ISO 27001安全認證助電信運營商面對SOX法案

對電信運營商而言，高度資訊化是企業一切業務、管理和運營活動的基礎之一。 國家出臺了很多資訊安全的法律法規，資訊產業部已將安全與業務准入掛鉤，隨著此項工作的深化，對電信運營商的要求會越來　越高。 與此同時，海外政府、資本市場提出的新監管要求（如：薩班斯－SOX法案）的強制執行都要求運營商進一步遵守安全內控要求。

放眼電信市場，各大運營商的「轉型」都在尋找新的藍海，IT與電信迅速融為一體成為ICT，而IT為傳統通信產業注入無限活力的同時，也引發了大量安全問題，能否解決這些安全問題，成為運營商與競爭對手拉開差距的關鍵， 並已成為新的業務增長點。 在此背景下，各大運營商需要建立完善的資訊安全管理體系（ISMS），通過國際權威機構的安全認證，並不斷鞏固完善，旨在贏得國內外客戶的信任與國際資本市場的青睞，為企業的持續健康發展保駕護航。

相關國際標準與法案

作為建立資訊安全管理體系（ISMS）的重要規範，BS7799標準被ISO組織採納後，衍生為ISO 17799《資訊安全管理實施細則》和ISO 27001《資訊安全管理體系規範》。 ISO 17799是建立並實施資訊安全管理體系的指導性標準，ISO 27001是對資訊安全管理體系進行審核的依據性標準。 獲得ISO 27001認證是企業擁有完善的資訊安全管理體系的象徵。

ISO 27001標準詳細說明了建立、實施和維護資訊安全管理體系的要求，指出實施機構應該遵循的風險評估標準，其核心是PDCA（Plan-Do-Check-Act）模型。

薩班斯（SOX）法案是另一部更加具有國際性影響的規章，始創于 2002 年，由美國證券交易委員會（SEC）提交，是一部旨在消除企業財務欺詐行為和弊端的歷史性法案，它要求在美國上市的所有企業必須通過該法案審核。

SOX法案中以404條款影響最大，該條款規定：公司管理層要對公司內控及財務會計報表的制定和編制的有效性、真實性負責，公司必須聘請外部審計師對公司內控和財務報表進行獨立審計並出具審計結果。

SOX法案的核心要求是規避風險、完善內部控制。 由於現代企業的運作越來越依賴于IT系統，以致于IT控制成為企業內部控制的重要組成部分。 SOX法案中重點要求 CEO 和 CFO 必須證明其公司擁有適當的內部控制，如果維護財務資料的系統是不安全的，則高層管理人員很難擔保資料的有效性，也很難擔保其內部控制的可靠性，因此，內部控制已擴展至法律需求的範疇。

ISO 17799/27001與定義資訊治理進程的COBIT標準和COSO框架共同健全了薩班斯法案中與安全和內控審計相關的404條款。

啟明星辰安全認證、諮詢服務解決方案

啟明星辰公司積極參照ISO 17799/27001和COBIT為客戶提供安全認證、諮詢服務，最終達到符合SOX法案的要求。 同時我們也意識到，安全認證的真正目的不僅僅是為了獲得證書，更重要的是建立切實的網路和業務安全體系，説明運營商爭取更多的使用者，特別是高端的國際型使用者與投資，在此基礎上，將SOX內控審計落實到具體的運營工作中、 塑造卓越的運維隊伍、驅動更大的經濟效益。

應該看到，安全管理具有宏觀、中觀和微觀三重層次，ISO 27001在宏觀安全管理體系規劃方面有很好的定義，但中觀調整、特別是微觀實現方面實際上是留待各實施機構根據各自情況自行解決，換句話說，ISO 27001偏重從宏觀角度提供理論指導。 執行ISO 27001、符合ISO 27001，必須結合運營商的主業、從中觀和微觀角度加以落實。

啟明星辰公司為運營商提供立體的ISO 27001防禦體系，涉及宏觀規劃和監控、中觀整合加固、微觀技術實現，每個層面上又縱深提供評估服務、應急服務、技術培訓和技術支撐，真正做到將ISO 27001認證落實到安全運維人員每天可執行檔技術、工具、平臺、流程、規章等各個層次。

收益

獲得認證證書之外，落實並鞏固安全認證成果，包括：

制定切實可操作的安全規範與安全性原則；

實施網路安全優化方案；

對系統進行深層次的安全評估並提交安全加固建議；

提供電信級應急回應服務；

提供專業的安全管理和安全技術培訓；

實施全面的安全監控。