摘 要合規(guī)管控是大型國(guó)有企業(yè)網(wǎng)絡(luò)安全管理的重要組成部分,存在管控要求多、落實(shí)執(zhí)行難、監(jiān)督檢查難、量化管理難的問題。本文提出了一種網(wǎng)絡(luò)安全合規(guī)管控矩陣方法,引入內(nèi)控矩陣的思想,通過建立合規(guī)管控矩陣,建立安全要求、任務(wù)執(zhí)行、監(jiān)督檢查、整改跟蹤、量化評(píng)價(jià)的管理閉環(huán),能夠有效地解決大型國(guó)有企業(yè)網(wǎng)絡(luò)安全合規(guī)管控工作所面臨的重大挑戰(zhàn)。
【關(guān)鍵詞】網(wǎng)絡(luò)安全 國(guó)有企業(yè) 合規(guī)管控 管控矩陣
1 大型國(guó)有企業(yè)面臨的網(wǎng)絡(luò)安全合規(guī)管控挑戰(zhàn)
隨著信息化技術(shù)的快速發(fā)展,互聯(lián)網(wǎng)網(wǎng)絡(luò)安全形勢(shì)日趨嚴(yán)峻,網(wǎng)絡(luò)安全的重要性越發(fā)凸顯。2014年中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組成立,習(xí)近平主席親自擔(dān)任組長(zhǎng),標(biāo)志著網(wǎng)絡(luò)安全上升到國(guó)家安全的高度。國(guó)有企業(yè)作為關(guān)系國(guó)家安全和經(jīng)濟(jì)命脈的關(guān)鍵組成,涉及電力、水力、交通、運(yùn)輸?shù)汝P(guān)鍵領(lǐng)域,網(wǎng)絡(luò)安全建設(shè)的重要性自是不言而喻。為了指導(dǎo)企業(yè)進(jìn)行網(wǎng)絡(luò)安全建設(shè),公安部、工信部、國(guó)資委以及各行業(yè)主管單位均頒布網(wǎng)絡(luò)安全相關(guān)制度標(biāo)準(zhǔn),并且定期組織網(wǎng)絡(luò)安全檢查,確保企業(yè)網(wǎng)絡(luò)和信息系統(tǒng)的機(jī)密性、完整性和可用性。2016年11月7日,《中華人民共和國(guó)網(wǎng)絡(luò)安全法》正式頒布,對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者的法律責(zé)任做出了明確要求。合規(guī)性原則已經(jīng)成為企業(yè)進(jìn)行網(wǎng)絡(luò)安全建設(shè)必須遵循的重要原則,合規(guī)管控工作已經(jīng)成為企業(yè)網(wǎng)絡(luò)安全建設(shè)的重要任務(wù)。大型國(guó)有企業(yè),尤其是涉及電力、水力、交通、運(yùn)輸?shù)汝P(guān)鍵基礎(chǔ)設(shè)施的關(guān)鍵企業(yè),面臨著網(wǎng)絡(luò)安全合規(guī)管控的重大挑戰(zhàn),主要體現(xiàn)在以下幾個(gè)方面:
網(wǎng)絡(luò)安全合規(guī)管控要求多。國(guó)有企業(yè)每年面臨各個(gè)上級(jí)主管單位的網(wǎng)絡(luò)安全檢查,每個(gè)單位均有頒布相關(guān)的網(wǎng)絡(luò)安全合規(guī)要求和標(biāo)準(zhǔn),由于檢查角度不同等原因,這些標(biāo)準(zhǔn)的要求項(xiàng)有所交叉、重疊,但并不完全一致,形成龐大的合規(guī)要求,難以一一落實(shí)到位,很容易遺漏。以電網(wǎng)企業(yè)為例,一個(gè)省級(jí)的電網(wǎng)企業(yè)所需遵循的網(wǎng)絡(luò)安全管控標(biāo)準(zhǔn)包括公安部、工信部、國(guó)資委、保密局、能源局、電力行業(yè)以及集團(tuán)總部等十多個(gè)上級(jí)主管單位頒布的數(shù)十個(gè)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。
