前言

  2009 年 12 月，工業(yè)和信息化部出臺(tái)了《基礎(chǔ)電信企業(yè)信息安全責(zé)任管理辦法（試行）》，對(duì)基礎(chǔ)電信企業(yè)的信息安全責(zé)任提出了明確要求。隨之，該運(yùn)營(yíng)商集團(tuán)公司2010年6月頒發(fā)了《中國(guó)某運(yùn)營(yíng)商集團(tuán)公司信息安全責(zé)任矩陣》，并要求各省及市公司落地執(zhí)行。因此，結(jié)合該運(yùn)營(yíng)商網(wǎng)絡(luò)部網(wǎng)管中心的實(shí)際情況，建立健全網(wǎng)絡(luò)部網(wǎng)管中心信息安全責(zé)任矩陣落地支撐流程和文件，從而按照集團(tuán)公司信息安全責(zé)任矩陣要求進(jìn)行落地實(shí)施。


信息安全責(zé)任矩陣內(nèi)容

   《信息安全責(zé)任矩陣》主要內(nèi)容包括業(yè)務(wù)流程、關(guān)鍵性控制、控制目標(biāo)及負(fù)責(zé)部門(mén)。

• 流程視圖與部門(mén)視圖：流程視圖以業(yè)務(wù)流程主線，重點(diǎn)描述相關(guān)流程的控制目標(biāo)和責(zé)任部門(mén)；部門(mén)視圖以部門(mén)為主線，重點(diǎn)歸納整理了各部門(mén)信息安全責(zé)任。
• 業(yè)務(wù)流程：包括8個(gè)業(yè)務(wù)流程組，共26個(gè)與信息安全相關(guān)的業(yè)務(wù)流程；
• 關(guān)鍵性控制：指業(yè)務(wù)流程中的關(guān)鍵控制環(huán)節(jié)，共48個(gè)；
• 控制目標(biāo)：與關(guān)鍵性控制對(duì)應(yīng)，描述相關(guān)信息安全控制要求；
•  責(zé)任部門(mén)：指關(guān)鍵性控制涉及的責(zé)任部門(mén)，分牽頭部門(mén)和配合部門(mén)。

安全評(píng)估實(shí)施過(guò)程

   該項(xiàng)目共分為四個(gè)階段實(shí)施，分別是信息安全責(zé)任矩陣梳理、差異評(píng)估、流程梳理、流程支撐文件設(shè)計(jì)。
      

 

項(xiàng)目實(shí)施成果

    項(xiàng)目梳理了12個(gè)流程，針對(duì)每個(gè)流程活動(dòng)設(shè)計(jì)了支撐文件，并對(duì)關(guān)鍵流程設(shè)計(jì)了考核指標(biāo)。
    




 總體評(píng)價(jià)

   該項(xiàng)目通過(guò)流程梳理的方法幫助信息安全責(zé)任矩陣的要求落地，并設(shè)計(jì)了安全考核，即滿足了集團(tuán)矩陣檢查的要求，又為該運(yùn)營(yíng)商的安全管理提供了新的思路和方向，該項(xiàng)目獲得用戶高度評(píng)價(jià)和認(rèn)可。