2009年5月26日并不是一个特别的日子，但是对于中国国际航空股份有限公司（以下简称”国航“）来说，却显得十分不寻常： 这一天，国航获得了信息安全的国际标准ISO 27001认证。

    搞飞行安全出身的国航副总裁贺利现在时常跟下属们强调一句话：”要像抓飞行安全一样抓信息安全！“而仅仅在2～3年前，国航对于信息安全的管理还是比较分散和被动的。国航何以在如此短暂的时间内，对信息安全的”姿态“来了一个180度大转弯？

    信息安全意识觉醒

    在2008年北京奥运会期间，国航信息系统经受住了上千次的攻击。早在2007年，为了确保平安奥运，国航提前着手考虑安全体系的建设和改进。

    国航对于信息安全重视的另一原因就是信息系统对于国航业务发展的重要性。”事实上，中国航空业越来越清楚地认识到，IT将对航空公司的发展起到至关重要的作用。“ 贺利副总裁说：”IT系统的先进性、效率、覆盖率、运用程度以及员工的信息化素养，对于提高航空公司的竞争力将起到非常关键的作用。“

    ” 作为航空公司，要挣钱就必须要有效率。谁的信息系统用得好、用得广、用得更先进，就有可能比竞争对手更高一筹。我们现在网上售票占国航总售票的20%，而前两年才1%。国际上，先进的航空公司已经达到70%～80%，甚至90%以上。网上售票比传统的手工售票成本可节省9%左右，节省出的成本就是效益。再比如，国航的航材管理系统最近上线了，能够把航材全部集中管理。我们有几十万种航材，分布在全国乃至全球各地，现在用一个系统就能管起来。而以前，都是用手工管理，现在，点一个键就知道我们在什么地方有什么器材，用多长时间可以提供给飞机，效率较以往不知提高了多少倍。这就是竞争力！“贺利说。

    国航信息管理部总经理刘东表示，信息系统已经成为支撑国航业务运作的重要工具。从飞机的调度、进出港信息的跟踪与沟通、地面的支持活动到客户关系的维护等都离不开计算机系统的支持，因此信息的可用性、完整性和机密性就成为了IT系统和公司业务保障非常重要的一环，它会涉及企业的各个层面。在这个背景下，信息安全自然就成了日常航空运输业务连续性的最大支持以及降低事故发生率的核心环节。

    国航信息管理部技术管理办公室高级经理李宗琦说： ”如果没有信息安全管理体系这张保护网，飞行的安全可能无法保障。为此，国航确立了自身的信息安全战略—建立一套成熟的、具备国际水平的信息安全保障体系。这个体系第一要保证国航的核心业务不中断，第二要保证国航信息系统不被攻击，第三要保证客户信息不被泄漏。“

    基于上述高标准高起点的目标，两年前，国航陆续启动了国航信息安全系统建设和信息安全战略的咨询项目，并选择了IBM的服务团队来参与和执行。”这两年 IBM和国航的项目团队追求一个理想—从解决具体问题出发，全方位铸就保障国航IT应用和信息化运营的安全体系。“IBM大中华区安全服务事业部总经理余磊说。

    IBM全球信息科技服务部，成功协助国航获得ISO27001的认证。IBM大中华区交通运输及商品流通行业总经理罗杰表示： ”在全球范围内，IBM一直为航空企业提供两方面的协助。第一是通过电子商务平台扩大销售渠道，提高营收效益。第二是协助航空公司在不影响飞行安全和运营稳定的前提下有效降低成本。在未来信息安全体系的建设中，IBM希望能够和国航一起，为实现‘智慧航空’而努力。“

    国航的”安全翘翘板“

    信息安全业界有一个着名的”安全翘翘板“模型，指在IT基础结构上，从三方面构建信息安全体系： 一是技术平台，二是组织和人员，三是制度和流程。李宗琦介绍，国航正是依这个模型，构筑了信息安全体系。

