河北某运营商信息安全责任矩阵梳理项目
无国界 2019-06-03
前言
2009 年 12 月,工业和信息化部出台了《基础电信企业信息安全责任管理办法(试行)》,对基础电信企业的信息安全责任提出了明确要求。随之,该运营商集团公司2010年6月颁发了《中国某运营商集团公司信息安全责任矩阵》,并要求各省及市公司落地执行。因此,结合该运营商网络部网管中心的实际情况,建立健全网络部网管中心信息安全责任矩阵落地支撑流程和文件,从而按照集团公司信息安全责任矩阵要求进行落地实施。
信息安全责任矩阵内容
《信息安全责任矩阵》主要内容包括业务流程、关键性控制、控制目标及负责部门。
安全评估实施过程
该项目共分为四个阶段实施,分别是信息安全责任矩阵梳理、差异评估、流程梳理、流程支撑文件设计。
项目实施成果
项目梳理了12个流程,针对每个流程活动设计了支撑文件,并对关键流程设计了考核指标。
总体评价
该项目通过流程梳理的方法帮助信息安全责任矩阵的要求落地,并设计了安全考核,即满足了集团矩阵检查的要求,又为该运营商的安全管理提供了新的思路和方向,该项目获得用户高度评价和认可。
2009 年 12 月,工业和信息化部出台了《基础电信企业信息安全责任管理办法(试行)》,对基础电信企业的信息安全责任提出了明确要求。随之,该运营商集团公司2010年6月颁发了《中国某运营商集团公司信息安全责任矩阵》,并要求各省及市公司落地执行。因此,结合该运营商网络部网管中心的实际情况,建立健全网络部网管中心信息安全责任矩阵落地支撑流程和文件,从而按照集团公司信息安全责任矩阵要求进行落地实施。
信息安全责任矩阵内容
《信息安全责任矩阵》主要内容包括业务流程、关键性控制、控制目标及负责部门。
- 流程视图与部门视图:流程视图以业务流程主线,重点描述相关流程的控制目标和责任部门;部门视图以部门为主线,重点归纳整理了各部门信息安全责任。
- 业务流程:包括8个业务流程组,共26个与信息安全相关的业务流程;
- 关键性控制:指业务流程中的关键控制环节,共48个;
- 控制目标:与关键性控制对应,描述相关信息安全控制要求;
- 责任部门:指关键性控制涉及的责任部门,分牵头部门和配合部门。
安全评估实施过程
该项目共分为四个阶段实施,分别是信息安全责任矩阵梳理、差异评估、流程梳理、流程支撑文件设计。
项目实施成果
项目梳理了12个流程,针对每个流程活动设计了支撑文件,并对关键流程设计了考核指标。
总体评价
该项目通过流程梳理的方法帮助信息安全责任矩阵的要求落地,并设计了安全考核,即满足了集团矩阵检查的要求,又为该运营商的安全管理提供了新的思路和方向,该项目获得用户高度评价和认可。
