业务咨询:4000-550-650官方微博联系我们

中国移动信息安全合规系统

作者:admin 来源:慧点科技 时间:2012-07-04

客户背景:
    中国移动通信集团公司(简称“中国移动”) 于2000年4月20日成立,注册资本518亿元人民币,资产规模超过万亿元人民币,拥有全球第一的网络和客户规模,已成为具有较强国际竞争力和品牌价值的电信企业。中国移动全资拥有中国移动(香港)集团有限公司,由其控股的中国移动有限公司在国内31个省(自治区、直辖市)和香港特别行政区设立全资子公司,并在香港和纽约上市。
    中国移动主要经营移动话音、数据、IP电话和多媒体业务,并具有计算机互联网国际联网单位经营权和国际出入口局业务经营权。除提供基本话音业务外,还提供传真、数据、IP电话等多种增值业务,拥有“全球通”、“神州行”、“动感地带”等著名客户品牌。

项目背景与需求:
    中国移动集团公司作为大型国有企业和上市公司,需要在SOX和ISO27001的体系框架下,对国家工信部、国密局和国务院等部委颁布的众多法律法规进行遵从;从企业自身经营出发,其公司总部各部门和各省分公司也制定了大量的内部规章制度,下发给各部门强制执行,其中有相当一部分规章制度是对信息安全工作的指导和约束,因此在企业管理过程中,不可避免的会出现信息安全工作执行者对各类的规章制度和法律规范无从下手,对其需要执行的规章制度没有清晰的认识,迫切的需要建立一套手段来为各信息安全工作执行人员指明方向,划定工作职责。
    同时,各部门和各省公司的信息安全管理情况缺乏统一的评价框架和标准,不能进行综合评价;没有记录并提供量化的数据,无法实现对部门和系统合规综合评价的数据支撑;对信息安全管理的相关数据不能高效自动地进行多维度比较和分析,缺乏持续改善的依据。

解决之道:
    针对上述问题,迫切需要按照信息安全“栅栏”管理模式,采用国际通用的控制矩阵形式,对内外部信息安全合规要求进行体系化梳理,搭建信息安全合规矩阵框架,并首先建立责任制、客户信息安全、业务安全、基础架构安全等模块,然后逐步丰富完善,最终形成统一优化的信息安全合规矩阵。

典型应用:
    通过对中移动信息合规的需求和分析,慧点科技结合自身在相关管理平台的经验为中国移动集团公司和云南移动公司分别建设了中国移动信息安全合规管理工作平台和云南移动信息安全合规管理工作平台,来为中国移动集团和云南移动规范其信息安全工作的落地和执行。
    中国移动集团信息安全合规管理工作平台主要由制度管理、信息安全矩阵管理、执行管理、合规检查、合规评价、整改管理以及统计分析报告这七个业务模块组成,其中:制度管理模块是在系统内梳理安全规范制度,建立制度与内外部安全合规要求的对应关系;矩阵维护模块是在系统中固化对根据制度梳理形成的控制矩阵、检查矩阵、对应矩阵等内容的管理;执行管理模块可以实现控制点的分解,并与相关岗位的关联,进行控制基线和任务执行的提醒设置;合规检查模块是对信息安全合规性工作的检查下分,并实时监控重大信息安全事项和指标;合规评价模块可以根据检查结果计算出各项信息安全工作的执行情况,量化计算后形成量化评估报告;整改管理模块是对不合规的控制点进行合规整改的过程管理;分析报告模块则能够提供信息安全合规统计/分析/查询/报告等综合视图展现功能。

应用效果:
• 战略层面:
 √ 为企业战略决策提供有效的支撑和依据,满足各利益相关方的价值期望,为企业持续健康发展保驾护航
 √ 支持企业实时地感知内外部风险变动,及时作出风险应对,将风险控制在可承受范围内,促进企业目标的实现
• 操作层面:
 √ 支持企业组织结构、考核体系、日常监督与企业战略目标的整合
 √ 确保企业内外部法规的遵循
 √ 通过支持业务流程和内部控制的有效设计和执行,将风险控制在可接受水平
 √ 促进企业的规范化和精细化管理

分享到: