风险评估电信网络安全(共9篇)
风险评估电信网络安全 篇1
摘要:我国电信运营企业存在巨大的信息安全风险且缺乏风险管理意识、系统的管理方法和可参考的成熟经验。为解决信息安全风险管理方法问题,对信息安全风险管理体系进行研究。通过文献研究和现状调查,得出现阶段电信运营企业面临三大主要信息安全风险;结合复杂多变的风险现状,根据风险管理理论,提出PDCA循环模式是适合我国电信运营企业的风险管理模式;在此基础上构建基于PDCA循环的信息安全风险管理体系。
关键词:电信运营企业,信息安全,风险管理,PDCA循环
1 研究背景
互联网时代信息安全问题严重,信息安全事故频出。2014年8月,德国某安全研究实验室的研究人员发现一种全球手机运营商使用的系统中存在安全漏洞,该漏洞使黑客能够大规模监视用户手机流量。2014年12月,超过13万个12306网站账户的帐号、明文密码、身份证号等用户数据被泄露。2015年10月,中国电信某系统出现重大漏洞,通过该漏洞可查询上亿用户信息,包括姓名、证件号、余额,并可以进行任意金额充值、销户、换卡等操作。信息安全问题已严重影响甚至威胁到人们的生活和工作。
各国政府机构和企业组织十分重视信息安全问题,不断增加在信息安全方面的投入。美国是第一个制定网络安全战略的国家,也是首个把网络安全战略作为国家安全战略组成部分的国家。日本在2014年11月表决通过《网络安全基本法》。为加强国家网络安全和信息化的法治建设,提高网络和信息安全的保障能力,我国2014年2月成立中央网络安全和信息化领导小组。2014年8月,工信部发布《关于加强电信和互联网行业网络安全工作的指导意见》,以应对日益复杂的网络安全威胁和挑战,加强和改进网络安全工作,提高网络安全保障能力和水平[1]。2015年9月,中美两国就网络安全达成共识,两国政府都不支持以经济利益为目的的网络犯罪,不进行或支持通过网络窃取知识产权的行为。
风险管理是安全管理的基础和核心环节,现代信息安全管理理论基于风险管理的思想。安全管理的实施以风险管理为核心,大型IT企业的信息安全管理实践也是如此[2]。电信业是国民社会经济生活的基础,电信运营企业作为我国电信业的建设者和运营者,拥有体量巨大、数据精确的用户信息,几乎反映了用户的基本工作生活信息,因此,我国电信运营企业的信息安全风险管理是信息安全管理的关键组成部分。
在此背景下,研究如何构建电信运营企业信息安全风险管理体系,为其信息安全风险管理工作提供理论支撑具有重要意义。
2 理论回顾与风险现状分析
2.1 理论回顾
1956年,Gallagher R B[3]正式提出“风险管理”概念,认为组织中应该有专门负责管理该组织纯粹风险的人。此后,学术界开始对风险管理进行深入研究。在应用方面,风险管理被广泛运用于项目管理、企业管理、经济发展、国家建设等诸多领域。一般来说,风险管理是指为减少预期不利因素对职能经济实体的影响而进行决策,确保最高安全水平[4]。
信息安全是指保护信息的可用性、机密性和完整性[5],即保护信息及信息系统免受未经授权的进入、使用、披露、破坏、修改、检视、记录及销毁。风险管理理论应用于信息安全领域始于20世纪60年代。《计算机安全控制》报告的出版奠定了国际安全风险评估的理论基础[6]。20世纪90年代,因特网、移动通信和跨国光缆的高速发展使信息安全成为世界各国面临的共同挑战,国际组织和世界各国开始制定出台信息安全风险管理标准,ISO17799标准是目前国际通用的信息安全管理标准。
学术上对信息安全风险管理进行了大量研究,其中Knapp K J等[7]的研究启发本文采用动态管理模型。他们认为制定信息安全策略是信息安全风险管理的必要基础,且制定信息安全策略是动态优化的过程。他们用定性方法研究信息安全策略的制定过程模型,指出安全管理项目执行和各部门之间持续相关。
目前,我国电信运营企业信息安全风险管理缺乏系统的管理方法,风险管理意识相对薄弱,且无成熟经验作参考,风险管理工作仍处于起步阶段。在此背景下,探索电信运营企业信息安全风险的系统管理方法具有重要意义。巫英等[8]以经营者具备强烈的创新风险管理意识为前提,从组织结构与人员配备、规章制度、预警机制和应急预案等4个方面构建了重大风险管理框架体系和设计方案。叶尔江等[9]分析传统风险管理策略在信息安全风险管理上的局限性,提出用和谐管理理论思想解决问题,立足双规则耦合机制设计管理策略,构建出信息安全风险管理模型。
本研究认为,无论是电信运营企业所面临的信息安全风险,还是其信息系统建设情况都在不断变化,因而信息安全风险管理具有持续性和动态性,适合采用PDCA循环模型进行研究。梁军[2]19运用PDCA模型对湖南电信内网信息安全风险管理进行了深层次研究,为本文带来研究思路上的启发。
基于以上研究基础,本文探求符合我国电信运营企业实际需要的信息安全风险管理体系,将PDCA循环运用到管理研究中,构建具有普遍适用性的管理体系并阐述该体系实施流程,对于企业管理实践具有参考意义。
2.2 电信运营企业信息安全风险现状分析
电信业是关系国民经济命脉的行业,相对于互联网企业或其他IT企业,电信运营企业作为电信业的运营者,承受着更大的社会责任,也面临着更复杂的信息安全风险。电信运营企业面临的信息安全风险主要有以下三点:
(1)应用系统众多,人员管理复杂。无论是政府机关、企事业单位还是大型互联网公司,都需要使用或依赖电信网络。网络结构复杂,不同网络之间相互影响,增加了信息安全风险,也增加了风险管理难度。相关参与人员众多,不仅有电信企业内部员工,还包括外联单位员工。总之,电信企业巨大的事务量、信息量和人员数量以及相互之间的复杂关系,都是潜在的安全隐患。
(2)境内外网络攻击活动日益频繁,手法更加复杂隐蔽。一方面,网络攻击活动猖獗。2013年CNCERT (中国信息安全中心)监测发现境内约1 090万台主机被境外服务器控制,约1.5万台主机被APT木马控制,约6.1万个网站被植入后门控制,较2012年增长62.1%。CNVD (国家信息安全漏洞共享平台)向基础电信企业通报漏洞风险事件518起,相较于2012年增长超过一倍[10]。
另一方面,网络攻击手法多样化隐蔽化。网络攻击入侵已不仅是批量挂马、漏洞入侵、病毒捆绑下载或者是直接暴力攻破等方式,还出现了诸如利用USB与嵌入式硬件,让USB插入变成远程窃听或者遥控器等更为隐蔽和复杂的新网络安全威胁。
(3)新技术、新业务带来的网络安全问题逐渐凸显。随着电信网络的IP化,4G网络的建设和商用,三网融合战略的推进,云计算、移动互联网的发展,业务的互联网化,终端设备的智能化,电信运营企业面临着网络改造和技术进步带来的新风险。同时,新技术、新业务产生海量数据,对设备性能提出更高要求。传统架构的限制、安全设备的升级改造等均是亟待解决的问题。
电信运营企业通常采用防火墙、UTM、入侵检测系统、漏洞扫描系统等局部管理方法预防风险。面对新的信息安全风险挑战,电信运营企业应该从局部管理向全局管理转变,建立科学完备的风险管理体系,降低信息安全风险对社会经济生活的危害。
3 信息安全风险管理体系构建
根据《信息安全风险管理指南》,风险管理不只是一种管理行为,而是调动一切管理和技术资源,评估和处理信息安全风险,最终由管理层做出决策的一种综合过程。风险管理可归为3个部分:风险评估、风险减缓和基于风险的决策。PDCA循环管理模式,即“计划(Plan)、实施(Do)、检查(Check)、行动(Action)”循环模式适用于解决此类管理问题。另一方面,任何风险管理都有其局限性,不能完全避免信息安全事故的发生,即安全事故仍有可能随时发生。为确保及时高效地处理信息安全事故,本文在管理体系中增加信息安全风险应急机制,作为信息安全风险管理的最后一道防线。根据上述分析,以下构建一个基于PDCA循环的电信运营企业信息安全风险管理体系。
3.1 模型假设
假设1:体系建设有人事、技术、政策、管理等各方面的完全配合。
假设2:体系中每个模块得到最优执行,即方案最优,执行力最优等。
假设3:模块执行效果无延时。
3.2 模型因素说明
风险评估:运用科学的分析方法和手段,分析电信运营企业所面临的信息安全威胁并判断主要威胁,区分风险处理优先级,估计威胁事件一旦发生可能造成的危害。
风险减缓:根据风险评估结果,结合信息安全管理需求和风险处理成本,针对不同类型、不同规模、不同概率的风险,设计合适的风险处理方案,将风险控制在可接受范围内。
基于风险的决策:根据风险减缓后的检验结果,判断风险是否仍然存在,残余风险是否可以接受,并基于这一判断作决策。
应急机制:应对随时可能出现的信息安全突发事件,及时控制突发事件,最大限度地降低危害程度。
3.3 体系构建
该体系是一个从风险评估、风险减缓到基于风险的决策的闭环管理系统,信息安全风险应急机制贯穿全程,总体框架图如图1所示。
图1中,P代表风险检测与评估,D代表风险减缓方案设计与执行,C代表执行结果检验,A代表改进决策。电信运营企业在P阶段检测和评估风险,判断是否满足安全需求,根据安全需求和风险评估结果在D阶段设计解决方案并执行,在C阶段监视审查解决方案是否有效以及是否有新的变化,在A阶段,根据检查结果做出满足信息安全需求与期望的决策。