合規(guī)管控要求落實(shí)執(zhí)行難。由于上級(jí)主管部門的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)通常是針對(duì)某個(gè)行業(yè)或者某類企業(yè)的通用標(biāo)準(zhǔn),要求具有通用性,描述通常較為精練概要,往往難以落實(shí)執(zhí)行。尤其是大型國(guó)有企業(yè)下級(jí)單位較多、網(wǎng)絡(luò)安全人才隊(duì)伍參差不齊,存在較大差異,對(duì)網(wǎng)絡(luò)安全的重視程度也存在差異,往往只是“知道”合規(guī)要求但是不知道如何實(shí)施執(zhí)行,更進(jìn)一步加劇了合規(guī)管控要求執(zhí)行難的問題。
合規(guī)管控要求監(jiān)督檢查難。大型國(guó)有企業(yè)具有下級(jí)單位多的特點(diǎn),上級(jí)承擔(dān)著對(duì)下級(jí)的監(jiān)督檢查職責(zé),管理工作量非常大,但由于各種原因網(wǎng)絡(luò)安全人才有限,往往難以對(duì)所有下級(jí)單位合規(guī)工作進(jìn)行跟蹤檢查監(jiān)督,容易形成疏漏。而且,合規(guī)要求通常難以轉(zhuǎn)化為檢查項(xiàng),上級(jí)主管部門往往是“知道”合規(guī)要求,但是不知道如何檢查。
合規(guī)管控要求量化管理難。網(wǎng)絡(luò)安全建設(shè)需要投入大量的人力和物力,但是效果往往難以量化展現(xiàn),企業(yè)管理者難以有效掌控企業(yè)的網(wǎng)絡(luò)安全合規(guī)工作的落實(shí)情況,也難以衡量網(wǎng)絡(luò)安全工作人員的工作量和工作效果,尤其是網(wǎng)絡(luò)安全管控工作。
2 網(wǎng)絡(luò)安全管控矩陣方法
針對(duì)網(wǎng)絡(luò)安全管控要求多、落實(shí)執(zhí)行難、監(jiān)督檢查難、量化管理難的問題,本文引入內(nèi)控矩陣的思想,建立了一套網(wǎng)絡(luò)安全管控矩陣,基于網(wǎng)絡(luò)安全管控矩陣能夠有效地實(shí)現(xiàn)安全要求、任務(wù)執(zhí)行、監(jiān)督檢查、整改跟蹤、量化評(píng)價(jià)的管理閉環(huán),從而能夠有效地解決企業(yè)網(wǎng)絡(luò)安全合規(guī)管控工作所面臨的重大挑戰(zhàn)。
如表1所示,網(wǎng)絡(luò)安全管控矩陣由合規(guī)矩陣、映射矩陣、資產(chǎn)矩陣、檢查矩陣、責(zé)任矩陣5個(gè)部分組成,相互關(guān)聯(lián)映射,將企業(yè)各信息資產(chǎn)所需要遵循的網(wǎng)絡(luò)安全合規(guī)要求落實(shí)到具體的部門和個(gè)人。
2.1 合規(guī)矩陣
將企業(yè)所需要遵循的網(wǎng)絡(luò)安全合規(guī)標(biāo)準(zhǔn)制度進(jìn)行融合和分解,拆分成一個(gè)個(gè)合規(guī)項(xiàng),并根據(jù)合規(guī)項(xiàng)所適用的信息資產(chǎn)類型進(jìn)行分類,針對(duì)不同類型的信息資產(chǎn)梳理所需要遵循的合規(guī)項(xiàng),結(jié)合資產(chǎn)類型特點(diǎn)將合規(guī)項(xiàng)細(xì)化到實(shí)施步驟,以解決合規(guī)要求難以落實(shí)執(zhí)行的問題。合規(guī)矩陣關(guān)鍵屬性包括合規(guī)項(xiàng)編號(hào)、合規(guī)項(xiàng)名稱、合規(guī)項(xiàng)描述、資產(chǎn)類型、實(shí)施步驟等。
2.2 映射矩陣
提供合規(guī)矩陣與企業(yè)內(nèi)外部標(biāo)準(zhǔn)制度的映射關(guān)系,將合規(guī)項(xiàng)與內(nèi)外部標(biāo)準(zhǔn)制度一一映射,確保沒有遺漏。同時(shí),為了方便執(zhí)行人員、檢查人員,映射矩陣應(yīng)提供對(duì)應(yīng)的內(nèi)外部標(biāo)準(zhǔn)制度要求項(xiàng)的鏈接,這要求企業(yè)建設(shè)內(nèi)外部標(biāo)準(zhǔn)制度數(shù)據(jù)庫(kù)。映射矩陣關(guān)鍵屬性包括合規(guī)項(xiàng)編號(hào)、內(nèi)外部標(biāo)準(zhǔn)制度編號(hào)、內(nèi)外網(wǎng)標(biāo)準(zhǔn)制度要求鏈接等。
