摘 要合規(guī)管控是大型國有企業(yè)網(wǎng)絡(luò)安全管理的重要組成部分，存在管控要求多、落實執(zhí)行難、監(jiān)督檢查難、量化管理難的問題。本文提出了一種網(wǎng)絡(luò)安全合規(guī)管控矩陣方法，引入內(nèi)控矩陣的思想，通過建立合規(guī)管控矩陣，建立安全要求、任務(wù)執(zhí)行、監(jiān)督檢查、整改跟蹤、量化評價的管理閉環(huán)，能夠有效地解決大型國有企業(yè)網(wǎng)絡(luò)安全合規(guī)管控工作所面臨的重大挑戰(zhàn)。

【關(guān)鍵詞】網(wǎng)絡(luò)安全 國有企業(yè) 合規(guī)管控 管控矩陣

1 大型國有企業(yè)面臨的網(wǎng)絡(luò)安全合規(guī)管控挑戰(zhàn)

隨著信息化技術(shù)的快速發(fā)展，互聯(lián)網(wǎng)網(wǎng)絡(luò)安全形勢日趨嚴峻，網(wǎng)絡(luò)安全的重要性越發(fā)凸顯。2014年中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組成立，習(xí)近平主席親自擔(dān)任組長，標志著網(wǎng)絡(luò)安全上升到國家安全的高度。國有企業(yè)作為關(guān)系國家安全和經(jīng)濟命脈的關(guān)鍵組成，涉及電力、水力、交通、運輸?shù)汝P(guān)鍵領(lǐng)域，網(wǎng)絡(luò)安全建設(shè)的重要性自是不言而喻。為了指導(dǎo)企業(yè)進行網(wǎng)絡(luò)安全建設(shè)，公安部、工信部、國資委以及各行業(yè)主管單位均頒布網(wǎng)絡(luò)安全相關(guān)制度標準，并且定期組織網(wǎng)絡(luò)安全檢查，確保企業(yè)網(wǎng)絡(luò)和信息系統(tǒng)的機密性、完整性和可用性。2016年11月7日，《中華人民共和國網(wǎng)絡(luò)安全法》正式頒布，對關(guān)鍵信息基礎(chǔ)設(shè)施運營者的法律責(zé)任做出了明確要求。合規(guī)性原則已經(jīng)成為企業(yè)進行網(wǎng)絡(luò)安全建設(shè)必須遵循的重要原則，合規(guī)管控工作已經(jīng)成為企業(yè)網(wǎng)絡(luò)安全建設(shè)的重要任務(wù)。大型國有企業(yè)，尤其是涉及電力、水力、交通、運輸?shù)汝P(guān)鍵基礎(chǔ)設(shè)施的關(guān)鍵企業(yè)，面臨著網(wǎng)絡(luò)安全合規(guī)管控的重大挑戰(zhàn)，主要體現(xiàn)在以下幾個方面：

網(wǎng)絡(luò)安全合規(guī)管控要求多。國有企業(yè)每年面臨各個上級主管單位的網(wǎng)絡(luò)安全檢查，每個單位均有頒布相關(guān)的網(wǎng)絡(luò)安全合規(guī)要求和標準，由于檢查角度不同等原因，這些標準的要求項有所交叉、重疊，但并不完全一致，形成龐大的合規(guī)要求，難以一一落實到位，很容易遺漏。以電網(wǎng)企業(yè)為例，一個省級的電網(wǎng)企業(yè)所需遵循的網(wǎng)絡(luò)安全管控標準包括公安部、工信部、國資委、保密局、能源局、電力行業(yè)以及集團總部等十多個上級主管單位頒布的數(shù)十個網(wǎng)絡(luò)安全標準。

