论文部分内容阅读
摘 要:互联网、大数据、云计算等新技术的迅猛发展带来了科技与社会进步红利的同时,也引发了用户信息泄露问题。作为掌控用户信息的大户,通信企业必须建立信息安全综合管控长效机制,落实组织、人员、制度、措施保障,实现对用户信息的有效保护。
关键词:用户信息 保护 管理体系
随着互联网、移动互联网、物联网、云计算的兴起及移动智能终端的快速普及,人类社会的数据增长量前所未有。在人们享受信息社会红利的同时,不可避免地遭遇了用户信息保护的挑战。近年来,因用户数据泄露而引发的信息安全事件,成为危害企业与用户安全,甚至国家安全的隐患。对于拥有数以亿计用户的通信企业而言,如何有效保护用户信息是摆在面前的重要课题。
一、通信企业用户信息保护的现状与问题
1.通信企业用户信息的基本定义。个人信息就是反映个体特征的具有可识别性的符号系统,包括个人身份、工作、家庭、财产、健康等信息。对通信企业而言,“用户信息”主要包含用户个人基本信息(如:姓名、身份证号码、电话号码、家庭住址)、消费记录(如:增值业务订购关系、通话话单)、通信内容(如:短信文字)、日志信息(如:用户位置、上网记录)等。
2.信息安全形势极其严峻。 从席卷全球的“WannaCry”勒索病毒,到卷土重来的“暗云Ⅲ”病毒,再到升级传播手段的“Petya”勒索病毒;从徐玉玉案引发大众对电信诈骗的关注,到清华教授被骗上千万,再到近期备受关注的“善心汇”,国内各类网络安全事件频发,互联网安全形势日益严峻。互联网法治研究中心发布的《中国个人信息安全和隐私保护报告》显示,超七成受访者认为个人信息泄露问题严重;近三成受访者每天收到2条以上的垃圾短信和2个以上的骚扰电话;超八成受访者经历过知道自己的姓名或单位等个人信息的陌生来电;租房、购房、车险、购车、升学等信息泄露后被营销骚扰或诈骗高达36%。
3.政策法规对个人信息保护提出严格要求。今年6月1日,《网络安全法》正式实施,对网络和信息安全工作提出更高要求,并明确提出“网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度”。《刑法修正案》确定了“出售、非法提供公民个人信息罪”、“非法获取公民个人信息罪”等罪名将公民个人信息纳入刑法保护范畴。工业与信息化部从管理角度出发,要求通信企业高度重视用户信息安全工作,把用户信息保护作为关系行业健康发展和企业诚信建设的重要工作抓好抓實。
4.企业内部规范管理要求加强用户信息保护。通信企业拥有庞大用户群,不仅握有海量的公众用户信息,还涉及大量的商务用户及党政军等敏感用户信息。用户信息保护工作不仅关系到企业形象,更会关联到国家安全和社会稳定。因此,用户信息保护工作贯穿生产经营全过程,涉及各业务部门和操作现场;必须实现从分散式布防到主动式防控的转变,建立用户信息保护动态管理体系。
二、通信企业建立用户信息保护动态管理体系的思路设计
通信企业应搭建用户信息保护“三全三防”动态管理体系,在产品运营全过程中,针对关键责任点和风险点,建立“全方位、全员、全过程”的“三全”组织、人员与制度保障;在用户信息数据流全周期中,针对关键监控点,实施“人员素质防护、物理环境防护、技术体系防护”的“三防”措施保障;结合监督考评机制实现综合管控成效的动态提升,达到“集中管理、分级保障、全程监控、主动预警、动态演进”的整体目标。
1.变“常识防护”为“责任防护”,掌控运营环节。搭建 “全方位+全员”的用户信息保护三级架构,对应设置三级监督人员,将责任落实到岗到人,实现统一管理和分级负责;再对产品运营四个环节的关键风险点进行“全过程”管理,分层落实四级规章制度,实现 “三全”管控成效。
2.变“分段防控”为“体系防控”,保护数据安全。围绕用户信息数据流的不同阶段制定人员素质防护及物理环境防护措施,并搭建 “信息安全技术体系”,从认证、访问、内容、审计、备份五个维度入手,将通信数据的五个层面与用户数据周期的五个阶段相结合,实现 “三防”管控成效。
