信息安全合规管理常态化

中国移动通信集团公司（简称中国移动）是根据国家关于电信体制改革的部署和要求，在原中国电信移动通信资产总体剥离的基础上组建的国有重要骨干企业，于2000年4月20日成立。公司注册资本为518亿元，资产规模超过万亿元。

四大因素驱动管理水平提升

经过十多年的建设与发展，中国移动已建成一个覆盖范围广、通信质量高、业务品种丰富、服务水平一流的移动通信网络。目前，中国移动的网络规模和客户规模列全球第一。但近几年来，中国移动的信息安全管理压力不断加大，这是由于以下四个因素：

首先，适应信息安全形势发展的基本需要。随着社会环境、产业环境的变化，通信网的重要性日益凸显，民众对通信网的依赖程度日益提高，网络与我们的生产、生活密不可分。与此同时，网络安全攻击事件日益增多，网络攻击技术越来越多样化，攻击的自动化程度也越来越高，信息安全形势日益严峻。作为国有重要骨干企业，中国移动加强信息安全管理，既是实现企业发展战略目标的需要，也是履行企业社会责任的基本需要。

其次，Y本的市场监管要求。2002年，美国安然、世通等财务欺诈事件之后，美国立法机构出台了《萨班斯―奥克斯利法案》（以下简称《萨班斯法案》）。《萨班斯法案》不仅适用于美国上市公司，也适用于在美国证监会注册的外国公司。中国移动作为在美国证券交易市场上市的海外公司，也必须遵循《萨班斯法案》相关要求。为了遵从《萨班斯法案》，中国移动制定的内部控制矩阵中，有313个项与信息安全有关。

再次，满足国内监管部门的监管要求。随着信息安全形势的发展，国内监管部门对信息安全管理提出了明确要求。公安部、工业和信息化部、国家保密局和证监会等部委陆续了相关文件对企业信息安全管理提出了要求，如公安部、国家保密局、国家密码管理局和国务院信息工作办公室的《信息安全等级保护管理办法》，公安部的《互联网安全保护技术措施规定》，工业和信息化部的《通信网络安全防护管理办法》，财政部、 证监会、审计署、银监会和保监会印发的《企业内部控制基本规范》等。

最后，满足企业自身管理提升的要求。中国移动从提升自身管理的角度出发，建立了较为完整的信息安全管理体系，覆盖系统建设和运维、业务经营、客户信息保护等环节。

然而，由于信息安全管理涉及多个业务部门和管理部门，管理复杂度高，工作繁杂，过去难以进行体系化管理、执行难度高成为中国移动信息安全管理工作的突出问题。

五大管理措施保证信息安全

中国移动信息安全管理的总体目标是借鉴国际的先进GRC管理理念，按照PDCA（Plan―Do―Check―Action，计划―实施―检查―处理）模式，建立涵盖合规要求、合规执行、合规检查、合规评价、合规整改的闭环管理机制；采取相应的技术手段、通过有效的管理措施，保证信息资产免遭威胁，或将威胁带来的不良后果降到最低；持续改进，实现信息安全管理水平的螺旋式提升，最终维护组织的正常运作和健康发展。具体来说，中国移动主要采取了以下五项措施保证目标的实现。

第一，建立信息安全合规闭环管理机制。中国移动在信息安全管理方面借鉴了GRC管理理念，参考了ISO27001信息安全闭环管理体系的PDCA模型，形成了特有的信息安全合规闭环管理机制。中国移动结合自身的实际情况，将信息安全合规管理工作划分为合规要求、合规执行、合规检查、合规评价、合规整改等五个环节。其中，合规要求对应的是计划（Plan），合规执行对应是实施（Do），合规检查和合规评价对应的是检查（Check），合规整改对应的是处理（Action）。这五个环节形成了信息安全合规的闭环管理，借助流程全面贯彻。

第二，进行集中、制度化管理，全面满足内外部监管需求。中国移动根据外部的《萨班斯法案》、ISO27011信息安全管理最佳实践、国家信息安全等级保护、通信网安全防护等相关的合规要求，制定了多达200余个安全管理制度和标准，覆盖系统建设与运维、业务经营、客户信息保护等环节，涉及多个业务部门和管理部门，涵盖了安全方针、风险管理、第三方管理、安全事件处理、安全基线等数十个领域。

值得一提的是，由于需要遵从的合规要求较多，部分“规”之间存在内容交叉和要求不一致的情况。如果缺少集中化的管理，会导致日常的制度和标准查询、获取和执行都比较困难。为此，中国移动对需要遵从的国际、国内、行业和企业内部的信息安全管理制度、标准进行了梳理，参照国内外标准和最佳实践，形成了《中国移动信息安全管理制度体系框架》。通过制度体系框架，相关人员可以掌握公司整体的信息安全管理全貌，方便、快速地查找对应的要求，高效地分析出哪些领域可能存在制度缺失，为进一步完善信息安全管理体系提供有力的支持，为合规管理体系的建设提供有用的支撑。

第三，完善合规管理矩阵，将安全合规管理工作具体化。信息安全合规管理的核心是建立信息安全合规管理矩阵。该矩阵是基于对各种信息安全管理制度、规范建立的，是对各种信息安全管理要求的条目化、具体化。中国移动在梳理合规制度和建立合规控制框架的基础上，首先建立信息安全责任制、客户信息安全、业务安全和基础安全等子矩阵，然后逐步丰富、完善子矩阵，最终形成全面的信息安全合规矩阵。合规矩阵包括控制矩阵、检查矩阵、对应矩阵和资产矩阵。

第四，建立合规检查规范，实现制度化、规范化管理。为了做好合规检查，中国移动制定《信息安全监督检查工作规范》，实现合规检查制度化、规范化管理。合规检查分为普查模式和专项检查两种模式。

第五，建立评价体系，实现整改工作的闭环管理。中国移动通过实施多维度的合规评价，针对不符合合规要求的检查点和评价相对较差的环节，开展及时的问题整改工作，通过工单等工作流，以下发、整改、反馈和验证四步闭环的管理模式，保证在问题发现后，有要求、有人改、有反馈、有验证，有效落实整改工作。

信息化平台是不可或缺的支撑

为了有效应对当前在信息安全合规管理方面所面临的挑战，中国移动在慧点科技协助下建立了全网集中的信息安全合规管理平台。中国移动的各省公司都可以登录该平台开展合规管理工作。该平台针对中国信息安全合规管理需求，固化了制度管理、控制落实、安全检查、合规评价和整改等信息安全管理流程，为合规工作提供了流程化、平台化的高效工具。

中国移动信息安全合规管理平台包括制度管理、矩阵管理、执行管理、合规检查、合规风险评价和整改管理等核心功能模块，可以有效支撑信息安全合规的全生命周期流程管理。

通过建立以信息安全合规管理矩阵为核心的合规管理体系，全面部署信息安全合规管理平台，中国移动实现了如下的效果：

第一，提升了信息安全业务管理的统一性、完整性；

第二，提升了集中化自主运营能力，有效提升业务连续性；

第三，实现了信息安全合规管控的常态化和流程化；

第四，落实了信息安全合规的量化评价，提升了相关的决策支撑能力。