徐剛

近年來，IT服務(wù)外包的井噴式發(fā)展，解決了企業(yè)IT管理過程中的一系列瓶頸問題，為企業(yè)兼顧“成本控制”和“管理效益”提供了方便，而IT服務(wù)外包發(fā)展過程中，信息安全的管控可謂重中之重。作為國內(nèi)領(lǐng)先的IT服務(wù)和軟件產(chǎn)品提供商，上海天璣科技股份有限公司的IT外包信息安全管控體系，為企業(yè)和組織的信息安全管理提供了可靠保障。

IT服務(wù)外包井噴式發(fā)展

在強調(diào)企業(yè)核心競爭力的今天，越來越多的公司將IT服務(wù)外包作為企業(yè)長期戰(zhàn)略成本管理的新興工具。服務(wù)外包的實質(zhì)是企業(yè)和服務(wù)商之間的“委托—代理”關(guān)系。企業(yè)需要對自己重新進行定位，截取價值鏈中較短的部分，縮小經(jīng)營范圍，在此基礎(chǔ)上重新配置企業(yè)的各種資源，將資源集中到最能反映企業(yè)優(yōu)勢的領(lǐng)域，從而更好地構(gòu)筑競爭優(yōu)勢，以此獲得可持續(xù)發(fā)展的能力。

隨著企業(yè)業(yè)務(wù)發(fā)展過程中信息系統(tǒng)所涉及的內(nèi)容越來越多、結(jié)構(gòu)越來越龐大，企業(yè)信息化再也不僅僅是IT部門自己的事情。企業(yè)市場競爭壓力越來越大，在信息化建設(shè)和管理期間迎來了嚴峻的考驗。一方面是IT部門人員少、系統(tǒng)多、任務(wù)重，另一方面是公司要求IT部門削減成本、并消除由于缺乏內(nèi)部控制和運作準則導致的混亂狀態(tài)，以更高效地服務(wù)業(yè)務(wù)部門。

在多重壓力之下，許多企業(yè)認為IT部門最重要的工作是確保信息和流程的順暢，而服務(wù)器、存儲系統(tǒng)、網(wǎng)絡(luò)或者交換機等設(shè)備并不是最重要。因此，許多企業(yè)傾向于將某些應(yīng)用系統(tǒng)、基礎(chǔ)設(shè)施和部分非核心系統(tǒng)外包給服務(wù)商負責維護。

IT服務(wù)外包的風險

企業(yè)借外部力量提供專業(yè)化服務(wù)、將部分非核心業(yè)務(wù)進行離岸資源外包的過程中，面臨著管控、運營等一系列風險，其中最重要的是信息安全風險的威脅。

從表面上看，采用IT外包策略不但可以節(jié)約成本，還能提高效率。但事實上，許多企業(yè)對IT外包都有許多道不盡的愛恨情仇。外包是一柄雙刃劍，其好處是可以向企業(yè)灌輸技術(shù)與人才，幫助企業(yè)擺脫繁瑣的IT業(yè)務(wù)——有效的外包能讓公司更好的專注于核心業(yè)務(wù)。

但是進行IT外包并不是一件輕松的事情，如果處理不好，不僅不會帶來預(yù)期的效益，反而會變成一場噩夢和致命的災(zāi)難。所以對于企業(yè)IT主管部門而言，必須具有很強的經(jīng)驗和管理技能，才能談“外包” 二字。

IT外包服務(wù)要成為一種商品，就必須形成一套規(guī)范和標準，以約束買賣雙方。但目前國內(nèi)IT外包服務(wù)領(lǐng)域既無統(tǒng)一規(guī)范也無公認標準。概念模糊的用戶，面對同樣概念模糊的IT廠商，如何評估、簽合同、質(zhì)量控制和定價等都是潛在的“風險”。

此外，IT外包還面臨著 IT管理的復(fù)雜性、軟件缺失、知識產(chǎn)權(quán)以及IT外包服務(wù)提供商自身能否健康成長等風險。因此企業(yè)需要在風險、成本與效果、效率之間找到平衡點。