该模型强调在P、D、C、A每一个阶段都按照PDCA循环原则进行。例如当整体循环进入D阶段,即风险减缓方案设计与执行阶段,仍要进行风险检测与评估,优化改进原先的检测评估方案,检测评估新的风险,如此循环往复,不断提高风险检测与评估水平。
该模型的风险应急机制是该闭环系统的外在保护机制,是PDCA循环管理理论运用到信息安全风险管理中的具体化改进,使风险管理体系更加完善。
4 信息安全风险管理体系实施
该体系的D (风险减缓方案设计与执行)、C(执行结果检验)阶段可归为风险减缓阶段,以下分别对模型的4个因素,即风险评估、风险减缓、基于风险的决策和应急机制进行详细阐述,说明该管理体系的实施过程。
4.1 风险评估
通过风险评估发现系统中的主要安全问题,是风险管理的基础环节。风险评估有两大步骤,一是检测风险,二是评估风险。
(1)检测风险。风险检测是指对存在的资产弱点或可能的威胁进行识别。电信运营企业的风险可分为两大类,一是内部隐患,二是外部威胁。
电信运营企业通过优化技术和加强管理减少内部隐患。根据CNCERT相关调查结果,信息安全问题主要来自内部人员,而非病毒或外来黑客,因此,加强内部风险管理尤为重要。外部威胁主要是指外部人员利用开放的固定端口,或者利用服务器以及服务程序的脆弱性,达到破坏系统或损坏、更改、窃取信息的目的。对电信运营企业而言,外部威胁源是不可控的,只能预防、监测和处理。表1列举了主要的内部隐患和外部威胁,为电信运营企业检测风险提供维度参考。
第三方系统及其参与人员带来的隐患属于内部管理隐患。电信运营企业对接系统众多,必须事先主动采取管理防范措施,减少或消除对接系统带来的信息安全隐患。
(2)评估风险。风险评估应遵循信息安全风险管理的相关标准。根据国际信息安全管理标准体系(BS7799标准体系),风险评估是对信息资产的脆弱性及所面临的各种威胁进行评估,并对相关的安全管理措施进行鉴定。
风险评估方法较多,应视企业具体情况采用相应的方法,主要有基于知识的评估方法,基于模型的评估方法以及定性分析、定量分析。彭俊好[11]将风险评估分为基线评估和详细评估两大类。基线评估指对组织资产进行必要的分类后划定一条安全基线,其中高于基线的是安全的,反之是有风险的。详细评估则是对资产进行详细识别和评价,对可能的威胁和弱点进行评估,根据风险评估结果选择安全措施。常用的详细评估方法有故障树法、专家评审法、层次分析法等。郭明利[12]在特权提升的量化方法设计了基于电信级网络和国内通信行业标准的评估架构,提出了基于安全事件的风险评估模型。
作为体系建设中的基础和关键环节,电信运营企业在进行风险评估时应综合考虑系统性质、使用信息目的、系统环境等因素,既要预测直接后果,又要设想潜在后果,在众多的风险评估方法中选择适用于自身的方法。
4.2 风险减缓
绝对安全不切实际,在权衡成本与直接后果、潜在后果的前提下采取最适当的安全措施,减少风险事故发生,控制损失幅度,降低期望损失成本。
风险处理的方法主要有:
(1)风险承受。对于企业运行过程中必然存在的信息安全风险,或不会带来不良影响的风险,可以选择承受以维持系统的运行。电信运营企业承担着重要的社会责任,应理性选择风险承受。
(2)风险规避。风险规避是最重要和最常用的风险减缓方法。通过采用不同的技术、更改操作流程等方法规避风险,例如经常性进行系统测试,找出系统漏洞,规避遭黑客袭击的风险。
(3)风险分散。风险分散是指增加承受风险的单位以减轻总体风险的压力。风险分散有隔离和兼容两种方式,隔离是将企业资产分散到不同地点,而兼容则通过增加新的单位达到分散的目的。增加存储设备存储海量数据是典型的风险分散方法。
(4)风险转嫁。对于发生概率低,但一旦发生会对组织产生重大不良影响的风险,当第三方(被转嫁方)接受被转嫁风险时,可考虑转嫁。例如当电信运营企业不具备实现某方面安全保障的能力时,外包给可实现的第三方,既转嫁了风险,又实现了共赢。
风险经过处理后,信息安全状况并不一定能满足信息安全需求与期望,需要检查风险处理结果,据此作下一步决策。
4.3 基于风险的决策
在整个风险管理过程中,决策无处不在,而本阶段的决策则侧重于管理层的重大决策。主要包括总体规划和批准监督决策、布局结构变动决策、相关组织协调决策等。风险决策是在多种不确定因素作用下,对两个以上的行动方案进行选择。由于不确定因素的存在,行动方案实施结果的损益值通常不能预先确定。
在此阶段肯定成功的经验并予以标准化,总结失败教训,为下一次风险处理积累经验。对于没有解决的问题,如某信息系统的残余风险不可接受,则继续优化方案采取措施,如有必要可停止该信息系统的运行。当现实情况要求该系统临时必须投入运行,则在此期间应继续处理风险并制定针对性应急预案。基于风险的决策推动风险管理整体进入更高一层循环,使电信运营企业信息安全水平螺旋式上升。
4.4 应急机制
信息安全应急机制不仅指发生问题以后的再处理,还指预先准备方案应对可能发生的意外,以便当意外发生时及时反应和恢复。
信息安全应急机制(见图2)涉及到计划、流程和技术措施以及法律、组织管理等多个方面。在安全事故未发生时成立应急小组,考虑应急需求,制定基本应急的方案,做好技术储备和保障,进行宣传培训和演习,备存应急文档、软件和设备等。
事故得到妥善处理后,对相关系统进行全面排查,做出事故分析报告和总结报告,避免类似事故再次发生,提高电信运营企业信息安全风险管理水平,从而提高信息安全水平。
该基于PDCA循环的电信运营企业信息安全风险管理体系有以下特点和优势:
(1) P、D、C、A依靠组织的力量顺序进行。按照科学的流程推进信息安全风险管理工作,使之更加条理化、系统化和科学化,循环持续前进。
(2)大环套小环、小环推大环。PDCA循环对整个企业、企业内各级部门甚至是每个人都是适用的,各自围绕着管控风险的总目标转动,通过循环使各项工作有机地联合,相互协同与促进。
(3)螺旋上升不断提高。每循环一次解决一部分问题,取得一部分成果,对每一次循环进行总结,提出新目标,再次进行PDCA循环。
(4)避免独立个人、单个部门和单个步骤成为风险防御孤岛,从而导致相互间无法产生协同效应。
该管理体系将风险管理理论、PDCA管理理论与电信运营企业信息安全风险实际相结合,因而具有实用性。通过该管理体系,将电信运营企业确切的信息安全需求和期望转化为可管理的信息安全实际,达到巩固提升信息安全的效果。
5 结论与展望
信息安全已上升到国家安全的高度,我国电信运营企业的信息安全风险无处不在,安全形势日益严峻,迫切需要系统、科学、有效的信息安全风险管理体系理论指导管理工作实践。
本文从电信运营企业面临多方面的信息安全风险现状出发,根据风险管理理论,构建出基于PDCA循环的电信运营企业信息安全风险管理体系;为更加全面地防范信息安全风险,灵活应用PDCA循环管理理论,将应急机制加入风险管理体系中。本文进一步阐明电信运营企业如何建设该管理体系从而进行风险管理,为电信运营企业风险管理提供借鉴参考。
本研究仍存在不足之处,管理体系实施部分还需要进行后续深入研究。如何展开风险评估工作,如何设计应急机制等均有待进一步分析。
随着安全管理工作的进步和安全行业的发展,风险管理工作将从单个相互独立的电信运营企业向电信行业全局转变。未来将建立起一整套基于电信业的信息安全风险管理体系,涉及国家政策、法律法规、技术保障以及安全管理平台等。独立电信运营企业则应搭建与行业管理体系相协调、具有主动防御能力的深层防御安全体系,为信息安全提供有力保障。
参考文献
[1]工信部.关于加强电信和互联网行业网络安全工作的指导意见[EB/OL].(2014-8-28)[2015-11-17].hup://www.miit.gov.cn/n11293472/n11293832/n12843926/nl3917072/16121158.html
[2]梁军.湖南电信公司内网信息安全体系建设的研究[D].长沙:湖南大学,2007
[3]顾孟迪,雷鹏.风险管理[M].北京:清华大学出版社,2005:26-27
[4]OSTROWSKA M,MAZUR S.Divereified risk management[J].Procedia Economics and Finance,2015,23:615-621
[5]ALJIFRI H,NAVARRO DS.International legal aspecte of cryptography[J].Computers&Security,2003,22(3):196-203
[6]王东.国外风险管理理论研究综述[J].金融发展研究,2011(2):23-27
[7]KNAPP K J,MORRIS R F,MARSHALL T E,et al.Information security policy:An organizational-level process model[J].Computers&Security,2009,28(5):493-508
[8]巫英,向刚.企业持续创新过程的重大风险管理机制研究[J].科技进步与对策,2013(1):88-91
[9]叶尔江,刘怀兴,张刚,等.基于和谐管理的信息安全风险管理研究[J].情报杂志,2006(1):10-11
[10]中国互联网协会,中国互联网络信息中心.中国互联网发展报告(2014)[EB/OL].(2014-5-15)[2015-11-17].ht.tp://www.ise.org.cn/wzgg/listinfo-29518.html
