运营商需树立风险导向

开篇：润墨网以专业的文秘视角，为您筛选了一篇运营商需树立风险导向范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

信息安全问题呈现多样化的趋势，而对电信运营商信息资产的进攻正在成为突出的威胁，这就要求电信运营商从运营角度衡量信息安全和风险，并基于风险管理的理念制定适合自身需要的安全管理架构进行有效应对。同时，法规遵从性、应用安全和外包将成为CIO关注的焦点。

当前信息安全的发展趋势已经不仅仅是升级传统安全产品，而是从业务策略和整体系统上来考虑安全问题，帮助企业建立安全、完善的IT环境，以应对来自内外部的攻击，降低风险和损失。因此，全方位安全策略及解决方案对保护电信运营商信息系统的安全不可或缺。

对于电信运营商而言，目前都已制定了相关的制度和流程，但还没有企业级整体的信息安全规划和建设，信息安全还没有或很少从整体上进行考虑。IBM企业IT安全服务是一套针对企业信息安全管理的完善解决方案，能够协助企业更加全面地认识信息技术、评估企业的信息安全隐患及薄弱环节，进一步完善运营商安全架构，为电信运营商的应用构建高度信息安全的运行环境，共同规划、设计、实施、运作，从而保护企业信息系统的安全。

事实上，管理者不应该再将信息安全看作一个孤立的或是纯技术的问题，而要从企业运营的全局角度整体看待，制定与企业特点和成长潜力相适应的安全管理架构。

完善的安全架构必须能够随着市场的变化进行调整，IT部门的决策者必须密切关注市场的变化。2007年安全用户在三类需求上将有突出的增长。CIO需要更好地应对日益增长的法规遵从性要求，更多地关注应用层面，与此同时，积极利用外包的机遇实现更好的投资回报。

在中国，随着信息安全和上市公司相关立法的完善，法规遵从性和相关审计在行业中的要求也正在不断普及，越来越多的公司和行业正努力去满足法律所规定的安全要求。电信运营商在信息管理方面需要做到三点：信息的完整性、信息的保密性和要求信息能够在适当的时间以适当的格式被访问，这都与信息安全密不可分。保护企业数据安全，达到法规遵从性的要求将是CIO们2007年的一大职责。

应用安全是另一个市场焦点。随着企业业务更多依赖于各类基础性应用，让企业安全、顺畅地访问应用数据，保证业务永续运行的同时保障应用性能成为CIO的重要目标。过去信息安全的老三样(防火墙、入侵检测和防病毒)的概念已经过时，网络边界这样的概念会越来越模糊，而基于身份和用户管理的网络行为控制将会成为主流。安全即意味着只有允许的人在允许的时间访问允许的数据，故而身份管理可以整合各种不同类型的安全工具。同时，它也可以帮助企业认清和应对新技术部署带来的新问题，例如无线技术在企业范围内的广泛应用，已经使得安全阵地从有形的网络线路扩展到无形空间。

在电信运营商运营商强化自身安全的同时，网络安全外包的发展给电信运营商带来了更多的选择。对于缺乏安全技能和人力的中小企业来说，安全管理服务(ManagedSecurityService，MSS)是一条捷径，即通过在电信网络上提供托管形式的安全服务，代客户管理及监控信息安全系统与设备，并在安全事件发生的第一时间做出适当回应。在这个过程中，用户则将目光转向安全运维中心(SOC)服务。尽管国内用户对SOC的理解不完全一致，但都希望借助SOC融合安全技术、安全产品、安全策略和安全措施，与电信运营商的安全咨询、安全响应、特别是与安全运维相结合，协调各方面资源以最具成本效益的方式处理安全问题，为企业和机构提供了整体性的解决方案。

链接天津移动构建全面信息安全管理体系

根据中国移动集团公司制定的安全指导原则，天津移动从2000年起就开始着手IT安全建设，特别是将信息安全管理体系的建立与建全作为了一项重点工作，并在全局性的安全规划上进行了积极探索。2007年，通过与IBM的合作，天津移动对信息安全进行了全方位的考量和整体规划，并分三个阶段进行具体实施：

安全体系建立：在对企业IT安全现状进行评估及需求调研的基础上，进行安全管理体系的规划和建立，包括按ISO27001信息安全管理体系建立，汇总、归纳、体系化各种规章制度，以及相关人员的安全意识培训等；

安全建设实施：主要包括各种软件、硬件设备的购买、评估及加强等，辅助安全管理体系的执行；

安全执行监督：逐步建立企业安全监控中心(SOC)，并通过它来监督和强化安全制度的执行。

目前，该项目的第一阶段已经完成，开始进入安全建设阶段。通过第一阶段的工作，天津移动对现有的业务和管理流程进行了详细的梳理，并完成了安全体系的整体规划，达到了预期效果。