【IT168 资讯】对电信运营商而言，高度信息化是企业一切业务、管理和运营活动的基础之一。国家出台了很多信息安全的法律法规，信息产业部已将安全与业务准入挂钩，随着此项工作的深化，对电信运营商的要求会越来越高。与此同时，海外政府、资本市场提出的新监管要求（如：萨班斯－SOX法案）的强制执行都要求运营商进一步遵守安全内控要求。

    放眼电信市场，各大运营商的“转型”都在寻找新的蓝海，IT与电信迅速融为一体成为ICT，而IT为传统通信产业注入无限活力的同时，也引发了大量安全问题，能否解决这些安全问题，成为运营商与竞争对手拉开差距的关键，并已成为新的业务增长点。在此背景下，各大运营商需要建立完善的信息安全管理体系（ISMS），通过国际权威机构的安全认证，并不断巩固完善，旨在赢得国内外客户的信任与国际资本市场的青睐，为企业的持续健康发展保驾护航。

    相关国际标准与法案

    作为建立信息安全管理体系（ISMS）的重要规范，BS7799标准被ISO组织采纳后，衍生为ISO 17799《信息安全管理实施细则》和ISO 27001《信息安全管理体系规范》。ISO 17799是建立并实施信息安全管理体系的指导性标准，ISO 27001是对信息安全管理体系进行审核的依据性标准。获得ISO 27001认证是企业拥有完善的信息安全管理体系的象征。

    ISO 27001标准详细说明了建立、实施和维护信息安全管理体系的要求，指出实施机构应该遵循的风险评估标准，其核心是PDCA（Plan-Do-Check-Act）模型。

    萨班斯（SOX）法案是另一部更加具有国际性影响的规章，始创于 2002 年，由美国证券交易委员会（SEC）提交，是一部旨在消除企业财务欺诈行为和弊端的历史性法案，它要求在美国上市的所有企业必须通过该法案审核。

    SOX法案中以404条款影响最大，该条款规定：公司管理层要对公司内控及财务会计报表的制定和编制的有效性、真实性负责，公司必须聘请外部审计师对公司内控和财务报表进行独立审计并出具审计结果。

    SOX法案的核心要求是规避风险、完善内部控制。由于现代企业的运作越来越依赖于IT系统，以致于IT控制成为企业内部控制的重要组成部分。SOX法案中重点要求 CEO 和 CFO 必须证明其公司拥有适当的内部控制，如果维护财务数据的系统是不安全的，则高层管理人员很难担保数据的有效性，也很难担保其内部控制的可靠性，因此，内部控制已扩展至法律需求的范畴。

    ISO 17799/27001与定义信息治理进程的COBIT标准和COSO框架共同健全了萨班斯法案中与安全和内控审计相关的404条款。