电信运营商不断推出的新业务及业务组合需要信息系统的支撑,更需要完善的风险管控手段作为安全保障。
激烈的市场竞争及严峻的国际化挑战,让电信运营商面临的安全及风险管控问题不断增加,同时,新技术不断出现也带来了更多新威胁和新挑战。对于高度依赖信息技术的电信运营商来说,如何识别及管理IT风险,是电信运营商在其进行风险管控过程中必须要重点考虑的因素。
风险控制及考量
基于电信运营商的行业特性,其对IT风险的管控也存在着其独特性,需要在风险管理的过程中对这些因素加以着重考虑。
首先,对信息系统的风险控制需要满足业务快速发展的需要。作为电信运营商,在发展业务和开拓新市场的过程中,不仅需要提供不同种类的业务,同时还要提供不同的业务组合模式、计费模式和服务模式,这些均离不开信息系统的支撑和配合,信息系统需要随着业务的变化而不断改变。因此,如何让各信息系统在稳定运行并有效支持业务经营的同时,实施适当的控制以配合业务风险管理目标的实现,是电信运营商必须应对的挑战之一。
其次,复杂的信息系统带来信息安全管理挑战。信息系统是企业的重要资产,它们保存和处理各种数据,为业务提供支持。由于电信业务极大地依赖于信息系统,同时一些系统中还保存着客户的重要个人信息,因此如何采用适当的技术和管理手段,保护重要信息资产的安全,对于电信运营商来说尤为重要。尤其是随着多种流行技术的普及,比如Internet、Web应用、拨号连接、VPN、无线网络、手持式设备、语音系统、即时消息等,都为攻击者提供了更多进攻途径。
第三,政策和法律法规对信息安全的要求不断提高。国内电信市场已经从政策驱动型向市场驱动型发展,政府出台的很多政策的出发点都是市场规则和条件。可见,随着国内法律法规的不断完善,对电信运营商将会有更严格的监管要求,对于IT风险管理方面也会带来更大挑战。
第四,以信息、数据为中心,从偏重保密性的安全风险管理向全面的保密性、完整性、可用性风险管控发展。多年以来,信息安全被电信运营商视为防御性战略方案,前期大规模的投入往往仅是为了单一的保证机密信息的安全性。近几年,随着信息与数据风险事件逐渐增多且不断复杂化,运营商不得不投入更多的资金运用在对数据的可用性、完整性的风险管理上,比如保障信息服务和数据的准确及时、服务的不间断等要求; 此外,利用“僵尸”网络、“傀儡”主机等进行的大流量、跨区域的有组织攻击行为,也对电信运营商的数据、服务、系统的高可用性提出更高的要求。
由于电信运营商除了具有一般企业的属性以外,同时承担了服务于国计民生的国家基础设施的属性,这种行业属性决定了电信运营商的IT风险不仅仅是专注于某一个方面的风险,从风险管理规划到实施必然需要进行全面的风险管理。
第五,风险管控与投资回报要保持平衡。任何的管控措施与技术方案都需要一定规模的资源投入,在电信运营商IT风险管理建设初期,更多投资集中在设备、软硬件产品的采购、部署等“硬性”投入上,这些更多可以看做是风险管控的基础性投入。而随着风险管控应用水平的提高与不断深入,对风险管控环境、管控体系等“软性”投入逐渐增多,同时对资源的使用与资本的投入更趋于理性。
通过长时间的实践,电信运营商中的IT管理者们发现通过有效管控IT风险可以促进关键性业务的创新,如加快创新与协作以及降低合规性成本等,还可以在更大层面上确保项目投资的成功率,同时也可以起到对关键业务发展的促进和保障作用。
总而言之,IT风险管控是一个以信息、数据、系统为中心的战略措施,它可以根据需求明确风险管理的关注点与核心领域,评估整个运营商所面临的IT风险是什么,以及如何考虑IT风险管理投资的优先次序,从而有效推动运营商业务的发展。
存在问题及分析
随着IT技术与电信技术的融合,电信运营商的核心网络向IP化、宽带化和移动化的方向发展。一方面,通信网络各个层面之间互相渗透、互相融合; 另一方面,网络的承载、控制、业务层逐渐分离的趋势也越来越明显。因此,电信运营商面临的IT风险及安全问题已经不仅仅是IT本身的问题,而是更多地融入到了业务与日常管理风险中。
首先,在自然灾害、人为攻击面前,电信运营商系统的可用性、完整性受到了严重威胁。由于电信运营商的行业特性,要求信息、数据、系统、服务具有高可用性和完整性,因此对于风险与威胁的评估、管理以及应对方案都要做到未雨绸缪。此外,在对一般性技术、管理风险进行管控的同时,还要对业务的持续性风险进行有针对性的处理,结合风险发生的可能性与影响程度对IT风险进行全局化的评估与分析。
