徐剛

近年來，IT服務外包的井噴式發(fā)展，解決了企業(yè)IT管理過程中的一系列瓶頸問題，為企業(yè)兼顧“成本控制”和“管理效益”提供了方便，而IT服務外包發(fā)展過程中，信息安全的管控可謂重中之重。作為國內(nèi)領先的IT服務和軟件產(chǎn)品提供商，上海天璣科技股份有限公司的IT外包信息安全管控體系，為企業(yè)和組織的信息安全管理提供了可靠保障。

IT服務外包井噴式發(fā)展

在強調(diào)企業(yè)核心競爭力的今天，越來越多的公司將IT服務外包作為企業(yè)長期戰(zhàn)略成本管理的新興工具。服務外包的實質(zhì)是企業(yè)和服務商之間的“委托—代理”關系。企業(yè)需要對自己重新進行定位，截取價值鏈中較短的部分，縮小經(jīng)營范圍，在此基礎上重新配置企業(yè)的各種資源，將資源集中到最能反映企業(yè)優(yōu)勢的領域，從而更好地構(gòu)筑競爭優(yōu)勢，以此獲得可持續(xù)發(fā)展的能力。

隨著企業(yè)業(yè)務發(fā)展過程中信息系統(tǒng)所涉及的內(nèi)容越來越多、結(jié)構(gòu)越來越龐大，企業(yè)信息化再也不僅僅是IT部門自己的事情。企業(yè)市場競爭壓力越來越大，在信息化建設和管理期間迎來了嚴峻的考驗。一方面是IT部門人員少、系統(tǒng)多、任務重，另一方面是公司要求IT部門削減成本、并消除由于缺乏內(nèi)部控制和運作準則導致的混亂狀態(tài)，以更高效地服務業(yè)務部門。

在多重壓力之下，許多企業(yè)認為IT部門最重要的工作是確保信息和流程的順暢，而服務器、存儲系統(tǒng)、網(wǎng)絡或者交換機等設備并不是最重要。因此，許多企業(yè)傾向于將某些應用系統(tǒng)、基礎設施和部分非核心系統(tǒng)外包給服務商負責維護。

IT服務外包的風險

企業(yè)借外部力量提供專業(yè)化服務、將部分非核心業(yè)務進行離岸資源外包的過程中，面臨著管控、運營等一系列風險，其中最重要的是信息安全風險的威脅。

從表面上看，采用IT外包策略不但可以節(jié)約成本，還能提高效率。但事實上，許多企業(yè)對IT外包都有許多道不盡的愛恨情仇。外包是一柄雙刃劍，其好處是可以向企業(yè)灌輸技術與人才，幫助企業(yè)擺脫繁瑣的IT業(yè)務——有效的外包能讓公司更好的專注于核心業(yè)務。

但是進行IT外包并不是一件輕松的事情，如果處理不好，不僅不會帶來預期的效益，反而會變成一場噩夢和致命的災難。所以對于企業(yè)IT主管部門而言，必須具有很強的經(jīng)驗和管理技能，才能談“外包” 二字。

IT外包服務要成為一種商品，就必須形成一套規(guī)范和標準，以約束買賣雙方。但目前國內(nèi)IT外包服務領域既無統(tǒng)一規(guī)范也無公認標準。概念模糊的用戶，面對同樣概念模糊的IT廠商，如何評估、簽合同、質(zhì)量控制和定價等都是潛在的“風險”。

此外，IT外包還面臨著 IT管理的復雜性、軟件缺失、知識產(chǎn)權以及IT外包服務提供商自身能否健康成長等風險。因此企業(yè)需要在風險、成本與效果、效率之間找到平衡點。

