引入ISO27001 建立健全運營商云網網絡配置風險管理

［孫亞紅］

1 引言

規范網絡配置管理是有效支撐市場業務發展的重要前提，隨著云網網絡規模逐漸擴大，集約化運營步伐越來越快，各項工程建設、網絡優化、業務開通等涉及到網絡配置的工作在日常維護工作中所占的比例越來越大，給網絡帶來的風險及對用戶的影響也越來越嚴重，為了防范網絡配置對網絡及用戶的影響，在網絡配置工作中全面引入ISO27001 信息安全管理，加強各個關鍵點的控制，減少人為原因造成的網絡故障，增強網絡可用性，從企業服務能力向客戶感知方向轉變，提升客戶感知度。

2 網絡配置管理流程設計

2.1 引入ISO27001 加強風險管理

ISO27001/ISO27002 標準被信息界一直喻為“滴水不漏的信息安全管理標準”。標準從管理模型、信息安全管理性控制措施、信息安全技術性控制措施提出了一系列的要求，其中包括14 個安全控制章節，共含有35 個主要安全類別，以及113 項控制措施。

風險評估是信息安全管理體系建立的基礎，是對各方面風險進行辨識和分析的過程，風險評估的過程一般先從保密性、完整性、可用性三方面評估信息資產價值大小，再從信息資產本身的脆弱性、面臨的威脅兩個方面評估威脅利用脆弱性的可能性及造成的影響大小，最后通過一定的計算最終計算出風險的大小。

在全面理解風險評估含義的基礎之上，從云網各網絡的特性、網絡配置對網絡產生的故障大小、對重點政企客戶的影響性，制定了三重維度的風險評估準則，并對涉及云網網絡近400 多項網絡配置開展風險評估，定義風險等級級別，針對不同的風險級別定義不同的控制措施，統一規范事前網絡配置方案審核流程、事中全專業網絡配置作業流程、事后網絡配置審計流程，全面提升員工風險防范意識，規避業務變更、系統升級、數據配置等存在的風險并杜絕重大阻斷，如表1 所示。

表1 網絡配置風險等級表

2.2 建立網絡配置管理完整生命周期,建立點到點的配置流程

參照ISO27001 信息安全管理標準，建立網絡配置規程，明確任務派發、方案制定、方案審核、方案審批、方案執行、事后審計等關鍵環節規范，要求各專業通過整改，統一關鍵步驟、統一風險管控點、統一作業記錄規范，達到全專業網絡配置規范一致性的目標。

2.3 明確網絡配置各崗位的職責

網絡配置實施流程中明確了網絡配置各個崗位的職責，在實際網絡配置過程中，網絡維護人員根據承擔的職責完成網絡配置的流程。網絡配置實施流程中一般有網絡配置方案制作人、方案審核人及審批人，在此次網絡配置流程中新增了網絡配置任務派發人、網絡配置質監員，加強網絡配置的事前管控、事中審批、事后審計管理。

2.4 建立網絡配置的現場雙重確認機制，保留網絡配置的實時記錄

對于風險級別較高的網絡配置，開展現場雙重確認，減少網絡配置錯誤，并對網絡配置記錄開展實時記錄，包括事前設備的狀態記錄、事中的操作記錄、事后設備及業務的測試記錄；對于不能使用網管系統進行實時記錄的系統，采用DECMAP 記錄，使所有的網絡配置都可以回顧、可以審計。

2.5 建立網絡配置審計制度，多層監督管控

為了防范網絡配置人員在網絡配置過程中的松懈，建立了多重審計監督制度。在執行室由網絡配置質監員來負責實施，開展周期性檢查，落實安全方針與策略，及時發現網絡配置在技術、人員及流程方面存在的隱患，監督管理室對各執行室審計完成的內容進行再次審計并通報情況，有效提升各執行室的執行力。

2.6 全員風險意識培訓和宣貫

運營商網絡配置直接關系市場支撐和客戶感知，全面提升員工的風險防范意識和客戶服務意識是網絡配置安全的關鍵保證。梳理網絡配置中的關鍵控制點、在執行中的易錯點對一線維護人員開展宣貫，并采用卡通圖片等通俗易懂的方式闡述網絡配置中各個環節的控制關鍵點，從而提高維護人員日常網絡配置操作的安全意識 。

3 網絡配置信息化管理

在電子運行維護系統建立了網絡配置的模塊，實現了統一流程的管理，增強操作的可執行性、規范性。

3.1 網絡配置的流程執行

如圖1 所示。將網絡配置中任務派發、方案制作、方案審核、實施審批、方案執行、驗證歸檔確認流程固化到系統中，加強執行的可控性；對于每個環節的需要提交的記錄進行明確，減少操作人員的隨意行為。

圖1 網絡配置流程圖

3.2 網絡配置的查詢、統計與分析

根據管理職責的不同配置不同的查詢權限。具有全中心管理職能的科室能查詢所有工單，而專業室只能查詢到自己的工單，這加強了信息安全保密性；查詢功能模塊中設置了多維度查詢分析，如網絡配置級別、網絡配置人員等。

3.3 建立完善的審計流程

根據網絡配置級別抽取不同的級別的審計的工單數量，如高級100%，中級50%，低級30%，較低10%；網絡配置質監員對抽取出來的工單進行審計，并對審計中存在的問題進行分類，如是否為緊急工單、記錄上傳不齊全、分公司未上報測試結果等；將存在問題的工單直接轉給相關的人員進行處理；對審計的結果開展分類統計，按照科室、網絡、級別、存在問題的單數、產生問題的原因進行統計。

4 成效

通過引入ISO27001 建立健全網絡配置風險管理，網絡配置各項工作有效管控，人員風險意識加強，日常網絡維護工作上了新臺階，提升了基礎管理水平。

統一流程管理，加強關鍵點控制，提升了基礎管理，貫穿ISO27001 信息安全管理標準，實現從網絡配置腳本制作到審核、從網絡配置執行到執行結果審計全生命周期管理，建立了完善的風險分析制度，并要求對可能出現的風險制定了具體管控措施或應急措施。加強了網絡配置工作審批管理力度，明確各級人員業務審批范圍和關鍵要素信息；業務配置審核流程統一管控，業務配置過程統一管控，配置命令結果可追溯；全面梳理網絡間的連接和承載關系，理順專業執行網絡配置時其它相關專業的配合流程，保證各專業統一行動。

統一支撐系統，加強有效性執行，提供了可借鑒的成功案例。網絡配置的各個關鍵點控制都在電子運維系統網絡配置模塊中實現，完善了網絡配置日常的實施操作、網絡配置的統計與分析、網絡配置的審計與分析功能，為電信運維單位或其他企業提供了可借鑒的成功案例，可參考此網絡配置系統實現本企業的網絡配置風險管理，提升本企業的網絡配置管理，提升本企業對市場的支撐。

5 結束語

本文主要介紹了電信運營商云網網絡配置風險管理，結合ISO27001 風險評估理論確立云網網絡配置中每一項網絡配置的風險級別，根據不同的風險級別明確不同的任務派發、方案制作、方案審核、審批、實施、驗證、審計管控要求，實現了此流程的電子化操作，在實際工作中有非常好的效果，極大提高網絡配置風險管理，值得在各企業中推廣使用，以改善較多企業網絡配置引起的問題。