合規(guī)管控要求落實執(zhí)行難。由于上級主管部門的網(wǎng)絡(luò)安全標準通常是針對某個行業(yè)或者某類企業(yè)的通用標準，要求具有通用性，描述通常較為精練概要，往往難以落實執(zhí)行。尤其是大型國有企業(yè)下級單位較多、網(wǎng)絡(luò)安全人才隊伍參差不齊，存在較大差異，對網(wǎng)絡(luò)安全的重視程度也存在差異，往往只是“知道”合規(guī)要求但是不知道如何實施執(zhí)行，更進一步加劇了合規(guī)管控要求執(zhí)行難的問題。

合規(guī)管控要求監(jiān)督檢查難。大型國有企業(yè)具有下級單位多的特點，上級承擔(dān)著對下級的監(jiān)督檢查職責(zé)，管理工作量非常大，但由于各種原因網(wǎng)絡(luò)安全人才有限，往往難以對所有下級單位合規(guī)工作進行跟蹤檢查監(jiān)督，容易形成疏漏。而且，合規(guī)要求通常難以轉(zhuǎn)化為檢查項，上級主管部門往往是“知道”合規(guī)要求，但是不知道如何檢查。

合規(guī)管控要求量化管理難。網(wǎng)絡(luò)安全建設(shè)需要投入大量的人力和物力，但是效果往往難以量化展現(xiàn)，企業(yè)管理者難以有效掌控企業(yè)的網(wǎng)絡(luò)安全合規(guī)工作的落實情況，也難以衡量網(wǎng)絡(luò)安全工作人員的工作量和工作效果，尤其是網(wǎng)絡(luò)安全管控工作。

2 網(wǎng)絡(luò)安全管控矩陣方法

針對網(wǎng)絡(luò)安全管控要求多、落實執(zhí)行難、監(jiān)督檢查難、量化管理難的問題，本文引入內(nèi)控矩陣的思想，建立了一套網(wǎng)絡(luò)安全管控矩陣，基于網(wǎng)絡(luò)安全管控矩陣能夠有效地實現(xiàn)安全要求、任務(wù)執(zhí)行、監(jiān)督檢查、整改跟蹤、量化評價的管理閉環(huán)，從而能夠有效地解決企業(yè)網(wǎng)絡(luò)安全合規(guī)管控工作所面臨的重大挑戰(zhàn)。

如表1所示，網(wǎng)絡(luò)安全管控矩陣由合規(guī)矩陣、映射矩陣、資產(chǎn)矩陣、檢查矩陣、責(zé)任矩陣5個部分組成，相互關(guān)聯(lián)映射，將企業(yè)各信息資產(chǎn)所需要遵循的網(wǎng)絡(luò)安全合規(guī)要求落實到具體的部門和個人。

2.1 合規(guī)矩陣

將企業(yè)所需要遵循的網(wǎng)絡(luò)安全合規(guī)標準制度進行融合和分解，拆分成一個個合規(guī)項，并根據(jù)合規(guī)項所適用的信息資產(chǎn)類型進行分類，針對不同類型的信息資產(chǎn)梳理所需要遵循的合規(guī)項，結(jié)合資產(chǎn)類型特點將合規(guī)項細化到實施步驟，以解決合規(guī)要求難以落實執(zhí)行的問題。合規(guī)矩陣關(guān)鍵屬性包括合規(guī)項編號、合規(guī)項名稱、合規(guī)項描述、資產(chǎn)類型、實施步驟等。

2.2 映射矩陣

提供合規(guī)矩陣與企業(yè)內(nèi)外部標準制度的映射關(guān)系，將合規(guī)項與內(nèi)外部標準制度一一映射，確保沒有遺漏。同時，為了方便執(zhí)行人員、檢查人員，映射矩陣應(yīng)提供對應(yīng)的內(nèi)外部標準制度要求項的鏈接，這要求企業(yè)建設(shè)內(nèi)外部標準制度數(shù)據(jù)庫。映射矩陣關(guān)鍵屬性包括合規(guī)項編號、內(nèi)外部標準制度編號、內(nèi)外網(wǎng)標準制度要求鏈接等。

