上海移動信息安全管理流程體系的設計和研究.pdf

1、電信技術的發(fā)展和管理體制的變革不斷推動電信運維管理體制向集中化、標準化、信息化方向發(fā)展。信息安全管理作為電信運維管理的重要組成部分，同樣面臨著來自技術和管理的兩方面壓力。一方面電信技術的發(fā)展使原先封閉的網絡變得更加開放，新業(yè)務不斷拓展，信息安全風險不斷加大；另一方面，管理體制的變革使原先信息安全工作零散開展、各部分工作之間缺乏協(xié)調、信息安全責任不明確、安全要求難以落地等問題越發(fā)突出。因此，如何解決信息安全管理工作面臨的突出問題，確保各項

2、信息安全工作的有序開展和信息安全要求的有效執(zhí)行，成為信息安全管理工作亟需解決的問題。
　　本文借鑒流程管理和優(yōu)化的思想，以及ISO27001、ITIL、COBIT等國際標準和最佳實踐的工作模式，在分析上海移動信息安全管理工作現(xiàn)狀和存在問題的基礎上，首先提出了上海移動信息安全管理流程體系的系統(tǒng)方案，并詳細描述了建立過程和方法；其次對于信息安全管理流程中的核心流程—安全工程建設流程從流程設計、項目管理兩方面進行了詳細闡述；最后，根據當

3、前上海移動信息安全管理流程體系運行和維護的需要，提出了建立信息安全流程管理平臺相關設計要求和架構方案。通過信息安全管理流程體系的建立將信息安全管理工作中的人員、技術、制度等各要素有機地組織起來，有效支撐企業(yè)信息安全管理工作的開展。
　　本文的創(chuàng)新內容在于：
　　(1)對上海移動信息安全管理工作進行了梳理，參考“結構化生命周期”的管理信息系統(tǒng)開發(fā)方法提出了一個由十五個核心流程組成的經優(yōu)化的上海移動信息安全管理流程體系。該體系建

4、立了ISO27001和各項安全工作的對應關系，可以十分方便地獲取目前安全工作狀況和ISO27001合規(guī)性要求的差距分析結果，從而指導未來安全工作的開展。
　　(2)對以安全工程建設流程為代表的核心流程進行了優(yōu)化設計，并從質量管理、人員管理、采購管理等三方面提出了安全工程建設過程中的項目管理關鍵點。通過梳理和優(yōu)化安全“三同步”工作流程，使安全工作落實到系統(tǒng)生命周期的各個環(huán)節(jié)，真正實現(xiàn)了移動集團要求的“同步規(guī)劃、同步建設，同步運維”要

5、求，達到系統(tǒng)安全防護的最佳效果。
　　(3)提出了信息安全管理流程應用平臺的設計方案，將安全流程體系進行電子化承載并實現(xiàn)安全流程的自動化管理和運轉，推動了安全流程相關工作的落地實施，也為安全決策工作提供有力的支持。
　　本文提出的信息安全管理流程體系設計、安全工程建設等核心流程優(yōu)化以及管理平臺設計等方案已經在實際工作中部分得到了應用，實踐證明，流程體系的建設和核心流程的優(yōu)化在降低企業(yè)合規(guī)風險、降低安全風險、提供決策支撐依據方