[11]彭俊好.信息安全风险评估及网络蠕虫传播模型[D].北京:北京邮电大学,2008
[12]郭明利.电信级互联网安全风险评估模型的设计与应用[D].北京:北京邮电大学,2010
风险评估电信网络安全 篇2
为认真贯彻林业局关于进一步健全廉洁风险预警机制,加强事胶预防,事中控制,按照林业局《廉政风险点排查工作安排通知》要求,结合我处实际,廉政风险点排查制定如下工作方案。
一、指导思想
以邓小平理论和“三个代表”重要思想为指导,深入贯彻落实科学发展观,坚持“标本兼治、综合治理、惩防并举、注重预防”的方针,紧紧抓住从源头上防治腐败工作领域,以促进权力运行规范化、程序化、透明化为核心,深入排查行政管理过程中的廉政风险和履职风险,深化部门风险防控机制建设,健全完善我处惩治和预防腐败体系,为保障我处经济发展提供有力的政治保障。
二、内容和范围
(一)主要内容。全面查找我处管理在权力运行过程中容易发生的违纪违法问题和不廉洁行为的廉政风险点,以及可能发生失职、渎职导致重大损失和责任追究的履职风险点,开展风险分析和评估管理,有针对性地制定防范措施,建立健全廉政风险防控机制。
(二)实施范围。全处各股、段(室)、及其各个岗位。
三、方法步骤
按照预防为主、分步实施、查纠结合、务求实效的原则,着重抓好以下工作:
(一)梳理排查
一要排查岗位风险点。各股(室)、干部职工认真梳理各自工作岗位上的每项职责和工作内容,深入查找履行岗位职责过程中,在工作环节、业务流程、制度机制和外部环境等方面存在的廉政风险点和履职风险点。
二要排查部门风险点。各股(室)在岗位排查的基础上,按照《乌尔旗汉林业局党员领导干部廉洁自律的规定》职责及工作 范围,结合实际工作和群众提出的意见建议或已发生的案件,采取集体排查的方式,查找本部门存在的廉政风险点和履职风险点。
(二)评估分析
各股(室)及各个岗位针对排查出的风险点,根据风险发生的几率及危害程度等情况进行风险评估,划分风险等级,分为高、中等、一般三个风险点等级:高风险点为最容易发生腐败问题或失职渎职造成重大损失、被追究行政责任、刑事责任的事项和部位;中等风险点为较容易发生腐败问题或因失职渎职导致较大损失和责任追究的事项和部位;一般风险点为腐败问题或失职渎职行为发生机率较小,存在一般性廉政、效能风险的部位和事项。
各股(室)及各个岗位在风险排查和评估的基础上,分析风险存在和可能发生问题的原因,研究提出具体针对性、可操作性的防控措施,主要包括:前期预防,即从干部思想道德建设、管理制度改革和规范办事流程等方面加强主动预防工作,从源头最大限度地排除风险;中期监控,即对部门和岗位行政行为、程序流转和制度机制的落实进行动态监控,加强日常监督;后期处置,即对发现的干部苗头性、倾向性问题,及时进行警示提醒、诫免纠错和责令整改。对于涉及“三重一大”的重大问题,可跨股(室)、跨单位开展分析研究,形成风险联防机制。
各股(室)的梳理排查、评估分析、加强防控情况,填写《廉洁风险点排查及防控措施表》于2011年9月30日前报林业局 纪委办公室。
四、工作要求
(一)提高认识,加强领导。各股(室)要充分认识廉政风险的客观存在性和危害性,高度重视廉政风险点排查工作,认真研究,有效组织,努力把风险点找准、找实,对发现的问题及时整改,对提出的措施认真贯彻落实。
(二)突出重点,统筹安排。各股(室)开展廉政风险点排查工作,要突出抓好领导岗位,突出抓好关键环节和重点部位。要统筹好排查工作和中心业务工作,相互结合,积极以排查为契机,推动权力运行更为规范,业务实绩更加显著。
(三)强化监督,注重实效。我处领导小组要加强对各股(室)、廉政风险点排查工作的监督检查,确保各项工作落到实处。对流于形式、走过场,排查不认真、整改不到位的股(室)给予通报批评并限期整改。
2011 3
风险评估电信网络安全 篇3
一、IDC云计算在电信领域的应用
IDC是电信服务系统的数据中心, 是电信运营商利用互联网技术提供各种专业化服务的载体, 包括服务器托管、网络宽带、服务外包等业务。在电信IDC系统中引用云技术, 促进了IDC的革新。云计算理念在IDC中的实践应用, 可以说是重新构架了IDC, 使电信IDC数据中心更新换代, 向CDC的与数据中心转变。在信息爆炸的互联网时代, 传统IDC数据中心已经满足不了电信运营商的业务发展需求。主要是因为传统的设备分配方式比较单一, 有局限性, 导致机器利用率比较低, 成本比较高;传统IDC数据中心承载的业务结构比较单一, 多是基础资源出租;机房内越来越庞大的服务器面临的能耗和散热的压力也越来越大, 使运营成本不断的增高, 需要节能减排。云计算技术在电信领域的应用, 可以为电信用户提供弹性的资源服务, 例如:存储资源、网络资源、计算资源等新兴业务形式的服务, 解决了传统IDC应用系统的发展过程中遇到的问题。新型的融入云计算的IDC电信系统, 以业务服务为向导, 在高性能基础构架的基础上, 为广大电信客户提供各种按需应变的综合性服务。这样, 使社会信息化得到更广泛的普及, 增强电信系统中基础设施产权的价值, 有益于电信运营商提供高价值的、丰富的多样化的服务, 产生更丰厚的利润。还促进了前端终端用户的发展, 使用户根据自己的需求进行更好的选择, 以最低的成本获取网络资源, 最终实现运营商和用户的双赢。
二、电信IDC云计算应用的安全风险分析
(一) 技术安全的风险
云化IDC计算应用是为了给电信客户提供更高效的服务, 但是却降低了客户自身对服务系统的安全风险的控制能力。云化后的IDC, 用户的数据隐私和可用性更高的受到服务提供商的控制, 而且云计算的网络结构, 提高了非法用户入侵的程度, 传统的信息安全隐患仍然存在, 新的信息安全问题不断引入。云计算的网络服务系统中, 对使用对象的身份信息的合法性存在很大困难, 容易出现身份假冒的问题。在云计算系统中, 通过虚拟化环境为多各用户提供共享, 使IT资源得到最大化的利用效率和灵活性, 但是也存在着比使用物理主机的更大的风险, 如果隔离措施失效, 就会有用户的数据受到破坏, 具有极大的风险。云化后的IDC系统, 用户的数据透明的存储在云中, 依赖于服务商, 用户失去了具有完全管理的权力, 数据的保密和隐私的安全问题日益凸显。传统中的IDC模式, 用户对私有的数据具有完全的管理权, 而在云计算环境下, 用户的私有数据的安全性失去了网络物理边界的保障, 完全依托运营商, 如果没有足够的控制措施, 用户的数据容易导致泄漏、篡改、丢失。由于云计算硬件资源的共享, 如果对数据删除的不彻底, 新用户就可以通过恢复技术使之前的用户数据得以还原, 导致隐私泄漏。云计算的平台聚集了大量的用户应用和数据资源, 往往会成为黑客攻击目标的首选, 而且云计算的应用平台一旦收到了攻击会损失巨大, 致使大量用户计算的数据丢失, 造成无法挽回的损失。另外, 云计算服务提供商内部的内控不完善, 也会出现内部失误, 导致用户的信息泄露、篡改、丢失。云计算应用系统的重要特征就开放性, 云服务是根据不同的业务需求, 利用软硬件等平台, 为用户提供安全、标准的API接口, 使各用户按需使用。但是不安全的API接口会使云服务面临着暴露的风险, 黑客等攻击者会利用这一安全隐患篡改和破坏用户的数据, 产生巨大的社会危害。
(二) 管理方面存在的安全风险
云计算服务模式的另一个特点就是数据的管理权和所有权的分离, 云服务提供商具有用户数据和应用的优先访问权。因此, 云计算服务商的信息安全管理规范程度、对合同履行的情况等直接影响着电信用户数据和应用的安全性。其存在的风险包括人员管理风险、安全责任风险、运营管理风险等。人员管理的风险是指云计算服务提供商的内部人员在管理数据过程中失职导致的用户数据泄漏的问题, 是用户信息数据安全的重大隐患之一。此外, 如果与服务提供商对用户的登记信息管理不严, 可以导网络致犯罪分子的乘虚而入, 利用云计算服务系统的便利危害其他用户的安全。云计算服务系统的安全责任的界定的不明确, 也容易导致出现信息安全问题。服务提供商和用户之间对用户数据和应用的安全防护的界定要达成一致, 安全责任不清楚也会带来一定的风险。云计算服务提供商对安全服务协议的履行程度也是管理安全措施中需要明确解决的问题。在云计算系统的应用中, 其运营管理的过程中也存在一定信息安全隐患。由于用户所选用的云服务可能来自多个服务提供商, 这又产生了多层服务模式的风险, 云服务提供商提供的服务形式的变化也会对用户的数据和应用产生很大的影响, 导致服务应用不稳定或者数据丢失、泄漏。这些管理问题的存在对于云计算的应用实践都产生了很大的风险隐患。
三、总结
综上所述, 数字信息化的时代下, 科学技术的革新是企业生存发展的不竭动力。IDC云计算在电信领域的广泛运用, 使其服务方式及内容都产生了很大的变化, 为用户提供不同层次和种类的需求, 给我国信息化的发展带来了很大的机遇。但是云化后的IDC却面临着比传统信息系统更严重得安全风险的挑战。云计算的信息安全问题成为了制约云计算应用推广的主要因素, 其安全防护的需求已经是势不容缓。电信行业的云计算应用, 还需健全其管理体系、加强技术革新等方式提高云计算应用防风险能力。
参考文献
[1]沈军, 樊宁.电信IDC云计算应用与安全风险分析[J].信息安全与通信保密, 2012.