同時，由于委托方和代理方之間可能存在信息不對稱和信息扭曲等問題，加之市場及宏觀環(huán)境的不確定性，導致委托方在實施外包過程中承擔著種種風險。

外包服務關鍵詞：信息安全

企業(yè)在IT服務外包過程中面臨的最大挑戰(zhàn)，就是如何確保企業(yè)信息和數(shù)據(jù)的安全，如何建立起有效的信息安全管控框架，以符合企業(yè)信息安全要求。

首先，確認企業(yè)內(nèi)部信息安全管控過程是否可持續(xù)監(jiān)管和優(yōu)化。在信息防泄漏的“戰(zhàn)爭”中，相比于躲在暗處的泄密者和安全威脅，站在明處的企業(yè)顯然略失先機。但如果企業(yè)能夠做到預先防御，在對手出招之前采取針對性的保護措施，就能從根本上“轉(zhuǎn)被動為主動”，做好內(nèi)部數(shù)據(jù)安全防護。

因此，良好的信息防泄體系的前提就是要時刻掌握企業(yè)動態(tài)，做到要有的放矢。很重要的一點是要實現(xiàn)內(nèi)部操作的“可視化”，以隨時監(jiān)測整個信息系統(tǒng)的安全狀況，做到迅速反應，甚至還能預測到潛在的風險，化被動防御為積極防御。

其次，企業(yè)信息安全體系設計需進行全局評估和建設，規(guī)避疏漏和風險。安全領域中的木桶理論和馬其頓防線的故事相信大家都了解——無論怎么豪華的防線，一個漏洞就可以毀滅所有一切。在企業(yè)中，有時候可能是一個小小的系統(tǒng)漏洞就可能毀滅了幾百萬投資的努力，或者一個無意的非法補丁行為就讓企業(yè)蒙受損失。

因此，在解決安全問題之時，不能僅僅依賴透明加密等技術手段，“頭痛醫(yī)頭，腳痛醫(yī)腳”地堆砌不同安全產(chǎn)品及封堵安全漏洞，而是需要站在一個更高的戰(zhàn)略角度來通盤考慮。如果缺乏整體的分析視角，企業(yè)可能會忽視或者低估某個安全攻擊的真正威脅，采取的安全措施也可能無法解決真正的問題。

所以，在實際的防泄漏建設中，必須從整體上來評估企業(yè)的信息安全狀況，運用統(tǒng)一平臺來進行風險和安全管理，檢測出內(nèi)部問題，從而描繪出整個企業(yè)當前安全情況的更清晰和更準確的圖景，采取針對性的防護措施，最大限度降低企業(yè)的安全風險。

另外，要有安全和防護等級措施。企業(yè)在構(gòu)建立體化、全方位的整體信息防泄體系時并不是一刀切，不分輕重地在全公司范圍內(nèi)采取相同的策略，這樣雖然看似達到了最為安全的效果，但對業(yè)務造成的巨大影響，以及因此產(chǎn)生的高額成本，對企業(yè)來說，都是巨大的負擔。

對信息安全來說，威脅和風險往往和高價值的信息資產(chǎn)聯(lián)系在一起，安全保護工作也就應該輕重有別，將重點放在高價值的信息資產(chǎn)上。在安全建設過程中，對涉密程度高的部門或崗位進行力度大的防御，對涉密程度低的部門采取相應的安全防御。同時衡量提升安全性可能帶來的業(yè)務操作上的麻煩、企業(yè)安全成本等問題，是企業(yè)必須要做的事情。

在企業(yè)實施安全防護等級風險評估過程中，往往需要結(jié)合企業(yè)的實際情況，對三種技術手段整合運用：首先，在全公司范圍內(nèi)進行安全審計，掌握企業(yè)操作，發(fā)現(xiàn)安全隱患；其次，對特殊崗位和部門，進行嚴格管控，限制信息的帶出；最后，在核心部門內(nèi)部，對機密信息進行透明加密。這樣既可保證公司的正常業(yè)務運作，又能有的放矢地實現(xiàn)最優(yōu)化的信息防泄漏管理，還大大節(jié)約了投資成本。