3.变“个案评估”为“模板评估”,动态提升成效。通过评估工具,区别对待不同情况,指导产品运营;同时,通过双重考核机制、事件通报、风险预警、巡检调研、变更自适应等手段,提升全员的安全意识与系统平台的防控能力,从而使用户信息保护工作进入良性循环。
三、通信企业构建用户信息保护管理体系的主要做法
1.组织架构实现“全方位、全员”保障。组建三级管理体系架构:第一级为跨部门工作组,负责制定分管策略,检查日常工作,协调应急处置,开展调研培训。第二级为各归口业务部门,落实管理策略,开展工作自查,配合处置相关事件并及时上报。第三级设在生产一线各个关键工作组,贯彻执行管理规范,迅速落实事件处置要求。三级架构使用户信息保护工作横跨了公司业务管理、网络运维、营销服务等各个领域,享有最高优先级。
2.制度约束实现“全过程”管控。
2.1在规划开发环节做好预防。规划环境涉及产品设计、开发伙伴引入或合作伙伴引入、平台支撑等。通过向合作伙伴提出质量管理、销售管理以及信用评价管理条款,建立准入机制、考核退出机制、违约处置机制规避合作伙伴泄露用户隐私以及平台设计漏洞导致用户数据被窃的风险。
2.2在营销推广环节加强管制。在业务协议中签署《信息安全责任书》和《客户信息保密及留存管理办法》,在客户资料的录入、审核、归档、借阅、入库等环节设置管控点,在考核标准中设置安全参数,明确各部门关联责任及用户信息经手人员的操作规范。
2.3在运行维护环节实施保护。明确规定账号管理、口令管理、日常维护安全管理及文档管理要求;在确立机构、人员、职责关系的同时,对用户信息保护相关的物理和环境安全、人员安全、通信与操作安全、访问控制、风险管理、系统开发和维护、业务连续性及安全评估提出要求和考核办法。
3.“三防”实现“零盲区”成效。用户信息以数据流的形式存在,分为收集、存储、传输、使用、销毁五个阶段。需要从“人员素质防护、物理环境防护、技术体系防护”入手,最大限度防范用户信息泄露,扫除管控盲区,及时消除隐患。
3.1“人防”双管齐下提升团队素质。“人防”主要指增强员工安全意识,提升业务素质,规范操作流程。一方面加强全员教育培训,为信息安全相关从业人员提供安全体系架构、安全防护策略等基本业务常识及技能知识。另一方面强化制度约束,通过劳动合同的保密责任、关键敏感岗位人员签署保密协议、重大事件回溯追责等措施强化团队安全素质。
3.2“物防”三级布设保障基础安全。“物防”主要涉及物理环境安全及设备安全。第一要求员工持有长期准入证件、短期工作或维修人员临时证件、参观人员陪同要求、重点区域门禁控制及登记制度等;第二要求机房入口限制及应急通道、入场操作人员随身物品及数据记录介质的管理、高安全级别操作平台的自动识别登记系统、核心区域的特别授权准入等;第三要求机房区域管理及隔离、实时监控等。
3.3“技防”五维体系保护数据流转。“技防”主要指通过综合技术手段的应用。在考虑到承受外部攻击的同时,更要考虑内部安全设置。建立包括身份认证、访问控制、内容安全、监控审计以及备份恢复的用户信息安全技术防护体系。
4.评估体系实现管控成效动态提升。用户信息保护工作并不是纯制度约束的,而是动态演进的。主要举措为执行年度风险管控及季度风险通报制度,执行信息安全月报制度,执行信息安全重大事件通报制度,执行企业危机公关制度,发布调研成果及问题预警,针对环境变更及时调整策略。
在用户信息保护体系中,人员、机构、技术手段、平台能力、业务规则等要素处于动态调整之中,这就需要管理体系具备“变更自适应”能力,由各归口部门及时更新相关制度规范和操作规程,对下做好业务自检及系统重新评测,对上做到信息通达,同步刷新各级规章制度,以确保“三全三防”的适用性和有效性,实现动态演进。
