中国通信行业风险管理报告（三）

　　(二)国家和行业高度重视，安全意识不断提高

 

　　中国信息安全保障工作逐步加强，制定并实施了国家信息安全战略，初步建立了信息安全管理体制和工作机制；基础信息网络和重要信息系统的安全防护水平明显提高；互联网信息安全管理进一步加强。

 

　　国际电联确定2006年“世界电信日”的主题是“让全球网络更安全”，信息产业部启动了“倡导网络文明，构建和谐环境”为宗旨的“阳光绿色网络工程”系列活动，与世界电信日的“让垒球网络更安全”主题相契合，开展4个方面18项工作。我国刚刚颁布的(2006～2020年国家信息化发展战略》把我国信息安全保障体系作为未来15年信息化发展的战略重点。

 

　　基础通信运营商不断致力于提升网络设备安全运营水平，防范网络安全事件的能力不断增强，越来越多的企业增加安全投入，网络安全技术和产品如防火墙、反病毒产品等日益普及。

 

　　(三)通信安全技术不断提高，安全措施不断加强

 

　　在网络建设方面，充分考虑了多层次、多手段、多线路、多备份的网络结构，保证通信不至于因局部风险发生而造成大面积的通信网络瘫痪，避免大规模风险发生。就网络安全来看，在多年的建设运营过程中，通信网的网络规划建设和体制标准在保证网络安全方面发挥出积极的作用，网络结构日渐改善，安全可靠性逐步提高。许多通信安全技术得到大力推广及应用，通信安全技术水平不断提高。

 

　　全国省会以上城市和重要的城市都已建成两个以上的通信枢纽，并具备光缆、卫星、微波等多种传输手段，沿海发达地区间、重要城市间已建有多条光缆路由：在网络运行维护过程中引入增强网络安全可靠性的有效措施，如通信多局址、传送多路由、业务组织多归属等，都对网络的正常运行起到了安全保障作用。通信传输主干线形成了环路。我国现已在北京、上海、广州建成多个国际出入口局，并拥有多个国际海缆登陆站，使国际通信能力和安全性得到了明显改善。

 

　　初步建立应急通信机制，在行业主管部门和运营企业等多个层次建立了应急通信预案和重大事故报告制度；建设了以无线为主、固定与移动相结合的应急通信系统，在历年的早涝灾害、地震地区及国家重大活动中发挥了重要作用。

 

　　(四)满足市场需求，适应技术进步需要

 

　　市场对新业务不断提出新要求，相应的技术进步成为必然。在技术进步的情况下，原有技术设备的淘汰势必带来损失的风险，而循序渐进的工作和恰当时机的选择会把损失降低到最小程度。比如1999年中国电信部门总资产6000亿元左右，PSTN设备资产就占到1700亿元左右，在PSTN向NGN、向IMS发展进程中，设备逐步进化会有利于降低原有资产损失风险。通过软交换技术，利用了PSTN设备，满足了业务发展要求，达到了在技术进步中逐步淘汰、循序渐进的目的，大大降德了相关风险。

 

 

　　企业是行业的运载主体，企业的风险管理水平高低同时也预示着行业风险的大小。增强企业预防风险的能力，有利于掌控行业发展的速度与方向。国内几大通信集团充分认识到风险管理的重要性，在企业内部管理、安全技术、网络建设、运行维护和灾害应急方面都建立了风险管理机制，保证通信系统的安全和企业发展的稳定。

 

　　(一)构建优质电信网络

 

　　通信运营企业多年来致力于构建技术先进、覆盖面广、容量大、速率高、安全可靠、功能齐全、易于管理、适应各种新业务发展需要的优质电信网络，制定了完善的安全管理制度和体系。为了维护和保证整体网络的运营维护和管理、计费业务中心系统和办公信息化建设三大网络的正常安全运转，企业编写开发了“信息安全建设总则——网络信息安全管理系统”，在这一框架下编制了自己的网络安全工作原则，划分了技术和管理两个层次的规范和要求。同时结合自身业务特点，对防火墙等安全产品提出了要求，制定了使用规范和操作指南。基本建成覆盖全国的多功能、多层次、高效先进、完整统一的公用数据通信网络平台，用户数据在IP公网上传输的安全性得到了有力的保证。在应急通信支撑、抢险救灾、公众网络保障等方面，建立和完善了全网应急通信保障预案体系，提升通信保障能力。