2.3 資產(chǎn)矩陣
資產(chǎn)矩陣即企業(yè)信息資產(chǎn)清單,是企業(yè)信息化建設(shè)和管理的基礎(chǔ),為企業(yè)管理者提供企業(yè)信息資產(chǎn)全圖。資產(chǎn)與合規(guī)矩陣通過資產(chǎn)類型進(jìn)行映射,將形成每個(gè)信息資產(chǎn)所需要遵循和執(zhí)行的合規(guī)項(xiàng)清單。執(zhí)行人員只需要按照合規(guī)性清單上每個(gè)合規(guī)項(xiàng)的實(shí)施步驟一一進(jìn)行合規(guī)執(zhí)行,就能夠有效地確保合規(guī)要求的落實(shí)執(zhí)行,同時(shí)也解決了大型國(guó)有企業(yè)下級(jí)單位網(wǎng)絡(luò)安全人才隊(duì)伍參差不齊所帶來的合規(guī)執(zhí)行問題。資產(chǎn)矩陣關(guān)鍵屬性包括資產(chǎn)編號(hào)、資產(chǎn)類型、資產(chǎn)名稱等。
2.4 檢查矩陣
檢查矩陣與合規(guī)矩陣一一映射,通過資產(chǎn)類型與資產(chǎn)矩陣形成合規(guī)檢查清單,并且提供各個(gè)資產(chǎn)的各個(gè)合規(guī)項(xiàng)的檢查步驟,能夠有效地解決合規(guī)管控監(jiān)督檢查難的問題。檢查矩陣關(guān)鍵屬性包括檢查項(xiàng)編號(hào)、檢查項(xiàng)、檢查步驟、合規(guī)項(xiàng)編號(hào)、資產(chǎn)類型。
2.5 責(zé)任矩陣
將合規(guī)管理、執(zhí)行和檢查的責(zé)任落實(shí)到部門甚至個(gè)人,矩陣關(guān)鍵屬性包括合規(guī)項(xiàng)編號(hào)、檢查項(xiàng)編號(hào)、資產(chǎn)類型、資產(chǎn)編號(hào)、管理責(zé)任人、執(zhí)行責(zé)任人、檢查責(zé)任人。
3 網(wǎng)絡(luò)安全管控矩陣管理業(yè)務(wù)流程
基于網(wǎng)絡(luò)安全管控矩陣,能夠高效地實(shí)現(xiàn)安全管控的安全要求、任務(wù)執(zhí)行、監(jiān)督檢查、整改跟蹤、量化評(píng)價(jià)管理閉環(huán)。
應(yīng)用PDCA循環(huán),如圖1所示,網(wǎng)絡(luò)安全管控矩陣的管理業(yè)務(wù)流程由計(jì)劃、執(zhí)行、檢查、執(zhí)行、改進(jìn)4個(gè)階段組成,建立計(jì)劃、執(zhí)行、檢查、改進(jìn)的管理閉環(huán),支撐網(wǎng)絡(luò)安全合規(guī)管控閉環(huán),每次循環(huán)都有效提升安全合規(guī)管理水平,最終實(shí)現(xiàn)網(wǎng)絡(luò)安全管理水平的持續(xù)螺旋式提升。
3.1 計(jì)劃
計(jì)劃階段主要工作包括:收集梳理企業(yè)相關(guān)安全標(biāo)準(zhǔn)制度,建立安全制度庫(kù),形成公司安全合規(guī)管控的根本依據(jù);基于企業(yè)資產(chǎn)臺(tái)賬等數(shù)據(jù),建立信息資產(chǎn)矩陣;基于安全制度庫(kù),分項(xiàng)梳理各項(xiàng)合規(guī)要求所覆蓋的資產(chǎn)類型,根據(jù)資產(chǎn)類型特點(diǎn)形成合規(guī)要求的執(zhí)行方法和檢查方法,建立合規(guī)矩陣,并通過映射矩陣與安全制度庫(kù)進(jìn)行對(duì)應(yīng),防止疏漏。
3.2 執(zhí)行
執(zhí)行階段,基于合規(guī)矩陣、資產(chǎn)矩陣,將各個(gè)信息資產(chǎn)所涉及的合規(guī)項(xiàng)分配到具體的部門甚至個(gè)人,明確執(zhí)行責(zé)任人、檢查責(zé)任人和管理責(zé)任人,從而建立責(zé)任矩陣,并下發(fā)到相關(guān)責(zé)任人。執(zhí)行責(zé)任人根據(jù)責(zé)任矩陣,按照合規(guī)矩陣所提供的執(zhí)行步驟依次進(jìn)行合規(guī)執(zhí)行;檢查責(zé)任人根據(jù)責(zé)任矩陣,按照檢查矩陣所提供的執(zhí)行步驟依次進(jìn)行執(zhí)行檢查;管理責(zé)任人監(jiān)督上述執(zhí)行、檢查工作。
