對電信運營商而言，高度信息化是企業一切業務、管理和運營活動的基礎之一。國家出臺了很多信息安全的法律法規，信息產業部已將安全與業務準入掛鉤，隨著此項工作的深化，對電信運營商的要求會越來越高。與此同時，海外政府、資本市場提出的新監管要求(如:薩班斯-SOX法案)的強制執行都要求運營商進一步遵守安全內控要求。

　　放眼電信市場，各大運營商的“轉型”都在尋找新的藍海，IT與電信迅速融為一體成為ICT，而IT為傳統通信產業注入無限活力的同時，也引發了大量安全問題，能否解決這些安全問題，成為運營商與競爭對手拉開差距的關鍵，并已成為新的業務增長點。在此背景下，各大運營商需要建立完善的信息安全管理體系(ISMS)，通過國際權威機構的安全認證，并不斷鞏固完善，旨在贏得國內外客戶的信任與國際資本市場的青睞，為企業的持續健康發展保駕護航。

　　相關國際標準與法案

　　作為建立信息安全管理體系(ISMS)的重要規范，BS7799標準被ISO組織采納后，衍生為ISO 17799《信息安全管理實施細則》和ISO 27001《信息安全管理體系規范》。ISO 17799是建立并實施信息安全管理體系的指導性標準，ISO 27001是對信息安全管理體系進行審核的依據性標準。獲得ISO 27001認證是企業擁有完善的信息安全管理體系的象征。

　　ISO 27001標準詳細說明了建立、實施和維護信息安全管理體系的要求，指出實施機構應該遵循的風險評估標準，其核心是PDCA(Plan-Do-Check-Act)模型。

　　薩班斯(SOX)法案是另一部更加具有國際性影響的規章，始創于 2002 年，由美國

　　SOX法案中以404條款影響最大，該條款規定:公司管理層要對公司內控及財務會計報表的制定和編制的有效性、真實性負責，公司必須聘請外部

　　SOX法案的核心要求是規避風險、完善內部控制。由于現代企業的運作越來越依賴于IT系統，以致于IT控制成為企業內部控制的重要組成部分。SOX法案中重點要求 CEO 和 CFO 必須證明其公司擁有適當的內部控制，如果維護財務數據的系統是不安全的，則高層管理人員很難擔保數據的有效性，也很難擔保其內部控制的可靠性，因此，內部控制已擴展至法律需求的范疇。

　　ISO 17799/27001與定義信息治理進程的COBIT標準和COSO框架共同健全了薩班斯法案中與安全和內控審計相關的404條款。

　　啟明星辰安全認證、咨詢服務解決方案

　　啟明星辰公司積極參照ISO 17799/27001和COBIT為客戶提供安全認證、咨詢服務，最終達到符合SOX法案的要求。同時我們也意識到，安全認證的真正目的不僅僅是為了獲得證書，更重要的是建立切實的網絡和業務安全體系，幫助運營商爭取更多的用戶，特別是高端的國際型用戶與投資，在此基礎上，將SOX內控審計落實到具體的運營工作中、塑造卓越的運維隊伍、驅動更大的經濟效益。

　　應該看到，安全管理具有宏觀、中觀和微觀三重層次，ISO 27001在宏觀安全管理體系規劃方面有很好的定義，但中觀調整、特別是微觀實現方面實際上是留待各實施機構根據各自情況自行解決，換句話說，ISO 27001偏重從宏觀角度提供理論指導。執行ISO 27001、符合ISO 27001，必須結合運營商的主業、從中觀和微觀角度加以落實。

　　啟明星辰公司為運營商提供立體的ISO 27001防御體系，涉及宏觀規劃和監控、中觀整合加固、微觀技術實現，每個層面上又縱深提供評估服務、應急服務、技術培訓和技術支撐，真正做到將ISO 27001認證落實到安全運維人員每天可執行的技術、工具、平臺、流程、規章等各個層次。

　　收益

　　啟明星辰公司承諾所提供的安全認證、咨詢服務針對運營商的不同系統量體裁衣，協助運營商除獲得認證證書之外，落實并鞏固安全認證成果，包括:

　　制定切實可操作的安全規范與安全策略;

　　實施網絡安全優化方案;

　　對系統進行深層次的安全評估并提交安全加固建議;

　　提供電信級應急響應服務;

　　提供專業的安全管理和安全技術培訓;

　　實施全面的安全監控。

　　閱讀關于 安全 啟明星辰 的全部文章