一种网络安全合规管控矩阵方法

摘 要合规管控是大型国有企业网络安全管理的重要组成部分，存在管控要求多、落实执行难、监督检查难、量化管理难的问题。本文提出了一种网络安全合规管控矩阵方法，引入内控矩阵的思想，通过建立合规管控矩阵，建立安全要求、任务执行、监督检查、整改跟踪、量化评价的管理闭环，能够有效地解决大型国有企业网络安全合规管控工作所面临的重大挑战。

【关键词】网络安全 国有企业 合规管控 管控矩阵

1 大型国有企业面临的网络安全合规管控挑战

随着信息化技术的快速发展，互联网网络安全形势日趋严峻，网络安全的重要性越发凸显。2014年中央网络安全和信息化领导小组成立，习近平主席亲自担任组长，标志着网络安全上升到国家安全的高度。国有企业作为关系国家安全和经济命脉的关键组成，涉及电力、水力、交通、运输等关键领域，网络安全建设的重要性自是不言而喻。为了指导企业进行网络安全建设，公安部、工信部、国资委以及各行业主管单位均颁布网络安全相关制度标准，并且定期组织网络安全检查，确保企业网络和信息系统的机密性、完整性和可用性。2016年11月7日，《中华人民共和国网络安全法》正式颁布，对关键信息基础设施运营者的法律责任做出了明确要求。合规性原则已经成为企业进行网络安全建设必须遵循的重要原则，合规管控工作已经成为企业网络安全建设的重要任务。大型国有企业，尤其是涉及电力、水力、交通、运输等关键基础设施的关键企业，面临着网络安全合规管控的重大挑战，主要体现在以下几个方面：

网络安全合规管控要求多。国有企业每年面临各个上级主管单位的网络安全检查，每个单位均有颁布相关的网络安全合规要求和标准，由于检查角度不同等原因，这些标准的要求项有所交叉、重叠，但并不完全一致，形成庞大的合规要求，难以一一落实到位，很容易遗漏。以电网企业为例，一个省级的电网企业所需遵循的网络安全管控标准包括公安部、工信部、国资委、保密局、能源局、电力行业以及集团总部等十多个上级主管单位颁布的数十个网络安全标准。

合规管控要求落实执行难。由于上级主管部门的网络安全标准通常是针对某个行业或者某类企业的通用标准，要求具有通用性，描述通常较为精练概要，往往难以落实执行。尤其是大型国有企业下级单位较多、网络安全人才队伍参差不齐，存在较大差异，对网络安全的重视程度也存在差异，往往只是“知道”合规要求但是不知道如何实施执行，更进一步加剧了合规管控要求执行难的问题。

合规管控要求监督检查难。大型国有企业具有下级单位多的特点，上级承担着对下级的监督检查职责，管理工作量非常大，但由于各种原因网络安全人才有限，往往难以对所有下级单位合规工作进行跟踪检查监督，容易形成疏漏。而且，合规要求通常难以转化为检查项，上级主管部门往往是“知道”合规要求，但是不知道如何检查。

合规管控要求量化管理难。网络安全建设需要投入大量的人力和物力，但是效果往往难以量化展现，企业管理者难以有效掌控企业的网络安全合规工作的落实情况，也难以衡量网络安全工作人员的工作量和工作效果，尤其是网络安全管控工作。

2 网络安全管控矩阵方法

针对网络安全管控要求多、落实执行难、监督检查难、量化管理难的问题，本文引入内控矩阵的思想，建立了一套网络安全管控矩阵，基于网络安全管控矩阵能够有效地实现安全要求、任務执行、监督检查、整改跟踪、量化评价的管理闭环，从而能够有效地解决企业网络安全合规管控工作所面临的重大挑战。

如表1所示，网络安全管控矩阵由合规矩阵、映射矩阵、资产矩阵、检查矩阵、责任矩阵5个部分组成，相互关联映射，将企业各信息资产所需要遵循的网络安全合规要求落实到具体的部门和个人。

2.1 合规矩阵

将企业所需要遵循的网络安全合规标准制度进行融合和分解，拆分成一个个合规项，并根据合规项所适用的信息资产类型进行分类，针对不同类型的信息资产梳理所需要遵循的合规项，结合资产类型特点将合规项细化到实施步骤，以解决合规要求难以落实执行的问题。合规矩阵关键属性包括合规项编号、合规项名称、合规项描述、资产类型、实施步骤等。

2.2 映射矩阵

提供合规矩阵与企业内外部标准制度的映射关系，将合规项与内外部标准制度一一映射，确保没有遗漏。同时，为了方便执行人员、检查人员，映射矩阵应提供对应的内外部标准制度要求项的链接，这要求企业建设内外部标准制度数据库。映射矩阵关键属性包括合规项编号、内外部标准制度编号、内外网标准制度要求链接等。