2.3 資產(chǎn)矩陣

資產(chǎn)矩陣即企業(yè)信息資產(chǎn)清單，是企業(yè)信息化建設(shè)和管理的基礎(chǔ)，為企業(yè)管理者提供企業(yè)信息資產(chǎn)全圖。資產(chǎn)與合規(guī)矩陣通過資產(chǎn)類型進行映射，將形成每個信息資產(chǎn)所需要遵循和執(zhí)行的合規(guī)項清單。執(zhí)行人員只需要按照合規(guī)性清單上每個合規(guī)項的實施步驟一一進行合規(guī)執(zhí)行，就能夠有效地確保合規(guī)要求的落實執(zhí)行，同時也解決了大型國有企業(yè)下級單位網(wǎng)絡(luò)安全人才隊伍參差不齊所帶來的合規(guī)執(zhí)行問題。資產(chǎn)矩陣關(guān)鍵屬性包括資產(chǎn)編號、資產(chǎn)類型、資產(chǎn)名稱等。

2.4 檢查矩陣

檢查矩陣與合規(guī)矩陣一一映射，通過資產(chǎn)類型與資產(chǎn)矩陣形成合規(guī)檢查清單，并且提供各個資產(chǎn)的各個合規(guī)項的檢查步驟，能夠有效地解決合規(guī)管控監(jiān)督檢查難的問題。檢查矩陣關(guān)鍵屬性包括檢查項編號、檢查項、檢查步驟、合規(guī)項編號、資產(chǎn)類型。

2.5 責(zé)任矩陣

將合規(guī)管理、執(zhí)行和檢查的責(zé)任落實到部門甚至個人，矩陣關(guān)鍵屬性包括合規(guī)項編號、檢查項編號、資產(chǎn)類型、資產(chǎn)編號、管理責(zé)任人、執(zhí)行責(zé)任人、檢查責(zé)任人。

3 網(wǎng)絡(luò)安全管控矩陣管理業(yè)務(wù)流程

基于網(wǎng)絡(luò)安全管控矩陣，能夠高效地實現(xiàn)安全管控的安全要求、任務(wù)執(zhí)行、監(jiān)督檢查、整改跟蹤、量化評價管理閉環(huán)。

應(yīng)用PDCA循環(huán)，如圖1所示，網(wǎng)絡(luò)安全管控矩陣的管理業(yè)務(wù)流程由計劃、執(zhí)行、檢查、執(zhí)行、改進4個階段組成，建立計劃、執(zhí)行、檢查、改進的管理閉環(huán)，支撐網(wǎng)絡(luò)安全合規(guī)管控閉環(huán)，每次循環(huán)都有效提升安全合規(guī)管理水平，最終實現(xiàn)網(wǎng)絡(luò)安全管理水平的持續(xù)螺旋式提升。

3.1 計劃

計劃階段主要工作包括：收集梳理企業(yè)相關(guān)安全標準制度，建立安全制度庫，形成公司安全合規(guī)管控的根本依據(jù)；基于企業(yè)資產(chǎn)臺賬等數(shù)據(jù)，建立信息資產(chǎn)矩陣；基于安全制度庫，分項梳理各項合規(guī)要求所覆蓋的資產(chǎn)類型，根據(jù)資產(chǎn)類型特點形成合規(guī)要求的執(zhí)行方法和檢查方法，建立合規(guī)矩陣，并通過映射矩陣與安全制度庫進行對應(yīng)，防止疏漏。

3.2 執(zhí)行

執(zhí)行階段，基于合規(guī)矩陣、資產(chǎn)矩陣，將各個信息資產(chǎn)所涉及的合規(guī)項分配到具體的部門甚至個人，明確執(zhí)行責(zé)任人、檢查責(zé)任人和管理責(zé)任人，從而建立責(zé)任矩陣，并下發(fā)到相關(guān)責(zé)任人。執(zhí)行責(zé)任人根據(jù)責(zé)任矩陣，按照合規(guī)矩陣所提供的執(zhí)行步驟依次進行合規(guī)執(zhí)行；檢查責(zé)任人根據(jù)責(zé)任矩陣，按照檢查矩陣所提供的執(zhí)行步驟依次進行執(zhí)行檢查；管理責(zé)任人監(jiān)督上述執(zhí)行、檢查工作。

