首頁(yè)>>廠商>>呼叫中心外包服務(wù)商>>賽迪呼叫中心

淺談呼叫中心信息安全保障

周俊義 2008/10/31

  保障信息的安全是呼叫中心運(yùn)營(yíng)的核心問題,越來越多的呼叫中心一改傳統(tǒng)觀念,將信息資源當(dāng)作呼叫中心最重要的無形資產(chǎn)來管理,在呼叫中心信息技術(shù)整體考慮范圍內(nèi),系統(tǒng)建設(shè)的占比不斷降低,管理水平的提高和信息資源的安全變得更受關(guān)注。

  特別是金融、電信、航空、外包等行業(yè)尤其重視呼叫中心的信息安全,目前,對(duì)于信息安全隱患的分析尚無標(biāo)準(zhǔn)框架可以遵循,基本是通過定性和定量的風(fēng)險(xiǎn)分析來進(jìn)行的,對(duì)于信息安全的保障措施主流的做法是結(jié)合技術(shù)和管理措施,來保障企業(yè)的產(chǎn)品或服務(wù)信息、用戶信息、業(yè)務(wù)信息以及信息系統(tǒng)自身的安全。

管理措施

  通過制定相應(yīng)管理措施來保證呼叫中心的信息安全符合企業(yè)的信息安全標(biāo)準(zhǔn)和信息安全制度。信息安全管理措施所面對(duì)的三個(gè)重要對(duì)象分別是:人員、數(shù)據(jù)和技術(shù)資源,針對(duì)這三個(gè)對(duì)象的信息安全管理措施需要與其管理流程相配套。在呼叫中心信息安全管理中,普遍得到認(rèn)可的理念是,信息安全措施必須貫徹于日常運(yùn)營(yíng)管理的流程之中,特別是對(duì)信息安全風(fēng)險(xiǎn)的管理以及對(duì)風(fēng)險(xiǎn)應(yīng)對(duì)措施的及時(shí)調(diào)整。

  針對(duì)人員的信息安全管理,主要是要針對(duì)人員角色制定信息安全責(zé)任矩陣和信息安全管理制度來保證信息安全。重要的是,信息安全責(zé)任矩陣和管理制度一方面必須遵循組織所制定的安全標(biāo)準(zhǔn)和安全制度,一方面必須成為后續(xù)技術(shù)措施的基礎(chǔ),并且利用好技術(shù)措施,加強(qiáng)管理措施的力度。信息安全責(zé)任矩陣定制的基本原則是:

(1)責(zé)任與崗位職責(zé)相關(guān),而不是與人員相關(guān),崗位變化,責(zé)任隨之變化

(2)管理制度與責(zé)任相關(guān),責(zé)任不同,適用的管理制度不同

(3)要與后續(xù)的數(shù)據(jù)、技術(shù)資源的管理措施結(jié)合,保證信息安全措施的統(tǒng)一、連續(xù)針對(duì)數(shù)據(jù)安全的管理措施包括兩個(gè)主要部分,一方面是對(duì)納入信息化體系的數(shù)據(jù)信息安全措施,一方面是對(duì)非信息化數(shù)據(jù)的安全措施。這里討論的主要是納入信息化體系的數(shù)據(jù)信息安全。

  對(duì)于信息化的數(shù)據(jù)安全,目前的核心思想是將數(shù)據(jù)作為重要無形資產(chǎn)進(jìn)行管理,管理措施需要貫徹?cái)?shù)據(jù)的全生命周期,包括對(duì)數(shù)據(jù)操作的所有流程以及數(shù)據(jù)使用的相關(guān)制度。重要的是,信息化數(shù)據(jù)的安全管理措施必須完全信息化成為相關(guān)的信息系統(tǒng)的功能或流程。

呼叫中心的技術(shù)資源主要包括下面三個(gè)方面:

  1、 IT設(shè)備(服務(wù)器、網(wǎng)絡(luò)、存儲(chǔ)等)
  2、Call Center資源(語音線路、PBX、CTI、IVR、錄音等)
  3、業(yè)務(wù)應(yīng)用(業(yè)務(wù)軟件系統(tǒng)、管理軟件系統(tǒng)等)

  技術(shù)資源的管理流程包括:技術(shù)資源估計(jì)、技術(shù)資源分配、技術(shù)資源監(jiān)控、技術(shù)資源釋放等四個(gè)部分。技術(shù)資源的信息安全必須部署于技術(shù)資源管理的全流程。具體的說,在技術(shù)資源分配過程中,需要重視技術(shù)資源的獨(dú)享性;在技術(shù)資源的監(jiān)控中,需要重視對(duì)技術(shù)資源風(fēng)險(xiǎn)的管理;在技術(shù)資源釋放過程中,需要重視技術(shù)資源的完整性和一致性。