2.3 资产矩阵

资产矩阵即企业信息资产清单，是企业信息化建设和管理的基础，为企业管理者提供企业信息资产全图。资产与合规矩阵通过资产类型进行映射，将形成每个信息资产所需要遵循和执行的合规项清单。执行人员只需要按照合规性清单上每个合规项的实施步骤一一进行合规执行，就能够有效地确保合规要求的落实执行，同时也解决了大型国有企业下级单位网络安全人才队伍参差不齐所带来的合规执行问题。资产矩阵关键属性包括资产编号、资产类型、资产名称等。

2.4 检查矩阵

检查矩阵与合规矩阵一一映射，通过资产类型与资产矩阵形成合规检查清单，并且提供各个资产的各个合规项的检查步骤，能够有效地解决合规管控监督检查难的问题。检查矩阵关键属性包括检查项编号、检查项、检查步骤、合规项编号、资产类型。

2.5 责任矩阵

将合规管理、执行和检查的责任落实到部门甚至个人，矩阵关键属性包括合规项编号、检查项编号、资产类型、资产编号、管理责任人、执行责任人、检查责任人。

3 网络安全管控矩阵管理业务流程

基于网络安全管控矩阵，能够高效地实现安全管控的安全要求、任务执行、监督检查、整改跟踪、量化评价管理闭环。

应用PDCA循环，如图1所示，网络安全管控矩阵的管理业务流程由计划、执行、检查、执行、改进4个阶段组成，建立计划、执行、检查、改进的管理闭环，支撑网络安全合规管控闭环，每次循环都有效提升安全合规管理水平，最终实现网络安全管理水平的持续螺旋式提升。

3.1 计划

计划阶段主要工作包括：收集梳理企业相关安全标准制度，建立安全制度库，形成公司安全合规管控的根本依据；基于企业资产台账等数据，建立信息资产矩阵；基于安全制度库，分项梳理各项合规要求所覆盖的资产类型，根据资产类型特点形成合规要求的执行方法和检查方法，建立合规矩阵，并通过映射矩阵与安全制度库进行对应，防止疏漏。

3.2 执行

执行阶段，基于合规矩阵、资产矩阵，将各个信息资产所涉及的合规项分配到具体的部门甚至个人，明确执行责任人、检查责任人和管理责任人，从而建立责任矩阵，并下发到相关责任人。执行责任人根据责任矩阵，按照合规矩阵所提供的执行步骤依次进行合规执行；检查责任人根据责任矩阵，按照检查矩阵所提供的执行步骤依次进行执行检查；管理责任人监督上述执行、检查工作。

3.3 检查

检查阶段，包括安全制度库的更新检查、合规矩阵的执行检查。安全制度库的更新检查，持续关注国家、行业及公司相关合规制度标准的发布、修编、废止等修正；合规矩阵的执行检查，对企业所有信息资产所涉及的合规要求项进行全面的排查，形成合规风险视图，提出改进意见。

3.4 改进

改进阶段，基于改进意见进行改进，主要包括基于制度更新的改进、基于检查的改进。制度更新的改进，依据国家、行业及公司相关合规制度标准的更新，修订改进安全合规矩阵以及对应的检查矩阵，并重新修订和分配合规责任；基于检查的改进，依据合规执行检查结果，明确落实整改责任，改进合规执行情况，一般不对合规矩阵进行修订。如果在执行过程中发现合规矩阵、检查矩阵存在不符合实际的情况，则进行合规矩阵的修订。

4 结语

随着网络安全形势日趋严峻，网络安全的重要性也越来越得到国家各级相关部门的重视，网络安全建设已经成为企业管理的重要组成部分，其中安全合规管控更是重中之重。由于种种原因，大型国有企业的安全合规管控任务非常重大，而且面临着合规管控要求多、合规要求落实执行难、合规要求监督检查难等问题。本文遵循PDCA循环，引入内控矩阵的思想，提出了一种网络安全合规管控矩阵方法，已经初步应用于实际合规管理工作，取得良好的效果。初步实践证明，该方法能够有效地形成网络安全合规管控安全要求、任务执行、监督检查、整改跟踪、量化评价的管理闭环，能够有效地解决大型国有企業网络安全合规管控所面临的问题。

参考文献

[1]邓雄荣.供电企业信息安全多标准合规管控体系研究与实践[J].现代计算机，2015（06）：46-50.

[2]孔令南，谭智，杨果.中国移动云南公司信息安全合规管控平台建设研究[J].电信工程技术与标准化，2012（12）：36-39.

[3]李栋.将信息安全指标纳入企业绩效考核的实践[J].信息安全与技术，2014（08）：4-6.

[4]张滨.电信企业信息安全合规管理体系研究[J].电信工程技术与标准化，2012（12）：1-6.

作者简介

杨震乾（1976-），男，云南省昆明市人。学士学位。研究方向为网络技术、网络安全、信息安全技术。

作者单位

中国南方电网有限责任公司云南电网有限责任公司 云南省昆明市 650000