    在安全管理体系建设上，依据ISO 27001的标准，国航建立了一整套信息安全策略体系，主要是信息安全的策略和相关管理章程。针对ISO 27001划定的11个管理域编辑了相应的文档，明确了每个领域的管理制度和管理流程。依据ISO 27001的模型算法，国航对自身的信息安全水平进行了多次评测，并在11个管理域持续改进信息安全水平。

    安全技术平台建设： 以前，国航面临着很多信息安全问题： 网络安全架构不清晰，来自互联网的威胁日益增加，防护能力偏弱，用户行为控制存在漏洞……为此，国航投入大量资金，不但划分了安全区域，布置了抗盗设备、入侵检测系统，还在核心系统部署了防火墙，提高互联网运行的稳定性。

    在组织和人员建设方面，国航成立了由公司领导、信息管理部和相关部门领导组成的信息安全管理委员会，落实了信息安全管控中心的职能。根据国际最佳实践的功能划分，国航采取两级管控机制。在对组织机构没有做大调整的情况下，落实了相关的安全责任。具体而言，把信息安全管控中心的职能拆分成两部分，明确由信息管理部的管理办公室负责安全策略的管理，由信息管理部的各个分部和各部门负责信息安全策略执行。通过两级控制机制，实现对整体信息安全的管控。在两级控制的基础上，国航定期采取内部评审的方式，评判安全策略是否得到真正的落实。

    李宗琦特别提到，在组织和人员建设方面，一个重要的环节就是培训和宣传。”为了通过ISO 27001，我们进行了200人次信息安全培训。现在，我们还建立起了长期内部认证培训机制。目前已培养专、兼职质量安全员34人，主要承担安全内审职责。另外，通过海报等方式加大宣传力度。“

    永远在路上

    在阶段性成绩面前，最难得的是保持冷静和清醒。国航自上而下保持着这样的清醒，贺利副总裁说，通过ISO 27001认证，仅仅是国航重视信息安全工作的开始。

    下一步，国航准备进一步加强管理体系的后续建设，在现有体系基础上不断完善操作细则； 建立基于岗位信息资源的管控机制，加强信息安全的预先防控； 同时，持续做好对规章定期的评审和完善工作。

    此外，另一重要工作是尝试突破现有安全理论体系。国航的信息安全团队在做ISO27001认证时发现，所有133个控制点的分级都是比较定性的，不同安全成熟等级之间的区分不是特别明晰。”我们准备对信息安全管理域的成熟等级进行明确，准备把信息安全管理域一共划分成六个等级，而且有明确的标识。这样，国航以后做信息安全工作时就更清楚每一步要做到什么程度。“ 李宗琦说。

    ”在技术平台的后续建设方面，我们借鉴国际最佳实践，对安全服务进行了全面规划，一共要部署20多个安全组件。国航计划大约3年的时间分步实现这些建设目标。在组织和人员方面，会继续壮大国航的安全专业队伍，包括培养企业安全架构师、风险评估师以及应用安全工程师，增加安全审计员和灾备管理员。我们有一个很重要的工作，就是要把信息安全的管理纳入国航整体的安全运行标准体系，形成国航完整的安全保障体系。“李宗琦说， ”对于信息安全建设而言，每天都是一个新的起点，我们永远在路上。“

    相关背景  国航信息安全建设的四阶段

    迄今为止，国航的信息安全建设，大致经历了四个阶段：

    第一个阶段，是2006年以前。整个国航的信息系统支撑力度相对有限。从整个航空业来看，外围的威胁不是很明显，所以，当时国航信息安全建设的特点是零星建设、被动防御。

    第二个阶段，是2007年，国航核心系统逐步投入运行，外围的风险增加，同时奥运临近。国航针对重点领域搭建了技术防护网。

    第三个阶段，从2008年开始，国航对信息安全的认识不断深入，并按照ISO27001的标准，建立起了国航信息安全管理体系。

    第四个阶段，2009年，国航启动了全面的信息系统战略规划，根据国际的最佳实践，结合自身的特色，制定了未来3~5年信息安全蓝图和路径。国航的信息安全建设有了一个更加科学和更加明细的路线图。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。