3.3 檢查

檢查階段，包括安全制度庫的更新檢查、合規(guī)矩陣的執(zhí)行檢查。安全制度庫的更新檢查，持續(xù)關(guān)注國家、行業(yè)及公司相關(guān)合規(guī)制度標準的發(fā)布、修編、廢止等修正；合規(guī)矩陣的執(zhí)行檢查，對企業(yè)所有信息資產(chǎn)所涉及的合規(guī)要求項進行全面的排查，形成合規(guī)風(fēng)險視圖，提出改進意見。

3.4 改進

改進階段，基于改進意見進行改進，主要包括基于制度更新的改進、基于檢查的改進。制度更新的改進，依據(jù)國家、行業(yè)及公司相關(guān)合規(guī)制度標準的更新，修訂改進安全合規(guī)矩陣以及對應(yīng)的檢查矩陣，并重新修訂和分配合規(guī)責(zé)任；基于檢查的改進，依據(jù)合規(guī)執(zhí)行檢查結(jié)果，明確落實整改責(zé)任，改進合規(guī)執(zhí)行情況，一般不對合規(guī)矩陣進行修訂。如果在執(zhí)行過程中發(fā)現(xiàn)合規(guī)矩陣、檢查矩陣存在不符合實際的情況，則進行合規(guī)矩陣的修訂。

4 結(jié)語

隨著網(wǎng)絡(luò)安全形勢日趨嚴峻，網(wǎng)絡(luò)安全的重要性也越來越得到國家各級相關(guān)部門的重視，網(wǎng)絡(luò)安全建設(shè)已經(jīng)成為企業(yè)管理的重要組成部分，其中安全合規(guī)管控更是重中之重。由于種種原因，大型國有企業(yè)的安全合規(guī)管控任務(wù)非常重大，而且面臨著合規(guī)管控要求多、合規(guī)要求落實執(zhí)行難、合規(guī)要求監(jiān)督檢查難等問題。本文遵循PDCA循環(huán)，引入內(nèi)控矩陣的思想，提出了一種網(wǎng)絡(luò)安全合規(guī)管控矩陣方法，已經(jīng)初步應(yīng)用于實際合規(guī)管理工作，取得良好的效果。初步實踐證明，該方法能夠有效地形成網(wǎng)絡(luò)安全合規(guī)管控安全要求、任務(wù)執(zhí)行、監(jiān)督檢查、整改跟蹤、量化評價的管理閉環(huán)，能夠有效地解決大型國有企業(yè)網(wǎng)絡(luò)安全合規(guī)管控所面臨的問題。

參考文獻

[1]鄧雄榮.供電企業(yè)信息安全多標準合規(guī)管控體系研究與實踐[J].現(xiàn)代計算機，2015（06）：46-50.

[2]孔令南，譚智，楊果.中國移動云南公司信息安全合規(guī)管控平臺建設(shè)研究[J].電信工程技術(shù)與標準化，2012（12）：36-39.

[3]李棟.將信息安全指標納入企業(yè)績效考核的實踐[J].信息安全與技術(shù)，2014（08）：4-6.

[4]張濱.電信企業(yè)信息安全合規(guī)管理體系研究[J].電信工程技術(shù)與標準化，2012（12）：1-6.

作者簡介

楊震乾（1976-），男，云南省昆明市人。學(xué)士學(xué)位。研究方向為網(wǎng)絡(luò)技術(shù)、網(wǎng)絡(luò)安全、信息安全技術(shù)。

作者單位

中國南方電網(wǎng)有限責(zé)任公司云南電網(wǎng)有限責(zé)任公司 云南省昆明市 650000