作者简介:伍霞(1982.01—)女。籍贯:安徽省六安市。学历:硕士研究生。毕业学校:南京大学。职称:经济师。研究方向:经济管理。
关键词:用户信息 保护 管理体系
随着互联网、移动互联网、物联网、云计算的兴起及移动智能终端的快速普及,人类社会的数据增长量前所未有。在人们享受信息社会红利的同时,不可避免地遭遇了用户信息保护的挑战。近年来,因用户数据泄露而引发的信息安全事件,成为危害企业与用户安全,甚至国家安全的隐患。对于拥有数以亿计用户的通信企业而言,如何有效保护用户信息是摆在面前的重要课题。
一、通信企业用户信息保护的现状与问题
1.通信企业用户信息的基本定义。个人信息就是反映个体特征的具有可识别性的符号系统,包括个人身份、工作、家庭、财产、健康等信息。对通信企业而言,“用户信息”主要包含用户个人基本信息(如:姓名、身份证号码、电话号码、家庭住址)、消费记录(如:增值业务订购关系、通话话单)、通信内容(如:短信文字)、日志信息(如:用户位置、上网记录)等。
2.信息安全形势极其严峻。 从席卷全球的“WannaCry”勒索病毒,到卷土重来的“暗云Ⅲ”病毒,再到升级传播手段的“Petya”勒索病毒;从徐玉玉案引发大众对电信诈骗的关注,到清华教授被骗上千万,再到近期备受关注的“善心汇”,国内各类网络安全事件频发,互联网安全形势日益严峻。互联网法治研究中心发布的《中国个人信息安全和隐私保护报告》显示,超七成受访者认为个人信息泄露问题严重;近三成受访者每天收到2条以上的垃圾短信和2个以上的骚扰电话;超八成受访者经历过知道自己的姓名或单位等个人信息的陌生来电;租房、购房、车险、购车、升学等信息泄露后被营销骚扰或诈骗高达36%。
3.政策法规对个人信息保护提出严格要求。今年6月1日,《网络安全法》正式实施,对网络和信息安全工作提出更高要求,并明确提出“网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度”。《刑法修正案》确定了“出售、非法提供公民个人信息罪”、“非法获取公民个人信息罪”等罪名将公民个人信息纳入刑法保护范畴。工业与信息化部从管理角度出发,要求通信企业高度重视用户信息安全工作,把用户信息保护作为关系行业健康发展和企业诚信建设的重要工作抓好抓實。
4.企业内部规范管理要求加强用户信息保护。通信企业拥有庞大用户群,不仅握有海量的公众用户信息,还涉及大量的商务用户及党政军等敏感用户信息。用户信息保护工作不仅关系到企业形象,更会关联到国家安全和社会稳定。因此,用户信息保护工作贯穿生产经营全过程,涉及各业务部门和操作现场;必须实现从分散式布防到主动式防控的转变,建立用户信息保护动态管理体系。
二、通信企业建立用户信息保护动态管理体系的思路设计
通信企业应搭建用户信息保护“三全三防”动态管理体系,在产品运营全过程中,针对关键责任点和风险点,建立“全方位、全员、全过程”的“三全”组织、人员与制度保障;在用户信息数据流全周期中,针对关键监控点,实施“人员素质防护、物理环境防护、技术体系防护”的“三防”措施保障;结合监督考评机制实现综合管控成效的动态提升,达到“集中管理、分级保障、全程监控、主动预警、动态演进”的整体目标。
1.变“常识防护”为“责任防护”,掌控运营环节。搭建 “全方位+全员”的用户信息保护三级架构,对应设置三级监督人员,将责任落实到岗到人,实现统一管理和分级负责;再对产品运营四个环节的关键风险点进行“全过程”管理,分层落实四级规章制度,实现 “三全”管控成效。
2.变“分段防控”为“体系防控”,保护数据安全。围绕用户信息数据流的不同阶段制定人员素质防护及物理环境防护措施,并搭建 “信息安全技术体系”,从认证、访问、内容、审计、备份五个维度入手,将通信数据的五个层面与用户数据周期的五个阶段相结合,实现 “三防”管控成效。
