冠群金辰安全管理咨询方案在联通成功应用-信息化专区

冠群金辰安全管理咨询方案在联通成功应用

作者：IT168.com 编辑：王秋娥 2008-10-15 14:03 来源：IT168�

　　【IT168资讯】人类社会已经进入了信息社会，信息网络化对全球政治、经济、军事、科技、文化、社会等各个方面都产生了前所未有的影响。信息网络化促进了信息公开化、信息利用的自由化，其结果是信息资源的共享和互动。全球化的国际信息网络，给人类社会带来了前所未有的变化，然而对其的管理却着实不易。

　　在这样的历史条件下，信息与网络的安全问题日渐凸现出来，并且成为制约信息网络发展的核心问题。而对于电信级的运营网，以及公司内部的OA/管理网，目前最主要和有效的安全解决方案就是建设营运ISMS（信息安全管理系统）。

　　中国联通云南分公司（以下简称为云南联通）是中国联通在云南省的分支机构，负责中国联通在云南地区的电信建设和业务发展。目前公司已经在全省16个地市州设立了分支机构，其经营范围包括移动通信业务（包括GSM和CDMA）、长途电话、本地电话、数据通信（包括因特网业务和IP电话）、电信增值业务，以及与主营业务有关的其他业务，是目前省内唯一一家经营综合电信业务的电信运营商。

　　考虑到自身业务的发展和竞争力的提升，云南联通迫切需要专业的安全服务提供商，为其计费信息系统部（不涉及地市）建设电信级ISMS并通过BS7799认证提供安全管理咨询服务，以消除公司信息安全隐患，保证公司业务的永续运行。经过严格的考核和仔细的筛选，业内领先的整体解决方案及服务提供商——冠群金辰软件有限公司凭借顾问咨询力量、优秀的解决方案和培训合作伙伴以及良好的沟通等几方面的优势赢得了云南联通的青睐。

　　面临挑战：缺体系，少认识，技术存在问题

　　经过全方位深层次的调查、研究以及分析，冠群金辰认为云南联通目前主要的问题在于缺乏完整的信息安全管理体系，并且对BS7799认证的理解也还比较浅。另外，云南联通还存在着一些技术和管理层面上的技术问题。

　　尽管存在一些问题，但是由于云南联通在安全组织架构等方面建设得比较完善，同时公司领导对信息安全管理也非常关注，这对于整个安全管理咨询服务很有助益。

　　解决方案及实施过程：5+1，全面周到的服务

　　考虑到云南联通的实际情况，冠群金辰将整个安全管理咨询服务过程分成两大部分：建设ISMS并通过认证和相应的技术支持服务。

　　在第一个部分中，冠群金辰基于PDCA，建立了一套符合工程化特点和客户实际需求的信息安全服务提供方式，并且按照BS7799认证审核自身的特点，进一步对项目活动具体化，将整个云南联通ISMS顾问项目过程划分为五个阶段：

　准备阶段

　　项目小组对本项目ISMS实施及认证做好准备工作，明晰确定本次项目ISMS实施范围为云南联通计费信息系统部需要保护的信息系统、资产、技术及其物理场所（部门、地理位置），提供相关资源，建立总体的安全管理方针，并进行前期培训和预先评估。

　　风险评估阶段

　　通过调查问卷、文件审核、现场调研、运用自动扫描工具以及小组会议等等种种方式对云南联通的ISMS实施范围进行详细的风险评估，发掘其安全需求。主要包括以下几个部分：资产识别与赋值、策略文档分析、脆弱性评估、安全威胁评估、现有安全措施评估和综合风险分析。

　　实现阶段

　　项目小组组织相关资源，依据风险评估结果选择控制措施，实施有效的风险处理活动，编写、测试、修订并完善其ISMS的运行和BS7799认证所需的文档体系，并根据SOA以及云南联通的具体情况进行现有安全产品策略调整、主机和网络安全配置加固和实施新的安全产品。

　　运行阶段

　　包括为云南联通培训专门人员，建立内部审查机制，通过内部审计和模拟认证，检验其ISMS的有效性和稳定性。

　　认证阶段

　　当ISMS经过一定时间的运行，达到一个稳定的状态之后，为云南联通电信级ISMS提请和协助BS7799认证。

　　在第二个部分中，冠群金辰为云南联通提供包括为期一年的通过电话、传真、邮件等方式的免费安全通告服务、远程或者现场支持的安全顾问咨询服务以及紧急响应服务的技术支持服务。

　　同时，整个顾问咨询服务实施过程遵循包含了标准性、整体性、适用性、可操作性、规范性、保密性、最小化影响和持续性的项目控制原则。

　　效果分析：好的开始是成功的一半

　　从目前的实施情况来看，冠群金辰为云南联通提供的顾问咨询服务很好地遵循了项目控制原则，对云南联通的关键信息资产进行了全面系统的保护，通过对其员工的培训，强化了员工的信息安全意识，规范了云南联通信息安全行为，获得了用户的认可与好评。

　　在后期的实施中，通过双方的共同努力，冠群金辰将会很快为云南联通建立起组织完整的电信级信息安全管理系统（ISMS），并通过BS7799认证，达到动态的、系统的、全员参与的、制度化的、以预防为主的信息安全管理机制，用最低的成本，有效达成机密性、完整性和可用性的信息安全目标，根本上保证其业务的连续性，从而最终使云南联通提高经营管理水平，减少运营维护成本，实现企业利益和客户利益的最大化。

　　电信级信息安全管理系统（ISMS）对于电信企业来说具有非比寻常的重要性，它的建设对于电信级的运营网、公司内部的OA/管理网都是应当首要考虑的问题。完善的ISMS系统，将能够有效保证业务系统的安全稳定运行，为企业的发展提供安全、持续的空间及动力。此次冠群金辰为云南联通提供的ISMS项目的管理咨询服务不仅帮助云南联通提高了自身的竞争水平，同时也为业内厂商提供了借鉴。

关注我们