 

　　(二)通信运营企业

 

　　1、采用各种先进措施，确保网络安全

　　

　　从技术上采取保护措施，实施电信网络实时监控和管理手段，进一步提高对安全事件的应急处理能力。

 

　　2、以虚拟主机、主机托管为重点的互联网接人服务市场专项治理

 

　　加强宽带接人业务审批管理工作，并配合做好网络科普宣传教育工作和绿色上网的相关标准工作。

 

　　3、大力推动绿色上网，确保了网络营业内容的健康

 

　　一方面通过技术屏障有效过滤不健康网站的信息，另一方面加大对绿色上网营业内容的建设，凝聚各类健康的SP。

 

　　4、不断完善网络信息安全保障体系，形成网络安全管理的长效机制

 

　　以加强内控管理为契机，从管理和技术方面八手，层层落实网络信息安全的管理职责，进一步完善网络安全保障体系，建立应急通信保_障体系。

 

　　5、及时掌握网络安全工作的发展动态，重视网络安全管理的技术保障和人才培养

 

　　积极跟踪、研究网络安全防范的技术发展趋势和最新技术标准，建立多路由的物理承载保护网络，提高了网络的自愈容灾和抗击打能力。成立专门的研究课题组，加快开发防治病毒、黑客攻击的信息安全技术，提高安全保障技术水平。积极为广大用户提供集路由保护、安全监测、反黑客、防病毒等多功能为一体的安全防御系统解决方案。通过加强培训、增进交流等举措，加强网络安全技术人才的培养。

 

　　6、加强信息内容安全

 

　　信息内容涵盖了用户数据、计费数据、通话的安全保密和网络数据的安全保密。采用管理和技术双重措施确保信息安全。

 

　　7、治理垃圾短信和消费陷阱，对所有SP经营行为进行规范，要求加强自律

 

　　对业务接人、审核流程严格把关，在原有的各项规章制度基础上，细化并完善了业务的申请、审批、测试、上线流程，避免不符合业务管理规范的内容向广大用户传播。

 

　　8、建立安全可靠的传输网络

 

　　现已建成多路由保护、多种辅助传输手段保护等多种结构的安全可靠的传输网烙；在省际干线传送网络运维工作中，建立起网络运行指数发布机制，通过综合网络系统，进行网络动态风险预警的分布，为网络的安全可靠运行提供了保障。

 

　　9、建立一系列体系

 

　　建立起一套集中化的网络支撑体系，极大地提高了运营效率；建立起安全标准体系、安全技术体系和安全运作体系，构建起信息安全框架。

 

　　10、加强网络设备的安全

 

　　设备、核心模块都具有主备倒换的安全策略，对于网络负荷的预警措施已在作业计划中推广，并加大了设备日常维护管理制度。   

 

　　11、制定预案

 

　　加强网络优化，制定全网性的应急预案，如针对核心共有设备(如智能网平台)建立宕机的应急系统；制定重大故障的应急预案，并验证预案的有效性；严格执行系统备份工作并验证系统备份的有效性等。

 

 

　　通信运营企业在业务发展和技术发展的过程中，由于受到许多因素的限制在对新业务、新市场、新技术的战略决策上采取慎重的态度，对有的风险进行了风险规避。但现在企业越来越清楚地认识到，风险规避可以保证企业现阶段的运营安全，但同时也很可能失去发展机遇，降低未来的竞争能力，反而可能会面临更大的风险。

 

　　通信行业足一个高新技术蓬勃发展的行业，任何企业如果不赶上技术发展的步伐，未来都很有可能面临极大的困境。通信企业在激烈的竞争面前，为了抓住商机，必须敢于应对风险，在未来技术的发展上要有大的投入，开展跟踪、研究、开发、试验、准备、选择、大规模商用的系列化过程。对在经营和发展中所涉及的一系列风险，目前通信企业在很大程度上进行了风险自留，如对经营风险、投资风险、政策风险的风险自留。这些风险自留一方面受到转移工具的欠缺限制，另一方面通信企业过度注重技术投资和业务发展，对系统的风险管理手段还没有充分的利用。

 

