那罡

航空公司经过多年的发展,在飞行安全方面取得了很大进步,随着IT与航空之间的关系越来越密切,航空公司逐渐在重视信息安全的重要性,但对于大多数航空公司而言,信息安全仍然是他们的短板。

通过安全认证

随着国航信息系统建设的飞速发展,在奥运安全保障工作中,安全不再只是空防安全和飞行安全,信息安全已成为奥运安保的重要环节,并纳入公司和信息管理部2008年重点工作之中。国航信息安全规划咨询项目就是在奥运安保和国航信息系统跨越式发展的大背景下立项建设的,它旨在为国航信息安全体系建设打下坚实的理论基础。

国航也是通过这个项目完成了未来3~5年信息安全建设的发展规划,建立了信息安全管理体系,于近日最终通过了ISO 27001信息安全管理体系认证,使国航成为国内首家通过此国际认证的航空企业,进一步提升了公司的综合竞争实力。

记者了解到,ISO 27001是国际信息安全领域的重要标准,它的前身源自英国标准协会(British Standards Institute,BSI)在1995年2月制定的信息安全管理标准 BS 7799,经修订后,于2005年10月15日作为国际标准ISOIEC 27001/2005发布。该标准基于风险评估的风险管理理念,可用于信息安全管理体系的建立和实施,保障信息安全,全面系统地持续改进安全管理。国航的信息安全管理体系已于2008年12月就通过了国际权威认证机构的现场审核,具备了获取ISO 27001信息安全管理体系国际认证的条件。

在国航发展战略中,信息安全占有非常重要的位置,几乎所有业务都与信息技术相关,特别是涉及到飞行安全、客户信任度的商务及财务方面信息等,都需要信息安全管理体系这张保护网的保障,在这种发展趋势下,国航以建立起成熟的、具备国际水平的信息安全保障体系,保障核心业务不中断、核心系统不被攻击、客户信息不泄露为信息安全愿景目标,

中国国际航空股份有限公司信息管理部总经理刘东说,国航有几百个系统每天运营着国航所有的正常航线、飞机维护、机组人员的管理、人员的编排,还有财务的收益管理,以及订座系统、离岗系统、网络收益系统。对于航空公司来讲,每个系统都不能失控,也不能出问题。

安全跷跷板

曾经主抓飞行安全如今管信息安全的中国国际航空股份有限公司副总裁贺利,在回顾国航在信息安全方面取得建设的一些建设成果时表示,“信息安全的体系是一个很复杂的体系,我们在业界经常叫“安全跷跷板”,这个跷跷板主要是在IT基础结构的基础上,包括三方面内容:一是技术平台,二是组织和人员,三是制度和流程,由这三方面一起通过我们来执行,去构成信息安全体系。”

国航信息管理部技术管理办公室高级经理李宗琦表示,如果没有信息安全管理体系这张保护网,应该说国航的飞行安全可能也无法得到保障。

第一要保证国航的核心业务不中断,第二要保证国航信息系统不被攻击,第三要保证重要客户的信息不被泄漏,通过这样的保障体系为国航的业务愿景的目标实现保驾护航。

贺利说,2008年IT工作按照公司的战略目标和战略重点推进,SOC等一批核心系统上线,提升了公司运行品质和管理决策水平,电子商务成为2008年市场销售的一大亮点,有力支撑和保障了公司2008年七项战略重点的顺利推进。完成了信息安全一期建设,完善了制度规范,强化了技术防护手段,成为国内业界第一家通过ISO27001认证的航空企业;系统正常率99.99%,网络正常率99.99%,与2007年相比提高0.41个百分点,有力保障了T3转场、抗震救灾、奥运保障等公司重大任务的顺利完成。

今后,国航还将不断对现有管理体系的操作细则进行完善,进一步细化信息安全管理评价机制,依照既定的信息安全建设规划,未来三年,国航将在用户身份与信任凭证管理、访问控制、信息流控制、完整性保护、安全监控与审计这五大安全服务领域增加功能组件,建立起符合国航实际的、完整的信息安全技术平台。