技術(shù)手段

  技術(shù)手段是基于呼叫中心所訂立的信息安全標(biāo)準(zhǔn)和信息安全制度,配合信息安全管理的管理措施來保證呼叫中心的信息安全,技術(shù)措施面向的主要對(duì)象依然是上面“管理措施”所提到的人員、數(shù)據(jù)和技術(shù)資源。

  信息交互安全的管理的主要對(duì)象是:呼叫中心內(nèi)部系統(tǒng)與呼叫中心外部系統(tǒng)之間實(shí)時(shí)及非實(shí)時(shí)信息交互的安全,人機(jī)交互以及呼叫中心內(nèi)部技術(shù)系統(tǒng)之間的信息交互。

  對(duì)于呼叫中心技術(shù)系統(tǒng)與其他技術(shù)系統(tǒng)之間的交互,其信息安全管理的主要控制點(diǎn)在于對(duì)信息訪問的控制和對(duì)信息傳輸?shù)目刂疲瑢?duì)信息訪問的控制目前在呼叫中心領(lǐng)域主要通過網(wǎng)絡(luò)層的訪問控制、系統(tǒng)訪問控制、應(yīng)用權(quán)限控制三個(gè)層次實(shí)現(xiàn);對(duì)信息傳輸?shù)目刂,在呼叫中心領(lǐng)域目前主要通過專線網(wǎng)絡(luò)、VPN和SSL三種方式來實(shí)現(xiàn)。對(duì)于呼叫中心技術(shù)系統(tǒng)與人員之間的交互,其信息安全管理的主要方式是基于授權(quán)的應(yīng)用和數(shù)據(jù)訪問控制,并且這種授權(quán)是以前面“管理措施”中的信息安全責(zé)任矩陣為基礎(chǔ)的,從技術(shù)實(shí)現(xiàn)的角度,這種授權(quán)可以通過密碼驗(yàn)證、USB Key、CA等多種方式實(shí)現(xiàn),并且在呼叫中心領(lǐng)域都有廣泛應(yīng)用。

  另外,信息訪問控制中主要采用的方式是IP訪問控制、系統(tǒng)訪問控制、應(yīng)用權(quán)限控制,而廣泛采用的信息傳輸控制手段是SSL。

  根據(jù)行業(yè)內(nèi)的有關(guān)統(tǒng)計(jì),70%以上的信息泄密來自于組織內(nèi)部,因此,信息存儲(chǔ)的保護(hù)變得相當(dāng)重要,另一方面信息存儲(chǔ)的容災(zāi)、備份、恢復(fù)等工作也是信息存儲(chǔ)安全的重要組成部分。針對(duì)信息存儲(chǔ)的安全管理,貫徹“防范為主”的方針,首先對(duì)信息存儲(chǔ)安全的風(fēng)險(xiǎn)進(jìn)行分析,對(duì)主要風(fēng)險(xiǎn)進(jìn)行防范,并針對(duì)可能出現(xiàn)的風(fēng)險(xiǎn)制定應(yīng)對(duì)處理措施。目前主要應(yīng)用于呼叫中心風(fēng)險(xiǎn)分析的工具是帕累托圖(Pareto Chart),用于識(shí)別主要風(fēng)險(xiǎn),并對(duì)風(fēng)險(xiǎn)管控措施的實(shí)施效果進(jìn)行監(jiān)控。

  息系統(tǒng)安全,主要指技術(shù)系統(tǒng)自身的安全,包括網(wǎng)絡(luò)、主機(jī)、Call Center設(shè)備等的安全,在信呼叫中心,需要完成對(duì)呼叫中心內(nèi)部網(wǎng)絡(luò)、主機(jī)、Call Center設(shè)備的安全管理,對(duì)各類設(shè)備的安全性能設(shè)置安全指標(biāo),并對(duì)指標(biāo)進(jìn)行監(jiān)控,配合自動(dòng)預(yù)警、事件處理等功能完成系統(tǒng)安全的管理。

CTI論壇編輯


相關(guān)鏈接:
另辟電話號(hào)碼蹊徑的探討——短信記憶規(guī)則 2009-08-25
呼叫中心如何怎樣大客戶回訪 2009-07-28
淺談呼叫中心質(zhì)檢錄音的管理和標(biāo)準(zhǔn) 2009-07-28
呼叫中心回訪工作方案 2009-07-21
呼叫中心現(xiàn)場(chǎng)情緒管理 2009-07-21

分類信息: