放眼電信市場,各大運營商的“轉(zhuǎn)型”都在尋找新的藍海,IT與電信迅速融為一體成為ICT,而IT為傳統(tǒng)通信產(chǎn)業(yè)注入無限活力的同時,也引發(fā)了大量安全問題,能否解決這些安全問題,成為運營商與競爭對手拉開差距的關(guān)鍵,并已成為新的業(yè)務(wù)增長點。在此背景下,各大運營商需要建立完善的信息安全管理體系(ISMS),通過國際權(quán)威機構(gòu)的安全認證,并不斷鞏固完善,旨在贏得國內(nèi)外客戶的信任與國際資本市場的青睞,為企業(yè)的持續(xù)健康發(fā)展保駕護航。
相關(guān)國際標準與法案
作為建立信息安全管理體系(ISMS)的重要規(guī)范,BS7799標準被ISO組織采納后,衍生為ISO 17799《信息安全管理實施細則》和ISO 27001《信息安全管理體系規(guī)范》。ISO 17799是建立并實施信息安全管理體系的指導(dǎo)性標準,ISO 27001是對信息安全管理體系進行審核的依據(jù)性標準。獲得ISO 27001認證是企業(yè)擁有完善的信息安全管理體系的象征。
ISO 27001標準詳細說明了建立、實施和維護信息安全管理體系的要求,指出實施機構(gòu)應(yīng)該遵循的風險評估標準,其核心是PDCA(Plan-Do-Check-Act)模型。
 |
SOX法案中以404條款影響最大,該條款規(guī)定:公司管理層要對公司內(nèi)控及財務(wù)會計報表的制定和編制的有效性、真實性負責,公司必須聘請外部審計師對公司內(nèi)控和財務(wù)報表進行獨立審計并出具審計結(jié)果。
SOX法案的核心要求是規(guī)避風險、完善內(nèi)部控制。由于現(xiàn)代企業(yè)的運作越來越依賴于IT系統(tǒng),以致于IT控制成為企業(yè)內(nèi)部控制的重要組成部分。SOX法案中重點要求 CEO 和 CFO 必須證明其公司擁有適當?shù)膬?nèi)部控制,如果維護財務(wù)數(shù)據(jù)的系統(tǒng)是不安全的,則高層管理人員很難擔保數(shù)據(jù)的有效性,也很難擔保其內(nèi)部控制的可靠性,因此,內(nèi)部控制已擴展至法律需求的范疇。
ISO 17799/27001與定義信息治理進程的COBIT標準和COSO框架共同健全了薩班斯法案中與安全和內(nèi)控審計相關(guān)的404條款。
 |
啟明星辰公司積極參照ISO 17799/27001和COBIT為客戶提供安全認證、咨詢服務(wù),最終達到符合SOX法案的要求。同時我們也意識到,安全認證的真正目的不僅僅是為了獲得證書,更重要的是建立切實的網(wǎng)絡(luò)和業(yè)務(wù)安全體系,幫助運營商爭取更多的用戶,特別是高端的國際型用戶與投資,在此基礎(chǔ)上,將SOX內(nèi)控審計落實到具體的運營工作中、塑造卓越的運維隊伍、驅(qū)動更大的經(jīng)濟效益。
應(yīng)該看到,安全管理具有宏觀、中觀和微觀三重層次,ISO 27001在宏觀安全管理體系規(guī)劃方面有很好的定義,但中觀調(diào)整、特別是微觀實現(xiàn)方面實際上是留待各實施機構(gòu)根據(jù)各自情況自行解決,換句話說,ISO 27001偏重從宏觀角度提供理論指導(dǎo)。執(zhí)行ISO 27001、符合ISO 27001,必須結(jié)合運營商的主業(yè)、從中觀和微觀角度加以落實。
啟明星辰公司為運營商提供立體的ISO 27001防御體系,涉及宏觀規(guī)劃和監(jiān)控、中觀整合加固、微觀技術(shù)實現(xiàn),每個層面上又縱深提供評估服務(wù)、應(yīng)急服務(wù)、技術(shù)培訓(xùn)和技術(shù)支撐,真正做到將ISO 27001認證落實到安全運維人員每天可執(zhí)行的技術(shù)、工具、平臺、流程、規(guī)章等各個層次。
 |
啟明星辰公司承諾所提供的安全認證、咨詢服務(wù)針對運營商的不同系統(tǒng)量體裁衣,協(xié)助運營商除獲得認證證書之外,落實并鞏固安全認證成果,包括:
制定切實可操作的安全規(guī)范與安全策略;
實施網(wǎng)絡(luò)安全優(yōu)化方案;
對系統(tǒng)進行深層次的安全評估并提交安全加固建議;
提供電信級應(yīng)急響應(yīng)服務(wù);
提供專業(yè)的安全管理和安全技術(shù)培訓(xùn);
實施全面的安全監(jiān)控。
