引入ISO27001 建立健全运营商云网网络配置风险管理

［孙亚红］

1 引言

规范网络配置管理是有效支撑市场业务发展的重要前提，随着云网网络规模逐渐扩大，集约化运营步伐越来越快，各项工程建设、网络优化、业务开通等涉及到网络配置的工作在日常维护工作中所占的比例越来越大，给网络带来的风险及对用户的影响也越来越严重，为了防范网络配置对网络及用户的影响，在网络配置工作中全面引入ISO27001 信息安全管理，加强各个关键点的控制，减少人为原因造成的网络故障，增强网络可用性，从企业服务能力向客户感知方向转变，提升客户感知度。

2 网络配置管理流程设计

2.1 引入ISO27001 加强风险管理

ISO27001/ISO27002 标准被信息界一直喻为“滴水不漏的信息安全管理标准”。标准从管理模型、信息安全管理性控制措施、信息安全技术性控制措施提出了一系列的要求，其中包括14 个安全控制章节，共含有35 个主要安全类别，以及113 项控制措施。

风险评估是信息安全管理体系建立的基础，是对各方面风险进行辨识和分析的过程，风险评估的过程一般先从保密性、完整性、可用性三方面评估信息资产价值大小，再从信息资产本身的脆弱性、面临的威胁两个方面评估威胁利用脆弱性的可能性及造成的影响大小，最后通过一定的计算最终计算出风险的大小。

在全面理解风险评估含义的基础之上，从云网各网络的特性、网络配置对网络产生的故障大小、对重点政企客户的影响性，制定了三重维度的风险评估准则，并对涉及云网网络近400 多项网络配置开展风险评估，定义风险等级级别，针对不同的风险级别定义不同的控制措施，统一规范事前网络配置方案审核流程、事中全专业网络配置作业流程、事后网络配置审计流程，全面提升员工风险防范意识，规避业务变更、系统升级、数据配置等存在的风险并杜绝重大阻断，如表1 所示。

表1 网络配置风险等级表

2.2 建立网络配置管理完整生命周期,建立点到点的配置流程

参照ISO27001 信息安全管理标准，建立网络配置规程，明确任务派发、方案制定、方案审核、方案审批、方案执行、事后审计等关键环节规范，要求各专业通过整改，统一关键步骤、统一风险管控点、统一作业记录规范，达到全专业网络配置规范一致性的目标。

2.3 明确网络配置各岗位的职责

网络配置实施流程中明确了网络配置各个岗位的职责，在实际网络配置过程中，网络维护人员根据承担的职责完成网络配置的流程。网络配置实施流程中一般有网络配置方案制作人、方案审核人及审批人，在此次网络配置流程中新增了网络配置任务派发人、网络配置质监员，加强网络配置的事前管控、事中审批、事后审计管理。

2.4 建立网络配置的现场双重确认机制，保留网络配置的实时记录

对于风险级别较高的网络配置，开展现场双重确认，减少网络配置错误，并对网络配置记录开展实时记录，包括事前设备的状态记录、事中的操作记录、事后设备及业务的测试记录；对于不能使用网管系统进行实时记录的系统，采用DECMAP 记录，使所有的网络配置都可以回顾、可以审计。

2.5 建立网络配置审计制度，多层监督管控

为了防范网络配置人员在网络配置过程中的松懈，建立了多重审计监督制度。在执行室由网络配置质监员来负责实施，开展周期性检查，落实安全方针与策略，及时发现网络配置在技术、人员及流程方面存在的隐患，监督管理室对各执行室审计完成的内容进行再次审计并通报情况，有效提升各执行室的执行力。

2.6 全员风险意识培训和宣贯

运营商网络配置直接关系市场支撑和客户感知，全面提升员工的风险防范意识和客户服务意识是网络配置安全的关键保证。梳理网络配置中的关键控制点、在执行中的易错点对一线维护人员开展宣贯，并采用卡通图片等通俗易懂的方式阐述网络配置中各个环节的控制关键点，从而提高维护人员日常网络配置操作的安全意识 。

3 网络配置信息化管理

在电子运行维护系统建立了网络配置的模块，实现了统一流程的管理，增强操作的可执行性、规范性。

3.1 网络配置的流程执行

如图1 所示。将网络配置中任务派发、方案制作、方案审核、实施审批、方案执行、验证归档确认流程固化到系统中，加强执行的可控性；对于每个环节的需要提交的记录进行明确，减少操作人员的随意行为。

图1 网络配置流程图

3.2 网络配置的查询、统计与分析

根据管理职责的不同配置不同的查询权限。具有全中心管理职能的科室能查询所有工单，而专业室只能查询到自己的工单，这加强了信息安全保密性；查询功能模块中设置了多维度查询分析，如网络配置级别、网络配置人员等。

3.3 建立完善的审计流程

根据网络配置级别抽取不同的级别的审计的工单数量，如高级100%，中级50%，低级30%，较低10%；网络配置质监员对抽取出来的工单进行审计，并对审计中存在的问题进行分类，如是否为紧急工单、记录上传不齐全、分公司未上报测试结果等；将存在问题的工单直接转给相关的人员进行处理；对审计的结果开展分类统计，按照科室、网络、级别、存在问题的单数、产生问题的原因进行统计。

4 成效

通过引入ISO27001 建立健全网络配置风险管理，网络配置各项工作有效管控，人员风险意识加强，日常网络维护工作上了新台阶，提升了基础管理水平。

统一流程管理，加强关键点控制，提升了基础管理，贯穿ISO27001 信息安全管理标准，实现从网络配置脚本制作到审核、从网络配置执行到执行结果审计全生命周期管理，建立了完善的风险分析制度，并要求对可能出现的风险制定了具体管控措施或应急措施。加强了网络配置工作审批管理力度，明确各级人员业务审批范围和关键要素信息；业务配置审核流程统一管控，业务配置过程统一管控，配置命令结果可追溯；全面梳理网络间的连接和承载关系，理顺专业执行网络配置时其它相关专业的配合流程，保证各专业统一行动。

统一支撑系统，加强有效性执行，提供了可借鉴的成功案例。网络配置的各个关键点控制都在电子运维系统网络配置模块中实现，完善了网络配置日常的实施操作、网络配置的统计与分析、网络配置的审计与分析功能，为电信运维单位或其他企业提供了可借鉴的成功案例，可参考此网络配置系统实现本企业的网络配置风险管理，提升本企业的网络配置管理，提升本企业对市场的支撑。

5 结束语

本文主要介绍了电信运营商云网网络配置风险管理，结合ISO27001 风险评估理论确立云网网络配置中每一项网络配置的风险级别，根据不同的风险级别明确不同的任务派发、方案制作、方案审核、审批、实施、验证、审计管控要求，实现了此流程的电子化操作，在实际工作中有非常好的效果，极大提高网络配置风险管理，值得在各企业中推广使用，以改善较多企业网络配置引起的问题。