此外，利用科學可行的安全策略和必要的技術手段實現(xiàn)動態(tài)性防護。動態(tài)性的信息泄露防護，對于目前泄密方式日益增多的企業(yè)來說，非常重要。某些企業(yè)往往在安全事件發(fā)生之后才對現(xiàn)在的策略進行被動的調(diào)整。這種“吃一塹、長一智”的防護模式，對于企業(yè)而言，有可能是致命的。一旦出了安全事故，恐怕亡羊補牢，為時已晚。

企業(yè)需要建立一個動態(tài)性的安全防護，前瞻性地發(fā)現(xiàn)安全威脅，并通過對技術或管理上的策略進行及時調(diào)整更新，防范潛在的安全風險。

最后要強調(diào)的是，信息安全體系必須便于使用和維護。如今，市場上五花八門的信息防泄漏產(chǎn)品讓企業(yè)眼花繚亂，企業(yè)期望這種“強強組合”能給企業(yè)套上萬無一失的金鐘罩。殊不知這種做法往往意味著企業(yè)必須付出較高的成本，并增加了技術的復雜性，還容易導致產(chǎn)品軟件沖突等問題，企業(yè)雖然“裝”了安全產(chǎn)品，但根本“用”不了。

目前，能夠提供整體解決方案的單一安全產(chǎn)品可謂不錯的選擇，它能夠幫助企業(yè)建立統(tǒng)一的安全管理平臺，無論企業(yè)安全邊界防護、還是內(nèi)部使用，都做了整體全面的考慮，同時簡化了日常的操作與管理、降低了系統(tǒng)的資源占用、避免了軟件沖突等多種問題，使用維護亦非常方便，大大節(jié)約了IT人員的時間和精力。

綜上所述，如企業(yè)信息防泄漏建設符合以上檢測標準，說明該企業(yè)已經(jīng)建立了一個完善的整體信息防泄漏體系，機密信息也得到了最大化的保護，實現(xiàn)了“成本、效率、安全”三者的最佳平衡，這也是近年來被大家認可的“整體信息防泄漏”理念的核心。

實際上，信息防泄本身就是一種博弈，是企業(yè)和人的博弈。它是一場思維的交鋒，企業(yè)只有掌握了內(nèi)部的行為操作，同時針對內(nèi)部安全威脅建立全面、立體化的安全防護，信息防泄才會立于不敗之地。

天璣外包信息安全管控體系

天璣科技提供的IT外包（IT Outsourcing）服務，即“承接企業(yè)IT系統(tǒng)維護與管理，按雙方服務協(xié)議內(nèi)容完成相關服務”的業(yè)務模式。

隨著客戶對信息安全管理的要求越來越高，天璣科技把IT外包的信息安全管理放在首位，積極貫徹基于風險的管理方法，針對IT服務外包中的安全管理進行了系統(tǒng)思考和有益的嘗試。

外包基礎和簡單重復的服務：考慮到信息安全管理問題，天璣科技初期外包服務范圍主要以基礎服務外包為主，即將IT系統(tǒng)日常的硬件與軟件維護、Helpdesk呼叫中心、信息系統(tǒng)的編碼等活動外包，而對于IT系統(tǒng)的規(guī)劃與管理、核心應用系統(tǒng)（如ERP、CRM）的設計與維護仍然由企業(yè)IT部門承擔。這樣避免了IT服務人員接觸組織的核心系統(tǒng)信息，降低了IT服務外包對IT系統(tǒng)敏感部分帶來的安全風險。

具備信息安全管理資質(zhì)：由于IT外包服務過程中，IT服務人員必然會接觸到企業(yè)的系統(tǒng)設備甚至是內(nèi)容，如何成為一家可靠安全的IT服務外包供應商也是在進行IT服務外包前必須考慮的重要方面。天璣科技是一家已經(jīng)建立起完善的信息安全管理體系，并通過了BSI安全認證審核的IT服務外包供應商，專門從事IT服務外，擁有很多有影響的大客戶。天璣科技會根據(jù)服務內(nèi)容簽訂責任明確的服務合同，在服務合同中詳細闡明雙方在服務提供過程中對信息安全的責任十分關鍵。