3.3 檢查
檢查階段,包括安全制度庫(kù)的更新檢查、合規(guī)矩陣的執(zhí)行檢查。安全制度庫(kù)的更新檢查,持續(xù)關(guān)注國(guó)家、行業(yè)及公司相關(guān)合規(guī)制度標(biāo)準(zhǔn)的發(fā)布、修編、廢止等修正;合規(guī)矩陣的執(zhí)行檢查,對(duì)企業(yè)所有信息資產(chǎn)所涉及的合規(guī)要求項(xiàng)進(jìn)行全面的排查,形成合規(guī)風(fēng)險(xiǎn)視圖,提出改進(jìn)意見。
3.4 改進(jìn)
改進(jìn)階段,基于改進(jìn)意見進(jìn)行改進(jìn),主要包括基于制度更新的改進(jìn)、基于檢查的改進(jìn)。制度更新的改進(jìn),依據(jù)國(guó)家、行業(yè)及公司相關(guān)合規(guī)制度標(biāo)準(zhǔn)的更新,修訂改進(jìn)安全合規(guī)矩陣以及對(duì)應(yīng)的檢查矩陣,并重新修訂和分配合規(guī)責(zé)任;基于檢查的改進(jìn),依據(jù)合規(guī)執(zhí)行檢查結(jié)果,明確落實(shí)整改責(zé)任,改進(jìn)合規(guī)執(zhí)行情況,一般不對(duì)合規(guī)矩陣進(jìn)行修訂。如果在執(zhí)行過程中發(fā)現(xiàn)合規(guī)矩陣、檢查矩陣存在不符合實(shí)際的情況,則進(jìn)行合規(guī)矩陣的修訂。
4 結(jié)語(yǔ)
隨著網(wǎng)絡(luò)安全形勢(shì)日趨嚴(yán)峻,網(wǎng)絡(luò)安全的重要性也越來越得到國(guó)家各級(jí)相關(guān)部門的重視,網(wǎng)絡(luò)安全建設(shè)已經(jīng)成為企業(yè)管理的重要組成部分,其中安全合規(guī)管控更是重中之重。由于種種原因,大型國(guó)有企業(yè)的安全合規(guī)管控任務(wù)非常重大,而且面臨著合規(guī)管控要求多、合規(guī)要求落實(shí)執(zhí)行難、合規(guī)要求監(jiān)督檢查難等問題。本文遵循PDCA循環(huán),引入內(nèi)控矩陣的思想,提出了一種網(wǎng)絡(luò)安全合規(guī)管控矩陣方法,已經(jīng)初步應(yīng)用于實(shí)際合規(guī)管理工作,取得良好的效果。初步實(shí)踐證明,該方法能夠有效地形成網(wǎng)絡(luò)安全合規(guī)管控安全要求、任務(wù)執(zhí)行、監(jiān)督檢查、整改跟蹤、量化評(píng)價(jià)的管理閉環(huán),能夠有效地解決大型國(guó)有企業(yè)網(wǎng)絡(luò)安全合規(guī)管控所面臨的問題。
參考文獻(xiàn)
[1]鄧雄榮.供電企業(yè)信息安全多標(biāo)準(zhǔn)合規(guī)管控體系研究與實(shí)踐[J].現(xiàn)代計(jì)算機(jī),2015(06):46-50.
[2]孔令南,譚智,楊果.中國(guó)移動(dòng)云南公司信息安全合規(guī)管控平臺(tái)建設(shè)研究[J].電信工程技術(shù)與標(biāo)準(zhǔn)化,2012(12):36-39.
[3]李棟.將信息安全指標(biāo)納入企業(yè)績(jī)效考核的實(shí)踐[J].信息安全與技術(shù),2014(08):4-6.
[4]張濱.電信企業(yè)信息安全合規(guī)管理體系研究[J].電信工程技術(shù)與標(biāo)準(zhǔn)化,2012(12):1-6.
作者簡(jiǎn)介
楊震乾(1976-),男,云南省昆明市人。學(xué)士學(xué)位。研究方向?yàn)榫W(wǎng)絡(luò)技術(shù)、網(wǎng)絡(luò)安全、信息安全技術(shù)。
作者單位
中國(guó)南方電網(wǎng)有限責(zé)任公司云南電網(wǎng)有限責(zé)任公司 云南省昆明市 650000