　　受到产业链的影响，国内通信企业在经营发展的过程中，通过合同的方式部分转移了所面临的风险，如货物运输合同转移、租赁合同转移、配件产品的买卖合同转移、融资合同转移、保险合同转移等，从而降低了成本、减小了承担的风险。

 

　　随着企业的发展，通信运营企业越来越重视通过保险进行风险转移工作，按市场化的原则来工作。通信业操作比较多的保险项目包括：

 

　　(一)员工福利保险

 

　　通信企业面临着激烈的外部竞争，而企业员工面临的激烈竞争既来自企业内部，又来自企业外部。通信技术的发展日新月异，对员工的要求也日益提高，员工承受着很大的压力。企业为了稳定员工队伍，解除员工的后顾之忧，也为了竞争和企业发展的需要，加之通信企业的效益比较好，通信企业对员工的福利保险工作比较重视，提高了企业员工的福利水平，这对企业的稳定和发展都是很有好处的。

 

　　目前通信企业操作的员工福利保险项目包括：员工重大疾病保险、员工意外伤害保险、年金保险、补充医疗保险等项目。项目的操作取得了很好的效果，解除了员工的许多后顾之忧，保证了员工以充沛的精力投入到工作中。

 

　　(二)安装工程一切险

 

　　通信设备属于高新技术设备，通信设备的安装工作有较大的风险。特别是第一次应用的设备和系统。许多通信设备和系统的安装、试运行和割接投产要与原有通信系统和设备相配合，不能影响用户的正常使用，系统的许多数据都要调整，这些工作都存在较大的风险。在新的系统和设备投入使用后，还要检验其稳定性。

 

　　许多运营商在进行大规模系统建设和改造过程中，都安排投保安装工程一切险来进行风险转移工作。设备运输险等也有较多的操作。

 

　　(三)企业财产险

 

　　在通信系统运营期间，比如洪水、地震等大自然灾害会对通信设施形成很大的损失，一些意外事故，比如火灾也会对通信设施造成大的破坏。有的企业也投保了企业财产险，在实践中为企业发挥了很好的保障作用。比如在2002年某省的一次洪水灾害中，电信企业遭受了巨大的损失，由于对通信设施投保了企业财产险，在出险后两周内，保险公司就预付了1360万元保险赔款。

 

　　随着通信事业的发展，企业的资产规模越来越大，风险也越来越大，通信企业越来越重视保险工作。许多通信企业都逐步开始投保企业财产险，比如南方一家电信公司投保了150亿元的企业财产保险，企业财产以通信系统设备为主。其他的一些保险险种通信企业也有操作，像营业中断险等，但操作得不多。一些常规的险种，如车辆保险，企业都有广泛的操作。

 

 

　　国外通信行业在长期的市场竞争与改革重组中已形成自己的一套较为成熟的服务管理规范和企业文化。国外通信行业的安全意识较强，手段较为丰富，经过多年的发展已经建立了一套风险管理工作模式，包括风险识别、风险估测、风险评价、风险管理技术选择、风险管理效果评价。国外企业针对企业自身面对的风险做了防范性的工作，通过采用先进技术加强系统的可靠性，以大量的投入开发新的技术来引领市场，注重保护知识产权．利用多种风险管理工具来控制和转移风险。

 

　　(一)监管体系

 

　　世界上发达国家电信管制机构的设置大致可分为四种类型(见表2)。  

 

 

　　通信业的发展趋势和竞争的内在要求，使发达国家和地区通信行业监管都趋向，于独立，监管体系较为成熟。

 

　　美国对于电信资源的配置主要采取了以市场配置为主要手段的原则。这一配置手段实际上将电信资源予以市场化，甚至在一定程度上对于许可证的管理也采取市场手段，充分体现了其以市场为本位的立法架构。欧洲的电信发展和管制政策受美国的影响较大，在汲取了美国激进改革带来的教训的同时，欧洲国家采取温和、渐进的自由化与私有化政策，营造有效市场竞争，造就了一些世界级的具有强大竞争力的运营商。

 

　　通信行业作为一个技术快速发展的行业，国外的监管部门也面临着许多新的课题和许多教训，比如在一些企业的整合工作上，在一些技术战略决策上，特别是欧洲一些国家3G牌照的高额拍卖费用反而在一定程度上抑制了行业的发展。

 

　　(二)国外通信行业风险管理概况

 