[2]汪来富, 沈军, 金华敏.云计算应用安全研究[J].电信科学, 2010.
浅谈电信网络安全 篇4
老师在课堂也也时刻点明这我们这个是随着互联网的兴起的时代,而我们这些IT人又面临着更新一步的IT技术。面对TCP/IP协议簇的采用,各种应用层出不穷,传统的固定网、移动网与互联网的联系越来越紧密。有线、无线等各种接入方式不断推出,企业网、ISP、ICP、个人电脑等都以不同的方式与互联网等网络相联。这样,虽然用户使用方便了,但网络安全问题的威胁也增加了,往往一个点或一个地方的问题会影响到其他地方、其他网络,甚至多个网络。
同时,我在外面所报名的华三H3C的NE课程中也认识到网络安全问题的重要性:当前,威胁网络安全的主要有木马程序病毒、蠕虫病毒、电子邮件攻击、Web攻击、软件漏洞、系统漏洞、拒绝服务(DoS)攻击、IP地址欺骗、即时通信攻击、端到端攻击、缓冲溢出等。
从上述威胁网络的种种可以看出,黑客与病毒的目的不外呼是破坏系统和窃取信息。面对这一形势,目前电信网络如何增强其安全性呢?
二、本课题研究内容:
首先我们就先来看互联网和电信网的特点:
电信网络的特点
传统的电信网络(PSTN)是基于电路交换的方式,面向连接,网络QoS有保证。其网络的安全性体现在网络的可靠性和可用性,网络的可靠性涵盖了传输系统和相应的设备,可靠性的指标很高,设备间的连接电路也有相同的可靠性要求,并且还设计了冗余备份和保护倒换等技术来进一步保证系统的可靠性。
PSTN对用户的信息是透明的,网络保证不对用户信息进行任何的修改和破坏。用户信息也不会对网络节点设备构成任何冲击和危害。
PSTN的网络安全还包含运营网络不得随意使用加密技术,而对于个人用户的私人保密是以不危及国家安全为限的。在传统的电信网中,用户数据加密是有规定的,普通用户数据是不准加密的,商密用户,普密用户,绝密用户可以使用密码技术加密,但必需经过相关部门批准。
互联网的特点
互联网是基于分组交换的方式,面向无连接,网络QoS保证较差。互联网又可称为IP网,传统的PSTN网由于是面向连接,一条链路要么接通,要么不通,问题容易发现也容易解决。而IP网是无连接的,其网络的路由和流量分配都是随机的,不同的流量分配带来的网络效率也不一样。IP网络攻击源无处不在,难以追踪和查找,使IP网络维护的复杂性大大增加。
近年来,由于互联网的迅猛发展,新业务及传统业务的迅速IP化,终端设备的智能化,网络规模越来越大,网络的安全问题也越来越突出,加上互联网的不可管理,不可控制,网络只保证通达,而把安全问题交给了用户的一些网络设计中,这样就进一步恶化。上面所谈的一些威胁安全的种类都是由于互联网及其业务的发展所引起的。而当今互联网已把PSTN和移动网紧密地联系起来了,如VoIP业务的迅猛发展更是和每个网络有关系。这样上述的网络安全的种种自然也带给了电信网络。
从客观来讲二者之间的差异一目了然,可二者的技术关联是密不可分的。互联网和电信网的普遍性、加密性、覆盖面广决定了我们所依赖此类网络的前提。下面我们谈谈其防范:
网络安全的防范
网络安全的防范是一个体系和系统,必需协调法律,技术和管理三个方面。要集成防护,监测,响应,恢复等多种技术。
网络安全的防范是通过各种计算机,网络,密码和信息安全技术,保护在网络中传输,交换和存储信息的机密性,完整性和真实性,并对信息的传播及内容进行控制。
网络按全的防范从技术层次上看,主要有防火墙技术,入侵监测(IDS/IPS,IPS可以做到一手检测,一手阻击)技术,数据加密技术和数据恢复技术,此外还有安全协议,安全审计,身份认证,数字签名,拒绝服务等多种技术手段。这里特别需要指出的是防火墙,防病毒和安全协议的技术。防火墙守住网络门户,防病毒是网络的第一把保护伞,安全协议提供了身份鉴别,密钥分配,数据加密,防信息重传,以及通信双方的不可否认性等重要功能。
三、研究目标、主要特色及工作进度:这里的电信网包括电信,移动等运营商的固定网和移动网,以及专门供运营商使用的专用网,如DCN(数据通信网)等。电信网络的安全保障可从以下几方面考虑:
1.在电信网络各节点处构筑防御(如防火墙),防止外网影响内网。这里说的节点就是与其他各种网络连接的地方,除固定网与移动网外,还有ISP,ICP,企业网,个人电脑等许多终端设备。
2.建立一个统一,完善的安全防护体系,该体系不仅包括防火墙,网关,防病毒及杀毒软件等产品,还有对运营商安全保障的各种综合性服务措施,通过对网络的管理和监控,可以在第一时间发现问题,解决问题,防患于未然。
3.在互联网日益广泛应用的今天,为保障电信网络的安全,必需树立全程安全的观念。全程安全就是在安全的每个过程中,如物理层,网络层,接入终端,服务层面,人员管理等每个和安全有关的过程都要添加相应的安全措施,并且还要考虑安全随时间变化的因素,也就是说,无论用户在任何特定的时间,用户的安全性都能得到保障。
4.需要建立安全管理机制。例如,口令管理;各种密钥的生成,分发与管理;全网统一的管理员身份鉴别与授权;建立全系统的安全评估体系;建立安全审计制度;建立系统及数据的备份制度;建立安全事件/安全报警反应机制和处理预案;建立专门的安全问题小组和快速响应体系的运作等。为了增强系统的防灾救灾能力,应制定灾难性事故的应急计划,如紧急行动方案,资源(硬件,软件,数据等)备份及操作计划,系统恢复和检测方法等。
5.建立专门的数据容灾系统。其内容主要是数据容灾和应用容灾。数据容灾是指建立一个异地的数据系统,该系统是本地关键应用的一个实时复制,当本地数
据及整个应用系统发生灾难时,系统至少在异地保存一份可用的关键业务的数据。应用容灾是在数据容灾的基础上在异地建立一套完整的,与本地相当的备份应用系统(可以互为备用),在遇到灾难时,远程系统迅速接管业务运行。
电信企业法律风险分析及应对 篇5
关键词:电信企业,法律风险,防范措施
2008年5月23日, 电信业重组方案正式宣布。电信重组之后, 新移动、新电信、新联通这电信三大家毫无疑问地将各执一张3G牌照, 重新拉开“电信三国”的序幕。电信企业作为国民经济的先导型产业, 其改革和重组一方面离不开国家产业结构调整的影响, 另一方面由其自身发展的规律所决定, 即自然垄断化的过程。此次电信业改革和重组的目的, 就是要改变当前固网和移动市场发展的不平衡局面, 打破垄断, 实现有效竞争, 推动电信业的全球化发展。这就要求电信企业要做到“两手抓, 两手都要硬”, 要在追求股东价值最大化的基础上, 重视企业的全面风险管理, 并把法律风险防范作为全面风险管理的底线和突破口, 做好法律风险的管控。
一、法律风险的提出及其特点
2006年6月6日, 国务院国有资产监督管理委员会发布了《中央企业全面风险管理指引》 (以下简称《指引》) , 对中央企业如何开展全面风险管理工作提出了明确要求。《指引》将企业风险分为战略风险、财务风险、市场风险、运营风险、法律风险5大风险。其中, 法律风险是指因法规因素所引致的由公司企业承担的潜在的经济损失或其他损害的风险。法律风险存在于企业经营发展的每一个环节, 是企业所有风险的底线, 具有广泛性、突发性、灾难性等特点。法律风险发生后以法律诉讼为表现形式。法律风险如得不到有效控制将严重影响企业的生存和发展。
近几年电信企业案件数量不断攀升, 知识产权、劳动关系纠纷、话费纠纷等案件的败诉, 都给电信企业造成了重大的经济损失和商誉影响。法律风险固有的特征决定了电信企业要想实现持续健康发展、提升核心竞争能力, 必须坚持依法治企、依法经营。
二、电信企业法律风险分析
电信企业作为中央直接管理的特大型企业, 一方面, 其受到国资委、行业主管部门、资本市场监管体系等机构的多重监管;另一方面, 其与各价值链主体间存在着大量的民事法律关系。尤为重要的是, 电信企业还与数以亿计的用户之间存在着电信服务合同关系。此外, 新业务的快速发展和海外电信市场的拓展也给电信企业带来了诸多新的法律问题。电信企业的法律风险, 突出表现在以下几个方面:
(一) 内外部竞争及法治监管环境的变化给企业带来的法律风险
从国际形势看, 全球经济化进程的加快使企业在更大、更广的范围内实现资源配置的同时, 面临的竞争环境也更加复杂多变, 带来的法律风险也更多。
从国内宏观政策及监管要求来看, 我国正处在从传统法制国家向现代法制国家过渡的重要时期, 法制转型造成电信企业面临更大的不确定性。电信企业的任何一项改革, 包括企业的网络转型、引进技术、业务开拓等管理创新举措, 都必须面对更多的政策及法治监管风险。
(二) 总分公司体制下引发的责任风险
各级电信分支机构由于不具备法人资格, 其民事经济责任最终要由总公司来承担。如果不实现有效的法律风险防范机制, 就有可能“千里之堤、溃于蚁穴”。