強化日常服務的安全管理：信息安全管理的要求應該體現(xiàn)在IT服務日常管理的各個方面，主要包括：日?；顒右?guī)范的建立；服務變更控制；服務人員管理；安全事件處理；業(yè)務持續(xù)管理；知識產(chǎn)權保護和監(jiān)控與審核等內(nèi)容。

日?；顒右?guī)范的建立：針對服務協(xié)議中明確的服務內(nèi)容，建立規(guī)范的服務流程是開展IT服務活動的基礎。企業(yè)信息化主管部門根據(jù)雙方簽訂的服務協(xié)議，與供應商IT服務主管人員一起建立一套完整的服務規(guī)范。服務規(guī)范中對服務過程中的安全風險均采取了適當?shù)目刂拼胧?，確保了服務活動滿足企業(yè)信息安全管理策略的要求。

服務變更控制：天璣科技遵從在調(diào)整其服務流程和變更服務技術前必須事前進行溝通，在企業(yè)評估變更的影響并確認采取了響應控制措施后才能進行服務過程的變更。

服務人員管理：服務人員是IT服務活動的直接執(zhí)行者。為確保服務人員能夠滿足要求，天璣科技明確規(guī)定了IT服務人員的能力要求和標準，確保只有技術能力強、認真負責的服務人員才能進入服務項目組。同時，對服務人員篩選、培訓和變動也提出了具體要求。

安全事件管理：發(fā)生安全事件后，雙方人員的協(xié)調(diào)和互動將直接影響對事件處理的結(jié)果。在服務過程中發(fā)生和發(fā)現(xiàn)的信息安全事件必須第一時間上報企業(yè)主管部門，在企業(yè)主管部門的組織下完成對安全事件的處理。

業(yè)務持續(xù)管理：由于企業(yè)將核心網(wǎng)絡和系統(tǒng)硬件均托管給了IT服務供應商進行日常維護。IT服務供應商是否具備滿足組織業(yè)務需求的業(yè)務持續(xù)管理能力，成為保證企業(yè)信息系統(tǒng)業(yè)務持續(xù)的關鍵。在企業(yè)整個業(yè)務持續(xù)管理的框架下，對IT服務供應商的業(yè)務持續(xù)管理能力提出了明確的要求，在服務協(xié)議中進行了明確的定義。同時，針對具體服務系統(tǒng)雙方共同制定了相應的災難恢復計劃。

知識產(chǎn)權保護：桌面服務中如何保護組織以及相關方的知識智力產(chǎn)權，是需要在進行IT服務外包過程中管理和控制的重要內(nèi)容。天璣科技在軟件安裝和服務過程中工具的使用過程都明確規(guī)定了對軟件許可證的跟蹤與管理要求，確保服務活動滿足對知識產(chǎn)權保護的要求。

監(jiān)控與審核：為確保IT服務供應商能夠履行相關責任，企業(yè)需以雙方簽訂的服務協(xié)議為依據(jù)，服務方接受服務活動的監(jiān)控與審核方法，包括工程師現(xiàn)場服務行為、人員與事件管理等各個環(huán)節(jié)。通過日常監(jiān)控檢查發(fā)現(xiàn)存在的問題并及時解決。同時，建立了與服務供應商每周例會制度，及時溝通和解決服務過程中雙方發(fā)現(xiàn)的問題。

總之，提供IT服務外包中的信息安全管理一直是重點問題之一。企業(yè)和IT服務供應商將一起參照ISO/IEC27001標準內(nèi)容不斷完善對IT服務外包的安全管理，確保能為企業(yè)和組織的信息安全管理提供可靠保障。