其次,由于业务对IT系统及技术的高度依赖,使得IT风险与业务风险具有高度相关性,因此传统的IT风险与业务风险分隔管理的局面需要进行调整和整合。目前,在运营商内部,一般IT风险由IT部门负责,业务风险则由各个业务部门负责。在最初的风险管理模式中,这种方式可以保障风险责任的明确以及管控措施的落实,但随着业务对IT逐步增强的依赖度和IT与业务的不断渗透与整合,IT风险管理需要全局的视角和全生命周期的管理方式,因此就需要“跳出”IT本身的风险管理模式,真正做到从业务全局的高度来评估和处理IT风险。IT不再仅仅是一个工具、技术与手段,更是业务战略成功的重要因素。
最后,IT风险的复杂性有增无减。由于系统的不断部署,新设备、新技术的不断应用,电信运营商的IT网络、系统变得更为复杂,高异构性导致IT风险日益增加。不同的厂商、不同的设备、不同的系统、不同的应用体系等都导致在出现问题时,识别与解决问题的压力增大。这就要求运营商在进行有效的业务、技术发展规划的同时,还需要重视并构建有效的内部管理流程与体系,让日常管理与应急响应互为补充,并规范化操作的业务管理活动。
总之,由于电信运营商的服务、系统涉及大量用户隐私数据与信息,无论是技术漏洞还是人为泄露,都可能引起IT、业务、法律等风险,虽然这可能已经超出一般的IT技术范畴,但无论是发生的源头还是风险管控的对象都离不开信息技术与信息系统。账号管理、权限管理、职责分离、技术标准化、运维管理、信息安全管理、外包与供应商管理、系统开发与变更管理等内容的IT风险管理措施成为有效的管控手段。
解决方案及建议
前面提到,IT风险管理已经不仅仅是IT的问题,因此首先要做到全盘规划。也就是说,应该以全局、业务、战略的视角对IT风险进行重新认识,借助IT治理的思路与方法,构建符合行业特点与自身实际需要的IT风险治理格局,并从战略、管理、操作的层面,以技术、流程、人员、基础设施为维度构建全面的IT风险管控与治理体系。
其次,应该全面、客观、动态地进行IT风险评估活动。“知己知彼,百战不殆”,要想有效地管理IT风险,首先要对IT风险的特性和电信运营商的实际IT风险结构与环境进行评估和识别,只有透过一个个孤立的、表层的事件,找出IT风险的根源与关联才能有效地、高效地对IT风险进行管理和应对。同时,IT风险评估活动也是一个动态的过程,随着业务、环境、技术的不断变化,需要动态地对IT风险进行评估,并及时更新与之对应的风险管控措施。
第三,做好全面信息安全风险管理。在关注信息技术保密性风险的同时,对可用性、完整性风险也要给与足够重视,在特定的系统、数据、服务中,通过适当的风险评估,对各个风险属性的重要性等级进行适当分析与排序。此外,还要充分理解业务与数据对不同风险属性在不同时期的需求程度。
第四,加强运维管理与IT服务管理。由于电信运营商IT系统、环境的复杂性,往往存在数量庞大、异构化、分散管理的IT设备、服务器及应用系统,同时还存在同样数量庞大、物理分散、子公司多头管理的运维和管理团队。为了降低这方面的IT风险,建议整合IT资源,对IT管理架构、人员职责组成、IT管理流程、汇报机制等内容进行优化与统一。
第五,业务持续性管理。业务持续性管理(BCM)是指制定战略方针、计划与行动方案,在企业面临业务中断时,为企业提供必要的保护或可替代的运营模式。在经历了数据恢复计划(DRP)、业务持续性计划(BCP)之后,目前全面的业务持续性管理已经被大多数企业和机构接受,作为这方面的领先者与倡导者,电信运营商对此有着足够的认识,并已经部署了大量的设备、系统,还制定了一定的行动计划。
第六,将IT审计作为IT风险管理的手段之一。现在,IT审计越来越受到企业的重视,在风险的预防、检测、发现、监督等方面,IT审计都能起到非常重要的作用。电信运营商可以通过以风险为导向的IT内部审计和全生命周期的IT审计实现对IT管理、技术实施、项目管理、信息安全、业务持续性管理、应用系统风险管理、合规性等方面的监督与测试。
综上所述,电信运营商的IT风险既具有一般的IT风险共性又存在由于行业、业务特征不同所产生的特性,因此需要依靠运营商自身的管理能力与资源,在国家主管机构与行业监管机构的共同推动下,形成对IT风险管理的合力,从而实现对IT风险的有效和高效管理,并保障电信运营商对IT投资收益的最大化。