(三) 违规操作的法律风险
违规操作的法律风险主要体现在企业因片面追求效益, 忽视竞争规则引发的法律风险。在日常经营和发展中, 电信业由于违规操作造成的法律风险集中体现在以下几个方面:
1. 业务经营及客户服务领域的法律风险。
主要集中在新业务的开展、客户服务和话费收取等方面。这种法律风险较为复杂, 覆盖面较广, 表现形式多样。
2. 网络与技术转型方面的法律风险。
主要集中在网络技术转型、网络建设与市政改造、通信设施遭受破坏、网络中断、确保信息畅通等方面。
3. 人力资源管理中存在的法律风险。
一是电信业多年来融合重组、改制上市, 遗留下的人力资源转型、不规范用工等问题, 必然引发更多的劳动争议。二是人身损害事件频繁发生, 企业承担较大的损失赔偿。三是企业商业秘密的保守、商业禁止业务存在带来的风险。
4. 有关知识产权的法律风险。
一是综合信息的合法性问题。二是侵犯他人合法权益的问题。三是电信企业自主知识产权的保护问题。知识产权保护多年来一直没有受到电信业的重视, 电信业“有研发无创新、有创新无产权、有产权无应用、有应用无保护”的现象普遍存在。
5. 缺乏法律和契约意识, 合同纠纷不断增加。
合同管理法律风险主要表现在合同审查论证失严, 规范化程度不高, 合同全过程监控管理欠缺, 实际履行缺乏过程管控。
6. 合作经营中存在的法律风险。
由于合作伙伴的利益与电信企业的利益不可能时刻保持一致, 合作伙伴可能为了追求自身利益的最大化, 将电信企业的各项规章制度置之度外, 出现侵害公司利益的行为。
(四) 历史遗留问题造成的法律风险
电信业诸多方面的历史遗留问题波及面广泛, 影响深远。在法律规定的诉讼时效期内, 潜在的诉讼风险依然较大, 处理不好就会引发诉讼, 严重影响企业的改革和发展。
面对电信企业错综复杂的法律风险, 如果没有一套科学、有效的方法进行系统的梳理和客观的评估, 很难从宏观上准确把握企业法律风险的整体状况, 也很难判断哪些风险对企业的影响更为重要, 进而无法合理分配风险控制资源, 有效防范风险的发生。
三、电信企业法律风险防范的应对措施
电信企业在法律风险管理上, 应大胆创新工作模式, 打破固有思维惯性, 及时跟踪国内外法律环境的变化, 在
40北方经济·2009年第6期做好传统法律事务工作的同时, 引入风险管理理念, 构建法律风险防范体系, 将法律风险管理工作融合到生产经营、改革发展、企业管理的各个环节上, 使其发挥出重要的作用。为此, 电信企业法律风险防范应该尽快深化以下几个方面工作:
(一) 按照《公司法》的有关规定, 完善企业法人治理结构
国资委2006年公布的数据显示, 国资委成立3年来, 收到中央企业请求调处的重大纠纷案件221件, 其中80%发生在二级以下子企业。这充分暴露出一些中央企业治理结构不完善, 组织结构不合理, 资产配置链条过长, 对下属子企业管理失控。电信企业重组后, 应按照《公司法》的规定, 按照国资委对电信企业法人治理提出的要求, 完善企业法人治理结构, 注重完善企业总法律顾问制度, 赋予总法律顾问及法律事务机构相应的职责及审查义务。同时, 要强化对所属各级分公司的组织管控。
(二) 提高法律风险防范意识, 重视法律风险管理
长期以来, 漠视企业法律风险几乎成了中国企业的“通病”, 众多企业纷纷倒在了法律风险的“暗礁”上。在电信企业, 相当多的领导干部对企业风险认识不足, 风险管理意识薄弱。电信企业在大部分案件中都是充当“被告”角色, 即便有时作为原告, 也由于主动维权意识不够或法律知识欠缺、超过了法定的诉讼期限, 给企业造成经济损失。因此, 电信企业必须认真吸取国内外企业成功和失败的经验教训, 将法律风险管理置于企业管理的前沿。领导带头学习法律法规, 并向广大员工广泛宣传法律风险管理的重要性, 树立全员依法治企、依法经营的法律意识, 逐步减少因人为操作失误引发的法律风险。
(三) 完善法律部门机构设置, 注重培养企业法律专业人才
法律风险的管理和防范需要完善的组织保障体系和高素质的干部队伍组织。多年来, 电信企业法律事务机构设置和法律人才的培养, 一直是冰山一角。电信企业的很多案件处理不当, 都和企业法律职能弱化、法律人员综合素质不高直接相关。所以, 法律部门既不是“鸡肋”, 也不是“花瓶”, 电信业应尽快完善法律事务机构的设置, 强化法律风险管理工作职能, 逐步形成法律工作与经营管理相互渗透的工作机制。要强化和重视法律管理职能, 吸引和挖掘更多的优秀人才从事企业法律事务工作, 为企业打造出一支高素质的、复合型的法律专业人才队伍。
(四) 加强合同精细化管理, 建立合同全过程法律风险控制体系
合同管理方面, 应坚持“法律部门和专业部门管理相结合, 预防为主、分工负责、归口把关”的管理体制。在明确合同审签、统计分析、纠纷处理、档案管理、合同标准文本管理等管理制度的同时, 一方面要注重加强合同全过程的监督和检查, 另一方面应加大对电信企业各类业务合同的规范。针对不同的客户群体和业务类型, 研究制定既严密又便于操作的不同的法律合同文本, 为公司市场发展提供不同的法律保障。同时, 要推进合同的网络化管理, 实现合同审签和授权管理在办公网络平台的流转, 提高合同管理效率和效果, 降低企业管理成本。
(五) 以防范为重点, 加强知识产权管理与保护
电信企业在向综合信息服务提供商转型的过程中, 自主知识产权的开发、保护已成为其战略转型的核心竞争力。电信企业要借鉴国内外大企业的知识产权管理经验, 一方面要监控自主知识产权的营运状态, 尽快建立企业自主知识产权登记保护制度;另一方面要防止对他人知识产权的侵犯, 重视对不同业务商业模式下知识产权问题的研究, 切实解决好自办网站内容的合法、合规性, 采取有力措施预防因管理疏忽导致的侵权行为的发生。知识产权的管理还应建立长效的保护与管理机制, 通过明确各业务部门的管理职责、细化管理流程, 加强监督检查, 不断提高知识产权保护的法律意识, 努力降低经营风险。
(六) 规范渠道建设, 强化对合作经营行为的法律监督
由于电信企业市场经营渠道数量多、范围广, 因此必须强化对合作伙伴, 包括电信设备厂商、代理商、SP等的监督和管理, 避免因片面追求经济效益、忽视风险管控给企业带来重大损失。一要注重对合作经营伙伴资信的审查和经营行为的定期评价, 对不符合要求的, 坚决不予合作或解除合作协议。二要加强对合作经营合同的审批及全过程的监督管理, 确保双方按合同条款履约。三要强化对合作运营商的日常管理, 加强双方的沟通和交流, 确保其按照企业规定发展业务。另外, 还要对其经营行为的合法合规性及业务范围进行定期审查, 发现违规行为, 及时采取措施予以制止。强化对代理业务营业款项的管理, 通过完善制度、专人管理, 强化代理业务营业款的清理回收, 避免企业遭受经济损失。
(七) 解决根本问题, 尽快构建法律风险防范体系
构建一个长期、稳定、符合公司战略发展的法律风险防范体系, 是有效防范企业各类法律风险最有效、最直接的途径。法律风险防范体系的构建是电信企业适应外部法律环境及经济全球化发展的客观需要, 是保障国有资产安全、实现国有资产保值增值的客观需要, 是电信企业建立现代企业制度、深化公司治理、提高核心竞争力的客观需要。法律风险防范工作是一项长期的系统工程, 应得到电信企业领导的高度重视, 同时也需要全体员工, 尤其是企业法律人员、风险管理人员的共同努力。
各电信企业按照国际通行的内部控制COSO框架构建起的内部控制管理体系, 为法律风险防范体系的构建奠定了坚实的基础, 大大降低了法律风险体系构建的复杂程度。在此基础上, 融合全面风险管理的ERM框架理论和方法, 结合公司发展战略目标要求, 完成风险识别、风险评价及制度和流程的建设等工作, 即可初步构建起法律风险防范体系。
四、结论
(一) 法律风险存在于企业经营发展的每一个环节,
是企业所有风险的底线, 具有颠覆性、突发性、灾难性、可控性等特点。电信企业忽略对法律风险的管理和防范, 会带来较大的经济损失和社会影响。
(二) 法律风险防范体系的构建是防范法律风险最为直接、有效的管理手段。
法律风险防范是一项长期而艰巨的工作, 需要电信企业高层领导的高度重视和全体员工的共同努力。
(三) 法律风险控制的最终目标并不是单纯地追求所有法律风险的最小化。
对风险的过度控制将造成商业机会的丧失和管理成本的增加, 电信企业需要正确处理好业务发展和公司风险承受能力之间的关系。
参考文献
[1]黄丽虹, 黄长全, 李素鹏.企业全面风险管理基础[M].国际文化出版公司, 2008.
[2]王正志, 王怀.公司法律风险防范与管理[M].法律出版社, 2007.
[3]钟林.攀登企业如何赢在风险[M].清华大学出版社, 2006.
