实践经验表明,基础电信运营企业开展网络安全工作必须管理和技术并重,这是生产关系必须和生产力相适应的规律使然。当前,虽然基础电信企业按照工信部的要求在组织结构方面进行改进,但是方向上还需要进一步明确。
在安全意识方面,没有形成主动防范、积极应对的安全意识。在安全管理制度方面,在政府引导、行业推动、社会监督的环境下,虽然企业对网络安全工作的总体方针多数已经明确,但是安全方针、安全策略等和现有工作之间的关系几乎都未明确说明。
在安全建设管理方面,对“三同步”原则的遵行还存在很大问题,实际工作中,往往变成只进行能力建设,推迟、减少或忽略了配套安全措施的建设。在安全运维管理方面,运行维护管理处在通信服务的业务流末梢,处在被支配地位,几乎无法得到足够资源执行安全策略。此外,安全绩效考核也面临着严峻的考验。
这些问题主要由以下原因导致。安全需求的变迁并未得到充分认识。在IP技术的广泛应用环境下,在日趋严格的政策监管要求下,无处不在的安全防护需求带来了安全工作内容的变迁。安全工作的对象主要是威胁到网络运营的人以及网络运营过程本身的管理和技术缺陷。
此外,工作内容的变迁却没有适当的组织结构来适应,这个变化却没有恰当地反应在企业内部的组织结构中。
现有组织结构责任分散
所谓通信网络安全防护管理中的组织结构,就是指基础电信运营企业内部对安全工作任务如何进行分工、分组和协调合作的正式安排。组织结构必须随着组织的重大战略调整而调整。
已有的安全组织结构,可以归为两类。第一类为职能型安全组织结构,是指主管负责人把相应的管理职责和权力交给相关的职能机构,各职能机构获得授权在自己业务范围内向下级单位发布命令。例如,在省级公司总经理下设专门的安全职能机构和人员,协助总经理从事安全业务的职能管理工作。优点是能适应复杂、精细的生产过程,能减轻直线领导人员的工作负担。缺点是在各部门利益不一致时可能会导致部门间相互抵制,不利于建立和健全安全责任制。
第二类为委员会型安全组织结构,是指执行某方面管理职能并以集体活动为主要特征的组织形式,可以起决策、咨询、合作和协调作用。优点是可以集思广益,利于集体审议与判断,利于沟通与协调。缺点是责任分散,决策成本高,在应对安全攻击等突发事件时的效率较低等。
目前,在基础电信运营企业中的安全组织结构大抵是上述两种模型或两者的简单堆砌而构成,更有甚者还有一些企业尚未组建实体安全组织结构。
新组织结构突出责任分担
不难看出,安全管理工作带有一定的“集权”色彩,需要专门的安全管理部门和专业的安全管理人员,与各部门中经过相关培训的网管人员、业务人员、设备维护人员一起协调工作,共同组成完整的安全管理体系,使得日常的业务流可以紧密地承载安全管理的需要。但是上述两个模型中,突出了的是安全责任的分担,但却并没有对所分担的责任给予制度上的相应分权保证。这从根本上破坏了安全管理体系各组成部分间的有机联系,很难形成整体运作。
现结合系统安全工程理论和管理学组织结构设计的理论,提出一种结合基础电信运营企业实际情况的新的安全组织结构模型。具体如下:
安全工作的责任人为企业的总经理(或分管安全工作的副总经理)。
由总经理和各部门的负责人组成“网络与信息安全工作小组”,统筹负责全公司的网络与信息安全工作。
工作小组下设“网络安全与信息安全中心”,作为日常开展安全工作的常设机构。
总经理任命“总经理安全助理”,作为“网络安全与信息安全中心”负责人,组织开展日常安全工作。“网络安全与信息安全中心”的工作人员可来自公司各业务部门,均为安全工作的专职工作人员。
“网络安全与信息安全中心”负责制定安全策略并评估、控制各业务部门日常业务中的安全风险,各业务部门具体执行安全策略并接受安全监督和考核。
上述模型与现有基础电信运营企业的安全管理组织结构相比,主要有以下三个方面的进展。对安全部门的层级位置进行了优化。安全部门相对于各业务部门而言可以发挥第三方监督作用,可以有效统筹资源投入和效益平衡。安全部门需要参与各业务部门的通信生产工作,各业务部门也要参与安全管理工作,可以有效打破内部壁垒,提高工作效率。
新模型呈现出一种综合职能与直接参与业务流程的新特征,在实践中必须注意以下难点。管理层应在企业的安全策略、制度设计、人力资源使用等管理层面对网络与信息安全工作进行明确支持和授权。对于网络安全与信息安全中心的职责设定问题,该中心是常设机构,履行固定的职责。还有部门间的工作协同与配合。