3.变“个案评估”为“模板评估”,动态提升成效。通过评估工具,区别对待不同情况,指导产品运营;同时,通过双重考核机制、事件通报、风险预警、巡检调研、变更自适应等手段,提升全员的安全意识与系统平台的防控能力,从而使用户信息保护工作进入良性循环。
三、通信企业构建用户信息保护管理体系的主要做法
1.组织架构实现“全方位、全员”保障。组建三级管理体系架构:第一级为跨部门工作组,负责制定分管策略,检查日常工作,协调应急处置,开展调研培训。第二级为各归口业务部门,落实管理策略,开展工作自查,配合处置相关事件并及时上报。第三级设在生产一线各个关键工作组,贯彻执行管理规范,迅速落实事件处置要求。三级架构使用户信息保护工作横跨了公司业务管理、网络运维、营销服务等各个领域,享有最高优先级。
2.制度约束实现“全过程”管控。
2.1在规划开发环节做好预防。规划环境涉及产品设计、开发伙伴引入或合作伙伴引入、平台支撑等。通过向合作伙伴提出质量管理、销售管理以及信用评价管理条款,建立准入机制、考核退出机制、违约处置机制规避合作伙伴泄露用户隐私以及平台设计漏洞导致用户数据被窃的风险。
2.2在营销推广环节加强管制。在业务协议中签署《信息安全责任书》和《客户信息保密及留存管理办法》,在客户资料的录入、审核、归档、借阅、入库等环节设置管控点,在考核标准中设置安全参数,明确各部门关联责任及用户信息经手人员的操作规范。
2.3在运行维护环节实施保护。明确规定账号管理、口令管理、日常维护安全管理及文档管理要求;在确立机构、人员、职责关系的同时,对用户信息保护相关的物理和环境安全、人员安全、通信与操作安全、访问控制、风险管理、系统开发和维护、业务连续性及安全评估提出要求和考核办法。
3.“三防”实现“零盲区”成效。用户信息以数据流的形式存在,分为收集、存储、传输、使用、销毁五个阶段。需要从“人员素质防护、物理环境防护、技术体系防护”入手,最大限度防范用户信息泄露,扫除管控盲区,及时消除隐患。
3.1“人防”双管齐下提升团队素质。“人防”主要指增强员工安全意识,提升业务素质,规范操作流程。一方面加强全员教育培训,为信息安全相关从业人员提供安全体系架构、安全防护策略等基本业务常识及技能知识。另一方面强化制度约束,通过劳动合同的保密责任、关键敏感岗位人员签署保密协议、重大事件回溯追责等措施强化团队安全素质。
3.2“物防”三级布设保障基础安全。“物防”主要涉及物理环境安全及设备安全。第一要求员工持有长期准入证件、短期工作或维修人员临时证件、参观人员陪同要求、重点区域门禁控制及登记制度等;第二要求机房入口限制及应急通道、入场操作人员随身物品及数据记录介质的管理、高安全级别操作平台的自动识别登记系统、核心区域的特别授权准入等;第三要求机房区域管理及隔离、实时监控等。
3.3“技防”五维体系保护数据流转。“技防”主要指通过综合技术手段的应用。在考虑到承受外部攻击的同时,更要考虑内部安全设置。建立包括身份认证、访问控制、内容安全、监控审计以及备份恢复的用户信息安全技术防护体系。
4.评估体系实现管控成效动态提升。用户信息保护工作并不是纯制度约束的,而是动态演进的。主要举措为执行年度风险管控及季度风险通报制度,执行信息安全月报制度,执行信息安全重大事件通报制度,执行企业危机公关制度,发布调研成果及问题预警,针对环境变更及时调整策略。
在用户信息保护体系中,人员、机构、技术手段、平台能力、业务规则等要素处于动态调整之中,这就需要管理体系具备“变更自适应”能力,由各归口部门及时更新相关制度规范和操作规程,对下做好业务自检及系统重新评测,对上做到信息通达,同步刷新各级规章制度,以确保“三全三防”的适用性和有效性,实现动态演进。
作者简介:伍霞(1982.01—)女。籍贯:安徽省六安市。学历:硕士研究生。毕业学校:南京大学。职称:经济师。研究方向:经济管理。