[4]我国电信法有望2009年出台[EB/OL].http://022net.com/2008/10-19/506123293138257.html, 2008-10-19.
[5]国资委强调防范法律风险电信央企要作准备[EB/OL].http://info.tele.hc360.com/2006/05/09114065247.shtml, 2005-5-9.
对电信企业开展内控评估的思考 篇6
一、建立完善的内控体系是开展内控评估工作的前提
中国电信自2004年开始, 本着循序渐进的原则, 有计划、有步骤地在全公司范围开展内部控制手册细则的编写工作, 通过内控制度的文档体系、流程体系及以组织体系的建立, 对现有规章制度进行了梳理、补充和完善, 涉及与财务报告相关的30余个业务流程设计基本包括了中国电信与财务报告有关的主要交易, 重点规范经济活动的主要流程、关键控制点和权限, 增强了业务流程设计的合理性和管理的规范性。
在完备的内控体系基础之上, 每年开展内控评估工作, 采用调查问卷、专题讨论、个别访谈以及现场实地查验、业务流程穿行测试等行之有效的评估方法结合进行, 进一步理顺、规范业务和管理流程, 使内控制度的落实执行、内控缺陷自查整改有章可循。
实践证明, 内控工作在中国电信受到了前所未有的重视, 内控意识深入人心, 上到公司管理层, 下至全体员工都普遍接受。内控工作已经成为各级管理者强化企业内部管理, 提高会计信息真实性, 有效控制企业风险, 提升企业核心竞争力的重要手段, 内控评估工作取得很大成效。
二、建立全面风险评估体系是实施内部控制的重要环节
风险评估是企业及时识别、科学分析经营活动中与实现控制目标相关的各类风险, 合理确定风险应对策略。内控建设初期, 中国电信在进行内控制度建设、执行和评估中, 侧重于于具体业务层面的风险考虑, 特别关注组织机构、经营方式、资产管理、业务流程等管理因素以及财务状况、经营成果、现金流量等财务因素, 主要停留在关注与财务报告相关的风险。
随着内控工作的深入持续开展, 电信企业应当积极利用内控工作取得的成果, 在现有内控工作的基础上进一步探索开展全面风险管理。全面风险管理要求企业不仅要识别内部风险, 还要识别和控制各类外部风险, 比如经济形势、产业政策、融资环境、市场竞争等经济因素以及法律因素、社会因素、自然环境因素等等变化而产生的风险。在市场环境下, 外部风险对企业内控会产生更为深刻的影响。
电信企业应当健全风险评估机制, 根据设定的控制目标全面、系统、持续地收集相关信息, 建立风险预警机制, 把应对风险管理的要求融入各项管理和业务流程, 结合其它管理工作的开展, 深入执行现有内控制度, 能够持续、不间断地进行监控、调整与应对。
三、应用IT内控评估支撑系统是提高评估质量的保障
评估本身的效率问题也是内控效率问题的一部分。电信公司内控工作开展之初, 没有系统支撑, 对于评估过程中所需样本采集量大, 一部分数据、表格的设计格式没有统一标准, 样本填报质量不一, 利用率相对较低, 增加了整理汇总难度, 造成重复工作量大, 对采集数据核实、分析、利用存在困难等。
针对这种情况, 中国电信利用公司目前的企业门户管理系统, 开发出了符合中国电信自身特点的内控支撑管理系统, 投资小, 效益好。内控支撑系统的应用, 实现了关键控制点的筛选和评估方法的固化, 依托系统落实责任部门和责任人的动态分解, 对需要分解的流程名称和需要评估的控制点分解到一个或多个具体执行人, 由该执行人对照控制点要求与工作过程进行对比, 并进行自我评估, 重点评估点提交检查人重点评估。实施执行人逐项自我检查并做出相应承诺形成自评表, 形成测试底稿, 并将评估结果上传到内控评估支撑系统中, 实现了各项工作的整合。
内控支撑系统的建立, 在评估过程能够区分主次, 突出重点控制环节, 对风险较大、影响较大的控制点要求高, 操作性强, 评估结果准确性、有效性高;对于难度较大、风险较低的控制点可少检查或从控制列表中直接删掉, 减少了制度建设和内控评估的工作量, 提高了评估质量和效果。
四、将内控管理融入日常管理之中, 实现评估常态化
内控实际上是对日常工作的规范, 要求各岗位遵循业务流程, 强调操作的规范化, 并要求通过IT系统或人工干预强制执行, 并非独立于日常工作, 离开了业务就不存在内控。
中国电信的内控建设重视结果, 更注重过程的实质性控制, 过程与结果并重是电信企业内控建设区别于其他管理的显著特点。目前, 中国电信开展的内控评估工作根据集团统一布署, 从每一年度年中开始, 评估程序分为准备、实施、报告、改进阶段, 自查整改延续到年底。为了推进评估的日常化, 使内控管理融入企业各个业务环节, 达到自我评估、自我矫正、自我完善的目的。对公司内控涉及的流程、内控点固化导入系统, 借助IT支撑系统, 将岗位责任从“体外”导入“体内”。针对业务受理、营业收费、计费、资源管理、维护等IT支撑管理系统, 按照风险可控、操作性强、保留痕迹、便于审计的原则, 将控制点执行人的自我评估要素具体化, 开展经常性“对标”工作, 促进员工在日常工作中自觉地履行内控责任。
风险评估电信网络安全 篇7
一、电信企业实行内部控制建设的必要性
(一) 建立健全内部控制是完善公司治理结构的要求
我国几家大的电信企业均在2000年前后建立并进一步完善了企业的治理结构,这对正在深入发展市场经济的中国来说,其意义是重大的。它不仅提高了我国国有企业的经营效率,而且加快了企业向现代企业制度发展的步伐。但是,电信企业在公司治理结构方面仍然存在不少的缺陷,例如,控制机制不健全,风险意识缺乏,代理成本过高等问题。因此,面对经济全球一体化进程的加快,电信企业必须建立健全内部控制,逐步完善电信行业的公司治理结构。
(二) 建立健全内部控制是企业走向国际舞台,提高竞争力的要求
进入21世纪以来,竞争的舞台已经从国内市场转向国际市场,虽然我国的电信行业仍然属于国家垄断行业,发展能力很强,但是也应该针对市场和顾客的需要进行一些战略上的调整,这对电信行业的发展是百利而无一害的。现如今,越来越多的中国企业在国外上市,其中美国证券市场是最重要的市场,电信企业也不例外, 这些企业均需受美国2002年7月25日正式颁布的《萨班斯法案》的有关条款的约束。中国通信服务股份有限公司也已于2006年12月8日在香港联交所上市,是我国通信行业第一家赴港上市的大型生产性服务类企业。这就要求企业必须加强自身内部控制建设,加强企业的风险管理意识,完善企业的经营流程以应对来自证券市场的严格的监管,努力在国际市场竞争中站稳脚跟,扩大我国电信企业在海外的影响力。
二、电信企业内部控制建设的现状
电信行业是一种向社会传递信息的服务型企业,它在经营上有自身的特殊性。首先,电信企业的产品是一种服务,没有具体的实务形态,这就决定了电信企业的生产与服务职能是同步的。例如:中国通信服务股份有限公司的主要定位为“通信运营商的服务商”。也就是说,他将为中国电信、中国移动、中国联通、中国网通、中国铁通等电信运营商提供电信基建、外包以及应用、内容及其他服务。同时,还为通信设备制造商、政府机构和大型企事业单位提供服务。其次,电信企业的业务大多数涉及到多个企业、市区、省,需要全程、全网联合作业。最后,电信企业的业务需要大量的通讯设备,这些设备都属于高科技的产品,所占资金较大,并且维修难度大,成本较高等。这些都使得我国电信企业在内部控制建设方面也存在一些特殊的问题。
(一) 内控观念落后
多数电信企业仍然认为建立健全企业内部控制制度是“不得已而为之”的行为,仅仅是为了符合证券市场监管的要求,却没有真正认识到建立合理、有效的内部控制制度可以降低企业经营过程中存在的风险,有利于提高企业的经营效率;在一部分电信企业的高层管理人员眼中,内部控制仅仅属于会计部门的事情,是一种简单的管理和控制,殊不知企业的内部控制建设是有财务部门领头组织涉及,需要所有部门共同配合实施制度,所有的员工都应该以身作则,对内部控制有正确的认识;伴随着市场竞争机制在国有企业的引入,电信企业的经营风险逐步增大,如果还是局限于对成本效益的管理上,忽视了对风险、人力资源等的管理,就会使企业在竞争中举步维艰。所以说,内部控制管理观念的落后,会给企业带来很大的困扰。
(二) 管理结构冗繁且分散
众所周知,多级分散的管理制度使得企业结构显得臃肿且冗繁,不利于内部控制制度的实施。在目前的电信行业中,大多数的企业仍然实行二级法人管理制度,例如,生产部门负责维护和正常营业,管理部门负责计划、财务、市场等。电信企业的业务流程是按照生产和管理的步骤设计的,流程的负责人负责管理控制所属的控点,但是各个控点的责任人又属于其他部门,这样形成的管理上的交叉,容易使部门间产生一些摩擦与矛盾,不利于企业的团结,影响了企业的经营效率。同时这样也容易造成当出现问题时责任人不明确的现象,这就严重影响了企业内部控制制度的完整性。
(三) 风险意识不强,忽视风险管理
在企业的经营管理中,风险无时不在,无处不在。对风险意识不强,忽视风险管理的重要性就会使企业在竞争中处于劣势。在电信行业中,虽然有些企业制定了如投资集中管理规定、现金收支管理制度等诸如此类的规章制度,但仅仅只是片面的从制度上对存在的风险加以约束,没有从根本上加强对风险的认识,重视财务风险对企业带来的影响等,更别提形成一套完整有效的风险管理体系。对风险的认识不足,会给企业带来很大的负面影响。
