新聞資訊
當前位置:首頁 > 新聞資訊 > 行業資訊 >
淺談呼叫中心信息安全保障
瀏覽次數: 發表日期:2016-05-18

保障信息的安全是呼叫中心運營的核心問題,越來越多的呼叫中心一改傳統觀念,將信息資源當作呼叫中心最重要的無形資產來管理,在呼叫中心信息技術整體考慮范圍內,系統建設的占比不斷降低,管理水平的提高和信息資源的安全變得更受關注。

      特別是金融、電信、航空、外包等行業尤其重視呼叫中心的信息安全,目前,對于信息安全隱患的分析尚無標準框架可以遵循,基本是通過定性和定量的風險分析來進行的,對于信息安全的保障措施主流的做法是結合技術和管理措施,來保障企業的產品或服務信息、用戶信息、業務信息以及信息系統自身的安全。

管理措施

通過制定相應管理措施來保證呼叫中心的信息安全符合企業的信息安全標準和信息安全制度。信息安全管理措施所面對的三個重要對象分別是:人員、數據和技術資源,針對這三個對象的信息安全管理措施需要與其管理流程相配套。在呼叫中心信息安全管理中,普遍得到認可的理念是,信息安全措施必須貫徹于日常運營管理的流程之中,特別是對信息安全風險的管理以及對風險應對措施的及時調整。

針對人員的信息安全管理,主要是要針對人員角色制定信息安全責任矩陣和信息安全管理制度來保證信息安全。重要的是,信息安全責任矩陣和管理制度一方面必須遵循組織所制定的安全標準和安全制度,一方面必須成為后續技術措施的基礎,并且利用好技術措施,加強管理措施的力度。信息安全責任矩陣定制的基本原則是:

(1)責任與崗位職責相關,而不是與人員相關,崗位變化,責任隨之變化

(2)管理制度與責任相關,責任不同,適用的管理制度不同

(3)要與后續的數據、技術資源的管理措施結合,保證信息安全措施的統

一、連續

針對數據安全的管理措施包括兩個主要部分,一方面是對納入信息化體系的數據信息安全措施,一方面是對非信息化數據的安全措施。這里討論的主要是納入信息化體系的數據信息安全。

對于信息化的數據安全,目前的核心思想是將數據作為重要無形資產進行管理,管理措施需要貫徹數據的全生命周期,包括對數據操作的所有流程以及數據使用的相關制度。重要的是,信息化數據的安全管理措施必須完全信息化成為相關的信息系統的功能或流程。

呼叫中心的技術資源主要包括下面三個方面:

1、IT 設備(服務器、網絡、存儲等)

2、Call Center資源(語音線路、PBX、CTI、IVR 、錄音等)

3、業務應用(業務軟件系統、管理軟件系統等)

技術資源的管理流程包括:技術資源估計、技術資源分配、技術資源監控、技術資源釋放等四個部分。技術資源的信息安全必須部署于技術資源管理的全流程。具體的說,在技術資源分配過程中,需要重視技術資源的獨享性;在技術資源的監控中,需要重視對技術資源風險的管理;在技術資源釋放過程中,需要重視技術資源的完整性和一致性。 

技術手段

技術手段是基于呼叫中心所訂立的信息安全標準和信息安全制度,配合信息安全管理的管理措施來保證呼叫中心的信息安全,技術措施面向的主要對象依然是上面“管理措施”所提到的人員、數據和技術資源。 

信息交互安全的管理的主要對象是:呼叫中心內部系統與呼叫中心外部系統之間實時及非實時信息交互的安全,人機交互以及呼叫中心內部技術系統之間的信息交互。

對于呼叫中心技術系統與其他技術系統之間的交互,其信息安全管理的主要控制點在于對信息訪問的控制和對信息傳輸的控制,對信息訪問的控制目前在呼叫中心領域主要通過網絡層的訪問控制、系統訪問控制、應用權限控制三個層次實現;對信息傳輸的控制,在呼叫中心領域目前主要通過專線網絡、VPN和SSL 三種方式來實現。對于呼叫中心技術系統與人員之間的交互,其信息安全管理的主要方式是基于授權的應用和數據訪問控制,并且這種授權是以前面“管理措施”中的信息安全責任矩陣為基礎的,從技術實現的角度,這種授權可以通過密碼驗證、USB Key、CA等多種方式實現,并且在呼叫中心領域都有廣泛應用。

另外,信息訪問控制中主要采用的方式是IP 訪問控制、系統訪問控制、應用權限控制,而廣泛采用的信息傳輸控制手段是SSL 。

根據行業內的有關統計,70%以上的信息泄密來自于組織內部,因此,信息存儲的保護變得相當重要,另一方面信息存儲的容災、備份、恢復等工作也是信息存儲安全的重要組成部分。針對信息存儲的安全管理,貫徹“防范為主”的方針,首先對信息存儲安全的風險進行分析,對主要風險進行防范,并針對可能出現的風險制定應對處理措施。目前主要應用于呼叫中心風險分析的工具是帕累托圖(Pareto Chart ),用于識別主要風險,并對風險管控措施的實施效果進行監控。

信息系統安全,主要指技術系統自身的安全,包括網絡、主機、Call Center設備等的安全,在呼叫中心,需要完成對呼叫中心內部網絡、主機、Call Center設備的安全管理,對各類設備的安全性能設置安全指標,并對指標進行監控,配合自動預警、事件處理等功能完成系統安全的管理。

下一篇:個性化定制的CRM
新疆11选5开奖查询