前言

  2009 年 12 月，工業(yè)和信息化部出臺了《基礎(chǔ)電信企業(yè)信息安全責任管理辦法（試行）》，對基礎(chǔ)電信企業(yè)的信息安全責任提出了明確要求。隨之，該運營商集團公司2010年6月頒發(fā)了《中國某運營商集團公司信息安全責任矩陣》，并要求各省及市公司落地執(zhí)行。因此，結(jié)合該運營商網(wǎng)絡(luò)部網(wǎng)管中心的實際情況，建立健全網(wǎng)絡(luò)部網(wǎng)管中心信息安全責任矩陣落地支撐流程和文件，從而按照集團公司信息安全責任矩陣要求進行落地實施。


信息安全責任矩陣內(nèi)容

   《信息安全責任矩陣》主要內(nèi)容包括業(yè)務(wù)流程、關(guān)鍵性控制、控制目標及負責部門。

• 流程視圖與部門視圖：流程視圖以業(yè)務(wù)流程主線，重點描述相關(guān)流程的控制目標和責任部門；部門視圖以部門為主線，重點歸納整理了各部門信息安全責任。
• 業(yè)務(wù)流程：包括8個業(yè)務(wù)流程組，共26個與信息安全相關(guān)的業(yè)務(wù)流程；
• 關(guān)鍵性控制：指業(yè)務(wù)流程中的關(guān)鍵控制環(huán)節(jié)，共48個；
• 控制目標：與關(guān)鍵性控制對應(yīng)，描述相關(guān)信息安全控制要求；
•  責任部門：指關(guān)鍵性控制涉及的責任部門，分牽頭部門和配合部門。

安全評估實施過程

   該項目共分為四個階段實施，分別是信息安全責任矩陣梳理、差異評估、流程梳理、流程支撐文件設(shè)計。
      

 

項目實施成果

    項目梳理了12個流程，針對每個流程活動設(shè)計了支撐文件，并對關(guān)鍵流程設(shè)計了考核指標。
    




 總體評價

   該項目通過流程梳理的方法幫助信息安全責任矩陣的要求落地，并設(shè)計了安全考核，即滿足了集團矩陣檢查的要求，又為該運營商的安全管理提供了新的思路和方向，該項目獲得用戶高度評價和認可。