三、强化风险意识,加快内控建设步伐
(一) 加强企业内部控制意识
电信企业要想建立健全企业的内部控制制度,首先要做的就是转变旧的思想观念,树立新型的企业内部控制管理观念。在我国,电信企业往往属于大型甚至特大型企业,不管在企业的规模还是人力资源等方面都不能适应企业的进一步发展,往往出现资产的丢失、人员管理不善等现象。因此,加强企业内部控制是企业发展的内在要求。一方面,企业管理层应树立新型的内部控制意识,高度重视内部控制建设,将内部控制引入到企业的发展战略上来,这样就把内部控制建设提升到战略目标层次,给企业员工树立一个好的形象,从而为企业实施有效的内控创造成良好环境。另一方面,企业可以通过定期邀请专业风险管理人员对企业员工进行基建、外包服务的培训,通过这样的方式来强化全体员工的内控观念,加强员工的职业素质和道德素养,规范员工的岗位责任制度,使其能深刻了解企业内部控制的整个流程、执行的程序和实施的意义等,这样就可以使电信企业全员上下一心,达到事半功倍的效果。
(二) 梳理企业管理流程,简化管理结构
电信企业的内部控制建设不应该脱离其日常的生产管理环节,针对目前企业结构复杂的现象,应该进行如下改革:首先,将内部控制贯穿于企业的整个业务流程,调整和梳理企业的流程管理,将多余的、没有价值的流程去掉,使每个流程之间能紧密配合,实现企业结构的扁平化;其次,将管理人员的职责与内部控制相结合,并把其对内部控制的实施情况与管理人员的岗位绩效考核、晋升与学习机会、工资薪酬的增减相结合,只有管理者重视并积极推动内部控制的实施,才能在企业中形成重视内部控制的氛围;最后,加强企业的执行力度,将每一个岗位的职责与权限进行全程的控制,并实施考核,对表现突出的员工给予物质和精神上的奖励,调动员工的主动性和积极性。
(三) 建立健全风险管理体系
风险贯穿于电信企业经营管理的每一个环节,如果忽视了对风险的认识,没有正确的风险观念,就会使企业的生产、销售等都面临重大的风险,因此,管理者需要对风险进行正确的识别和分析。一方面,要加强管理人员对风险的了解,要认识到忽视风险所带来的危害性,在每一个管理环节、做出每一个决策都要充分全面考虑到风险的影响;另一方面,建立企业的风险管理体系。如,在编制预算调整程序,对实际业务中与预算目标不一致的情况,进行及时的修改,防止生产环节中风险的产生;对企业中存在的一些诸如舞弊因素、财务因素、员工关系等风险因素进行定期的分析;如果有必要时,还可以建立企业预警系统来加强对风险的预警。
总而言之,强化风险意识,建立健全企业内部控制制度不是一朝一夕就可以完成的,它需要整个企业领导之间、部门之间、员工之间的通力配合,是一个逐步的、缓慢的过程,期间所耗费的人力、物力和财力是巨大的。但是一个合理、有效的内部控制制度将为电信企业在竞争中处于不败之地打下一个扎实的基础。
摘要:电信行业是一项特殊的服务型企业, 强化其风险意识, 加强风险管理, 建立健全企业内部控制制度对电信企业的长远发展来说具有重要的意义。本文从这一角度出发, 对我国电信企业目前内部控制建设的现状进行剖解, 提出几点加强和完善内部控制建设的措施。
关键词:电信企业,内部控制,风险意识
参考文献
[1]叶陈刚.翟健勇.公司内部控制体系探析—来自中国网通的案例.财会通讯.2008 (4)
[2]周美萍.电信企业在内部控制方面存在的问题及对策.会计之友.2008 (6)
风险评估电信网络安全 篇8
电信业是一个基础设施产业, 由于体制原因, 电信业长期以来都存在着重复建设的现象, 这不仅造成对资源的极大浪费和对环境的负面影响, 同时带来了三大运营商网络能力投资不足和投资回报效率低下等问题。同时由于电信效益增幅放缓, 竞争已从网络技术转向服务和业务, 因此实施电信基础设施共建共享, 避免重复建设迫在眉睫。
二、共建共享规划后评估体系设计
一套系统科学完善的评价指标体系是实施共建共享规划后评估的基础, 它直接关系到考评结果的有效性。为了保证共建共享规划后评估体系的科学性、规范性和普适性, 又能体现共建共享管理的价值导向目标, 本文在参考某运营商多个省公司相关共建共享规划后评估报告的基础上, 通过咨询专家和实地访谈调研确定了后评估指标体系 (图1) 。
三、共建共享规划后评估方法
规划后评估的方法有很多, 目前应用较为广泛的评估方法主要有模糊综合评价法、群体决策德尔菲法、层次分析法等。共建共享规划后评估是一个涉及多因素综合评价问题, 指标的重要程度由人们的主观判断确定, 不可避免地带有结论上的模糊性, 因此本文选择能够处理多因素、模糊性及主观判断等问题的评价方法———AHP及模糊综合评价法, 结合AHP方法和模糊综合评价的优点, 基于科学的数学原理和数学计算, 为共建共享规划后评估提供了依据。
3.1指标权重确定
美国运筹学家Satty教授提出AHP方法, 可以将复杂的相关问题分解成若干个不同的层次, 通过逐步分析, 将主观判断进行定性分析量化[7], 层次分析法在规划后评估也得到了广泛应用。不同的指标对共建共享规划后评估的影响作用及重要程度不同, 因此要根据各指标要素对共建共享规划后评估的影响高低确定其在整个后评估指标体系中的权重, 本文构建的测度指标权重的分析过程为: (1) 根据共建共享规划后评估指标体系层次结构模型, 用九分法比较尺度并综合专家群体咨询意见, 从而构建判断矩阵; (2) B矩阵按列归一化处理:; (3) 矩阵按行求和:vi=∑ijbij; (4) 矩阵归一化处理得矩阵的特征向量值, 即一级指标Bi的相应权重; (5) 利用公式进行满意一致性检验; (6) 对共建共享规划后评估指标体系的二级指标重复 (1) — (5) 。
3.2模糊综合评价
以上用AHP法能确立后评估指标体系中各层次指标对整个规划后评估目标影响的程度, 由于共建共享规划后评估指标体系中指标层级边界存在模糊性, 为了更科学地评价出指标体系的优劣程度, 本文采用模糊综合法计算模糊指标隶属函数值。Hwan将模糊数学方法引入到项目后评估中, 形成了模糊综合评价法[8]。
(1) 确定评价集。依据共建共享规划后评估指标体系结构, 用Ui={U1, …, U6}表示准则层B的指标集;用Uij={Ui1, …, Uij}表示准则层Bi对应的指标层C的指标集。用V={V1, V2, V3, V4}表示评判集{差, 中, 良, 优}, 通过专家评分法确定每个层级的上限值u1, …u4
(2) 建立模糊关系矩阵。邀请多位专家对指标集Uij进行打分, 求得各专家打分的平均值, 然后建立其隶属函数, 转换方式如下:
得到共建共享规划后评估体系中从U到V的模糊评价矩阵:
(3) 模糊综合评价。根据模糊评价原理可求得Uij对于V的隶属向量Ei=Wio Ri, 其中o为模糊算子。通过上述Uij的评价运算, 可得到模糊综合评价矩阵R, 继而可求得U对于V的隶属向量E=Wo R, 根据最大隶属原则即可确定共建共享规划的优劣, 从而可以有效的指导共建共享工作。
四、共建共享规划后评估实证分析
本实证分析案例来源于某运营商某省公司电信基础设施共建共享规划项目, 按照图1的层次结构, 综合了来自于各运营商、设计院、通管局及各高校教授的权威性和代表性专家意见, 进行了AHP权重计算及模糊综合评估。
4.1权重计算
通过层次分析法的计算, 得到电信基础设施共建共享规划后评估体系中各指标权重, 将指标体系中各准则层B相对于目标层A的权重与指标层C相对于准则层B的权重相乘, 即可得到整个指标体系中各指标的组合权重, 如表1。
由以上权重计算可知, 对规划后评估影响程度由大到小的因素依次为:目标后评估、经济效益后评估、影响后评估、流程后评估、持续性后评估, 而从指标层C综合权重可知, 对规划后评估影响最大的几个因素分别是:共建节约投资、共建完成率、共享完成率、自建预留比例。
4.2模糊综合评估
(1) 根据某运营商某省公司共建共享的实际情况及专家经验采用百分制法, 确定隶属函数属性值的上限为 (45, 60, 75, 90) , 各个专家根据该运营商某省公司的共建共享规划的实际实施情况, 分别对各个指标进行打分, 并求得平均分, 用于下面的隶属度计算。 (2) 由隶属度的计算公式 (1) - (5) 计算出各因素的隶属度, 将这些隶属度组成评判矩阵, 如下。
(3) 根据公式Ei=Wio Ri可求得共建共享规划后评估五方面的模糊综合评价结果为:
整个规划后评估的最大隶属度为0.3437, 为评价集V中的优级, 说明该运营商某省公司共建共享规划实施情况总体良好, 在规划设施中, 该省各地州分公司高度重视共建共享规划的实施, 以规划为依据, 严格管理共建共享工作, 规划实施效果明显。
4.3结果分析
(1) 目标后评估属于优级, 目标完成情况较好, 说明规划实施过程中, 大力开展共建共享工作, 拓展了共建共享的范围。 (2) 过程后评估属于优级, 过程实施情况较好, 保障了共建共享工作高效推进, 在规划实施过程中也得到了较好的执行。 (3) 影响后评估属于良级, 说明该规划具备了电信行业网络建设的规划性和前瞻性, 促进了通信行业的发展;提升了社会对通信行业的满意度。 (4) 经济效益后评估为优级, 不仅缓解了该省公司运营的资金压力, 同时提高电信基础设施资源利用率和价值。 (5) 持续性后评估属于中级, 推动了共建共享工作的持续推进。
