深化,对电信运营商的要求会越来越高。与此同时,海外政府、资本市场提出的新监管要求(如:萨班斯-SOX法案)的强制执行都要求运营商进一步遵守安全内控要求。
放眼电信市场,各大运营商的“转型”都在寻找新的蓝海,IT与电信迅速融为一体成为 ICT,而IT为传统通信产业注入无限活力的同时,也引发了大量安全问题,能否解决这些安全问题,成为运营商与竞争对手拉开差距的关键,并已成为新的业务增长点。在此背景下,各大运营商需要建立完善的信息安全管理体系(ISMS),通过国际权威机构的安全认证,并不断巩固完善,旨在赢得国内外客户的信任与国际资本市场的青睐,为企业的持续健康发展保驾护航。
相关国际标准与法案
作为建立信息安全管理体系(ISMS)的重要规范,BS7799标准被ISO组织采纳后,衍生为ISO 17799《信息安全管理实施细则》和ISO 27001《信息安全管理体系规范》。ISO 17799是建立并实施信息安全管理体系的指导性标准,ISO 27001是对信息安全管理体系进行审核的依据性标准。获得ISO 27001认证是企业拥有完善的信息安全管理体系的象征。
ISO 27001标准详细说明了建立、实施和维护信息安全管理体系的要求,指出实施机构应该遵循的风险评估标准,其核心是PDCA(Plan-Do-Check-Act)模型。
萨班斯(SOX)法案是另一部更加具有国际性影响的规章,始创于 2002 年,由美国证券交易委员会(SEC)提交,是一部旨在消除企业财务欺诈行为和弊端的历史性法案,它要求在美国上市的所有企业必须通过该法案审核。
SOX法案中以404条款影响最大,该条款规定:公司管理层要对公司内控及财务会计报表的制定和编制的有效性、真实性负责,公司必须聘请外部审计师对公司内控和财务报表进行独立审计并出具审计结果。
SOX法案的核心要求是规避风险、完善内部控制。由于现代企业的运作越来越依赖于 IT系统,以致于IT控制成为企业内部控制的重要组成部分。SOX法案中重点要求 CEO 和 CFO 必须证明其公司拥有适当的内部控制,如果维护财务数据的系统是不安全的,则高层管理人员很难担保数据的有效性,也很难担保其内部控制的可靠性,因此,内部控制已扩展至法律需求的范畴。
ISO 17799/27001与定义信息治理进程的COBIT标准和COSO框架共同健全了萨班斯法案中与安全和内控审计相关的404条款。
启明星辰安全认证、咨询服务解决方案
启明星辰公司积极参照ISO 17799/27001和COBIT为客户提供安全认证、咨询服务,最终达到符合SOX法案的要求。同时我们也意识到,安全认证的真正目的不仅仅是为了获得证书,更重要的是建立切实的网络和业务安全体系,帮助运营商争取更多的用户,特别是高端的国际型用户与投资,在此基础上,将SOX内控审计落实到具体的运营工作中、塑造卓越的运维队伍、驱动更大的经济效益。
应该看到,安全管理具有宏观、中观和微观三重层次,ISO 27001在宏观安全管理体系规划方面有很好的定义,但中观调整、特别是微观实现方面实际上是留待各实施机构根据各自情况自行解决,换句话说,ISO 27001偏重从宏观角度提供理论指导。执行ISO 27001、符合ISO 27001,必须结合运营商的主业、从中观和微观角度加以落实。
启明星辰公司为运营商提供立体的ISO 27001防御体系,涉及宏观规划和监控、中观整合加固、微观技术实现,每个层面上又纵深提供评估服务、应急服务、技术培训和技术支撑,真正做到将ISO 27001认证落实到安全运维人员每天可执行的技术、工具、平台、流程、规章等各个层次。
收益
启明星辰公司承诺所提供的安全认证、咨询服务针对运营商的不同系统量体裁衣,协助运营商除获得认证证书之外,落实并巩固安全认证成果,包括:
制定切实可操作的安全规范与安全策略;
实施网络安全优化方案;
对系统进行深层次的安全评估并提交安全加固建议;
提供电信级应急响应服务;
提供专业的安全管理和安全技术培训;
实施全面的安全监控。