　　欧洲和北美都是世界上最大的市场。国外发达国家的通信企业资金实力庞大，业务种类很多，很多都是跨国公司。目前通信行业巨头的母国均为发达国家，其目前的经营能力远领先于发展中国家通信行业。

 

　　国外通信业长期的市场竞争与改革重组已形成自己的服务理念、企业文化和一套较为成熟的服务管理规范，它们更懂得“通信业出售的是服务，服务质量决定着公司的生存”。企业教导员工在日常工作及行为中，为客户提供热情周到、高教快捷、准确负责的服务，树立自己良好的企业形象。

 

　　国外通信行业的风险管理工作相对比较成熟。全球电信发展较好的区域已经从美国、西欧扩展到亚太地区(东北亚和大洋洲)。国外的通信业发展较早，与国内企业相比，它们已经在企业的经营管理、市场运作和自身的发展上得出了更多的经验，形成了自己的发展特色。

 

　　国外发达国家法律体系相对健全，对企业财务的监管很严格，企业在长期的发展过程中也建立了比较严谨的财务制度。

 

　　许多国外发达国家的通信企业都拥有很强的资金和技术实力，他们凭借多年的发展，实力很强，特别注重在技术上的投资和知识产权的保护。欧美通信标准技术主要掌握在跨国公司手中。WCDMA与CDMA2000标准分别是欧、美提出的，其核心技术与专利均掌握在欧、美跨国公司手中，因此，我国移动通信制造业在上述两个标准技术上处于相对劣势，产业发展受制于人。

 

　　对于产品质量来说，发达国家企业产品的质量管理体系更为健全，很多企业都通过了ISO、3C、6S等各种质量标准。另外发达国家对产品质量责任的界定多为严格责任，环保意识也相当强，很多企业跨国经营，质量要求高。

 

　　现在已经有将近40个国家和地区以及地方组织通过了风险管理的立法，主要的立法对象针对上市公司。国外有几个比较特殊的立法或者风险管理标准，一个是澳大利亚、新西兰1995年通过联合国家标准，4360是世界上第一个国家企业风险管理标准，确定了风险管理的标准程序，突出了风险管理内部和外部环境。2003年英国风险管理标准在理论上有进步，对风险的认识从原来认为风险只是负面的，到现在能正确地看待风险的正、负两方面作用，同时英国人认识到风险管理不是可以认证的过程，不是ISO 9000认证完了就合格了，风险管理和企业战略目标联系很紧密。2004年9月美国的COSO组织颁布全面风险管理框架，这对全世界产生很大影响，明确指出风险管理控制是为了所有利益关系。

 

　　国外企业转移风险的措施很多，通过各种融资手段、市场手段、跨国经营手段、风险分散手段、合同转移手段、分业经营手段、投保保险手段等来规避和转嫁自身风险，拥有很好的风险识别、分析和管理体系。例如发达国家的海外直接投资已经有相当长的历史，而且对支持本国企业进行海外投资已经形成了一整套的制度措施。海外投资保险是防范风险的重要措施之一。

 

　　国外通信企业对保险的操作很广泛，涉及安装工程、通信设备财产、通信营业等。目前在国际保险市场上，几家大型保险公司出台了专项计算机数据损失保险电子数据损失保险或者计算机安全保险)，如美国AIG集团(American International Group)出台了计算机病毒、信用卡和ID被窃保险；Hiscox保险集团推出针对电讯、多媒体和科技类公司的病毒和黑客损失保险；Chubb全球保险网络推出管理“E偷窃、E破坏和E敲诈”的金融保险项目等。

 

　　(三)国际通信运营企业风险管理工作

 

　　国际上先进的电信服务提供商，普遍在内部和客户界面上推行安全(隐私权)概念，普遍做到理解安全、重视安全、愿意为安全支付成本。这里所说的安全在技术上包括查杀病毒、垃圾邮件、加密(普通用户界面)、认证、访问控制、审计、网络入侵检测、滥用检测(企业用户界面和内部)；在管理上普遍推行集中监控和实时告警、处理制度，推行规范化的工程施工管理和运行管理制度，推行职业/专业认证上岗制度等。   

 

　　为了更加有效地将全集团中信息安全相关的各个部门在技术组织上整合在起，一些国际运营商设立了专门的安全管理和风险管理部门来统一协调、策划信息网络安全工作和其他风险管理工作。