五、结论
本文针对共建共享工作的特点, 提出了一套适合共建共享规划后评估的指标体系, 并提出了运用AHP和模糊综合评估法对后评估体系进行综合评价的分析步骤, 最后对某省公司共建共享规划后评估进行了研究, 研究结果能够较好地反映共建共享规划实施情况, 证明本文的评估体系和模型的操作性较强, 为推行共建共享规划后评估工作奠定了一定理论基础和方法借鉴。
参考文献
[1]卢安文, 胡明哲.电信基础设施共建共享策略研究文献综述[J].改革与战略, 2012, 28 (3) :184-187
[2]卢安文, 王跃平.电信基础设施共建共享推进策略研究[J].改革与战略, 2010, (1) :123-125
[3]韩九云.常州市经济开发区土地利用规划后评估研究[D].中国地质大学 (北京) , 2010
[4]谌彦如.绿色城市道路规划后评价体系研究[D].湖南大学, 2011
[5]徐慧浩.大型铁路客站规划后评价指标体系研究[D].西南交通大学, 2012
风险评估电信网络安全 篇9
电信行业应用软件有需求量大、系统高度复杂、期望完成时间短、系统涉及供应商多、沟通途径复杂等特点, 如何评估电信运营支撑系统应用软件工作量的合理性、正确性, 一直以来都是电信运营商最关注的重点问题之一。由于软件行业通用的应用软件规模评估方法不能简单适用于电信行业应用软件, 目前电信运营商通常的做法是依据工作经验进行人工估算工作量, 但往往容易引起争议, 以及导致软件开发项目预算超支、进度延期和软件质量不高等问题。因此, 如何构建适用于电信运营支撑系统的工作量评估模型, 成为电信行业应用软件需求管理的迫切要求。
2 通用软件规模评估模型介绍
2.1 通用软件规模评估模型对比
软件行业通用的软件规模评估方法主要有:代码行法、专家估算法 (DELPHI) 、类比法、功能点分析法 (FPA) 等, 其优缺点对比可从表1中看出。前三种均不适用于电信行业应用软件。
功能点分析法 (Function Point Analysis, 简称FPA) 由IBM的Allen Albrecht在1979年创立, 是目前国际上软件行业普遍接受的软件规模度量模型。功能点分析是从用户角度度量软件开发的一种标准方法, 它基于用户的逻辑功能需求, 而不考虑应用的物理实现。目前功能点分析法已发展为三类有代表性的方法:IFPUG-FPA[1]、COSMIC-FFP、MarkⅡ-FPA, 其中COSMIC-FFP适用于实时系统和信息管理系统, Mark II-FPA适用于逻辑事务交易处理, 而IFPUG-FPA相对适用于电信行业应用软件工作量评估。下面主要介绍IFPUG-FPA分析法。
2.2 IFPUG-FPA功能点分析法介绍
IFPUG-FPA是国际功能点用户协会 (International Function Point Users Group, 简称IFPUG) 制定的功能点分析法, 它从系统的复杂性和系统的特性这两个角度来度量应用软件的规模。具体来说, 功能点分析法是从用户角度将用户业务功能需求区分为两类:一类是数据功能, 具体可分为内部逻辑文件 (Internal Logical File, ILF) 和外部接口文件 (External Interface File, EIF) 两类;另一类为事务处理功能, 分为:输入 (External Input, EI) , 输出 (Externa Output, EO) , 查询 (External Quest, EQ) 三类。
ILF是内部主要的逻辑实体 (如订单) 文件个数;EIF是与其他系统协作而涉及的接口文件个数;EI是对一系列逻辑的实体文件进行维护操作, 一般为增删改;EO是系统报表、导出文件等;EQ是按照用户输入的查询条件, 对ELF和EIF进行屏幕展示。
根据IFPUG-FPA功能点模型:功能点复杂度级别与功能点复杂程度对应表如表2所示[1]。
基于功能点的应用软件规模计算公式:
参数说明:FP为调整后的功能点个数;UFP为未调整的功能点个数;VAF为功能点的调整因子计算公式;DI为调整因子, 分为0-5级:0-毫无影响, 1-偶然影响, 2适度影响, 3-一般影响, 4-重要影响, 5-强烈影响。
3 针对电信行业中的模型优化及应用
电信行业软件需求常常具有需求量大、系统高度复杂、要求时限短、系统涉及供应商多、系统间联系密切、沟通途径复杂等特点。若直接套用IFPUG-FPA直接估算功能点, 会出现以下问题:
(1) 电信运营商内部的需求管理流程中涉及的工作量不能完整体现。IFPUG-FPA估算的工作量往往只能体现功能点的工作量, 而需求流程管理工作量并不能如实反映, 如:需求分析与沟通、需求确认过程、测试与联调、版本发布与紧急版本的特殊处理等。
(2) 业界功能点分析法中的调整因子设置不能反映系统架构特征和用户需求变化的缺陷, 其所具有的评估参数值也并不符合目前电信行业需求评估, 指标也不能完全囊括目前电信行业需求的分析评估;
为解决以上问题, 需在需求管理流程工作量评估和调整因子等方面对IFPUG-FPA进行优化。
3.1 优化模型
说明: (1) 复杂度系数根据试点情况进行优化调整后取值; (2) 不同规模的项目其生产率水平相差很远, 根据美国软件生产力研究所 (Software Productivity Research, SPR) [2]对各国软件开发工作时数的研究结果对TR进行取值。若FP>=1000则TR为6;若1000>FP>=500则TR为9;若500>FP>=100则TR为12;4) 若FP>100则TR为15; (3) 系数S取值:一般为1.0;若需求为紧急需求, 则S为150%。
为使需求工作量估算过程更接近电信行业软件需求现状, 并且保证工作量估算结果的合理性和准确性, 我们按以下思路对IFPUG-FPA模型进行优化:
(1) 适应性的调整功能点分析法原有复杂度系数、调整因子等参数, 设计适合电信行业的应用软件需求工作量评估模型 (以下简称为新评估模型) ;
(2) 增加需求管理流程工作量评估, 使之符合电信行业需求管理流程;
(3) 对计算过程进行优化, 减少因估算带来的工作量和复杂度, 提升整体分析效率。
新评估模型与IFPUG-FPA对比, 差别在于:
(1) 简化复杂系数、调整因子及其参数值;
(2) 增加需求管理流程评估;
(3) 紧急需求工作量相应增加50%。
新评估模型在遵循IFPUG-FPA体系理论的基础上对分析方法进行了一些改造, 使其既符合IFPUG-FPA的核心思想, 又契合电信行业需求管理的特殊性。
3.2 新模型的初步应用
新估算模型以CRM系统及ITSM系统进行试点, 通过对增量和存量软件需求的工作量评估, 完成了需求案例数据的收集积累和分析验证工作。新评估模型计算结果与原人工估算工作量评估结果对比如下:
总平均偏差为-21%;
低于原评估结果的需求数占分析需求总数的68%;
误差在20%范围内的需求占总分析需求数据范围的80.6%;
供应商实际工作量结算值与人工估算偏差为-25%, 与新模型的估算值-21%基本相符, 得到了IT运营支撑部门、业务部门和开发厂商的基本认可。
试点结论:新评估模型在遵循IFPUG-FPA体系理论的基础上优化后, 能体现电信需求管理全流程, 功能点的指标与参数的设计基本符合电信运营支撑系统需求的工作量估算。
4 总结及进一步研究
以IFPUG-FPA功能分析法为基础优化建立的新评估模型, 通过试点完成了有效性验证, 且开始被业务部门、IT支撑部门和开发厂商所接受, 我们认为新评估模型基本符合电信行业应用软件需求工作量的评估。然而, 新模型还存在推广面不足等问题, 接下来我们努力的方向有以下几个方面: (1) 将新模型与需求流程相结合并固化到需求管理系统中, 并逐步扩展到企业内部60多个系统; (2) 将工作量评估结果应用到与供应商的结算中, 并逐步向业务部门推广建立需求成本机制; (3) 探索工作量自动计算, 减少人工工作量。
摘要:由于电信行业应用软件的特殊性, 应用软件的工作量评估一直被国内电信运营商认为是软件管理的难点。文章通过对最广泛的IFPUG-FPA功能点分析模型进行优化演进, 使其更贴近电信行业的实际情况, 并在客户关系管理系统和IT服务管理系统等关键IT系统应用中取得良好效果, 为电信行业应用软件需求工作量评估的科学性迈出坚实的一步。
关键词:工作量评估,软件规模度量模型,电信运营支撑系统,功能点分析法 (FPA)
参考文献
[1]http://www.ifpug.org国际功能点用户组织 (IFPUG) 官方主页
【风险评估电信网络安全】推荐阅读:
安全风险分析评估07-05
校园网络安全风险评估07-14
安全和风险评估05-23
档案安全风险评估06-10
防洪安全风险评估09-15
公司安全风险评估07-07
信息安全风险评估综述06-13
学校安全风险评估制度06-03
网络舆情风险评估制度08-30
神经网络项目风险评估07-27