浅谈呼叫中心信息安全保障
浏览次数: 发表日期:2016-05-18

保障信息的安全是呼叫中心运营的核心问题,越来越多的呼叫中心一改传统观念,将信息资源当作呼叫中心最重要的无形资产来管理,在呼叫中心信息技术整体考虑范围内,系统建设的占比不断降低,管理水平的提高和信息资源的安全变得更受关注。

      特别是金融、电信、航空、外包等行业尤其重视呼叫中心的信息安全,目前,对于信息安全隐患的分析尚无标准框架可以遵循,基本是通过定性和定量的风险分析来进行的,对于信息安全的保障措施主流的做法是结合技术和管理措施,来保障企业的产品或服务信息、用户信息、业务信息以及信息系统自身的安全。

管理措施

通过制定相应管理措施来保证呼叫中心的信息安全符合企业的信息安全标准和信息安全制度。信息安全管理措施所面对的三个重要对象分别是:人员、数据和技术资源,针对这三个对象的信息安全管理措施需要与其管理流程相配套。在呼叫中心信息安全管理中,普遍得到认可的理念是,信息安全措施必须贯彻于日常运营管理的流程之中,特别是对信息安全风险的管理以及对风险应对措施的及时调整。

针对人员的信息安全管理,主要是要针对人员角色制定信息安全责任矩阵和信息安全管理制度来保证信息安全。重要的是,信息安全责任矩阵和管理制度一方面必须遵循组织所制定的安全标准和安全制度,一方面必须成为后续技术措施的基础,并且利用好技术措施,加强管理措施的力度。信息安全责任矩阵定制的基本原则是:

(1)责任与岗位职责相关,而不是与人员相关,岗位变化,责任随之变化

(2)管理制度与责任相关,责任不同,适用的管理制度不同

(3)要与后续的数据、技术资源的管理措施结合,保证信息安全措施的统

一、连续

针对数据安全的管理措施包括两个主要部分,一方面是对纳入信息化体系的数据信息安全措施,一方面是对非信息化数据的安全措施。这里讨论的主要是纳入信息化体系的数据信息安全。

对于信息化的数据安全,目前的核心思想是将数据作为重要无形资产进行管理,管理措施需要贯彻数据的全生命周期,包括对数据操作的所有流程以及数据使用的相关制度。重要的是,信息化数据的安全管理措施必须完全信息化成为相关的信息系统的功能或流程。

呼叫中心的技术资源主要包括下面三个方面:

1、IT 设备(服务器、网络、存储等)

2、Call Center资源(语音线路、PBX、CTI、IVR 、录音等)

3、业务应用(业务软件系统、管理软件系统等)

技术资源的管理流程包括:技术资源估计、技术资源分配、技术资源监控、技术资源释放等四个部分。技术资源的信息安全必须部署于技术资源管理的全流程。具体的说,在技术资源分配过程中,需要重视技术资源的独享性;在技术资源的监控中,需要重视对技术资源风险的管理;在技术资源释放过程中,需要重视技术资源的完整性和一致性。 

技术手段

技术手段是基于呼叫中心所订立的信息安全标准和信息安全制度,配合信息安全管理的管理措施来保证呼叫中心的信息安全,技术措施面向的主要对象依然是上面“管理措施”所提到的人员、数据和技术资源。 

信息交互安全的管理的主要对象是:呼叫中心内部系统与呼叫中心外部系统之间实时及非实时信息交互的安全,人机交互以及呼叫中心内部技术系统之间的信息交互。

对于呼叫中心技术系统与其他技术系统之间的交互,其信息安全管理的主要控制点在于对信息访问的控制和对信息传输的控制,对信息访问的控制目前在呼叫中心领域主要通过网络层的访问控制、系统访问控制、应用权限控制三个层次实现;对信息传输的控制,在呼叫中心领域目前主要通过专线网络、VPN和SSL 三种方式来实现。对于呼叫中心技术系统与人员之间的交互,其信息安全管理的主要方式是基于授权的应用和数据访问控制,并且这种授权是以前面“管理措施”中的信息安全责任矩阵为基础的,从技术实现的角度,这种授权可以通过密码验证、USB Key、CA等多种方式实现,并且在呼叫中心领域都有广泛应用。

另外,信息访问控制中主要采用的方式是IP 访问控制、系统访问控制、应用权限控制,而广泛采用的信息传输控制手段是SSL 。

根据行业内的有关统计,70%以上的信息泄密来自于组织内部,因此,信息存储的保护变得相当重要,另一方面信息存储的容灾、备份、恢复等工作也是信息存储安全的重要组成部分。针对信息存储的安全管理,贯彻“防范为主”的方针,首先对信息存储安全的风险进行分析,对主要风险进行防范,并针对可能出现的风险制定应对处理措施。目前主要应用于呼叫中心风险分析的工具是帕累托图(Pareto Chart ),用于识别主要风险,并对风险管控措施的实施效果进行监控。

信息系统安全,主要指技术系统自身的安全,包括网络、主机、Call Center设备等的安全,在呼叫中心,需要完成对呼叫中心内部网络、主机、Call Center设备的安全管理,对各类设备的安全性能设置安全指标,并对指标进行监控,配合自动预警、事件处理等功能完成系统安全的管理。