同時，由于委托方和代理方之間可能存在信息不對稱和信息扭曲等問題，加之市場及宏觀環(huán)境的不確定性，導致委托方在實施外包過程中承擔著種種風險。

外包服務(wù)關(guān)鍵詞：信息安全

企業(yè)在IT服務(wù)外包過程中面臨的最大挑戰(zhàn)，就是如何確保企業(yè)信息和數(shù)據(jù)的安全，如何建立起有效的信息安全管控框架，以符合企業(yè)信息安全要求。

首先，確認企業(yè)內(nèi)部信息安全管控過程是否可持續(xù)監(jiān)管和優(yōu)化。在信息防泄漏的“戰(zhàn)爭”中，相比于躲在暗處的泄密者和安全威脅，站在明處的企業(yè)顯然略失先機。但如果企業(yè)能夠做到預(yù)先防御，在對手出招之前采取針對性的保護措施，就能從根本上“轉(zhuǎn)被動為主動”，做好內(nèi)部數(shù)據(jù)安全防護。

因此，良好的信息防泄體系的前提就是要時刻掌握企業(yè)動態(tài)，做到要有的放矢。很重要的一點是要實現(xiàn)內(nèi)部操作的“可視化”，以隨時監(jiān)測整個信息系統(tǒng)的安全狀況，做到迅速反應(yīng)，甚至還能預(yù)測到潛在的風險，化被動防御為積極防御。

其次，企業(yè)信息安全體系設(shè)計需進行全局評估和建設(shè)，規(guī)避疏漏和風險。安全領(lǐng)域中的木桶理論和馬其頓防線的故事相信大家都了解——無論怎么豪華的防線，一個漏洞就可以毀滅所有一切。在企業(yè)中，有時候可能是一個小小的系統(tǒng)漏洞就可能毀滅了幾百萬投資的努力，或者一個無意的非法補丁行為就讓企業(yè)蒙受損失。

因此，在解決安全問題之時，不能僅僅依賴透明加密等技術(shù)手段，“頭痛醫(yī)頭，腳痛醫(yī)腳”地堆砌不同安全產(chǎn)品及封堵安全漏洞，而是需要站在一個更高的戰(zhàn)略角度來通盤考慮。如果缺乏整體的分析視角，企業(yè)可能會忽視或者低估某個安全攻擊的真正威脅，采取的安全措施也可能無法解決真正的問題。

所以，在實際的防泄漏建設(shè)中，必須從整體上來評估企業(yè)的信息安全狀況，運用統(tǒng)一平臺來進行風險和安全管理，檢測出內(nèi)部問題，從而描繪出整個企業(yè)當前安全情況的更清晰和更準確的圖景，采取針對性的防護措施，最大限度降低企業(yè)的安全風險。

另外，要有安全和防護等級措施。企業(yè)在構(gòu)建立體化、全方位的整體信息防泄體系時并不是一刀切，不分輕重地在全公司范圍內(nèi)采取相同的策略，這樣雖然看似達到了最為安全的效果，但對業(yè)務(wù)造成的巨大影響，以及因此產(chǎn)生的高額成本，對企業(yè)來說，都是巨大的負擔。

對信息安全來說，威脅和風險往往和高價值的信息資產(chǎn)聯(lián)系在一起，安全保護工作也就應(yīng)該輕重有別，將重點放在高價值的信息資產(chǎn)上。在安全建設(shè)過程中，對涉密程度高的部門或崗位進行力度大的防御，對涉密程度低的部門采取相應(yīng)的安全防御。同時衡量提升安全性可能帶來的業(yè)務(wù)操作上的麻煩、企業(yè)安全成本等問題，是企業(yè)必須要做的事情。

在企業(yè)實施安全防護等級風險評估過程中，往往需要結(jié)合企業(yè)的實際情況，對三種技術(shù)手段整合運用：首先，在全公司范圍內(nèi)進行安全審計，掌握企業(yè)操作，發(fā)現(xiàn)安全隱患；其次，對特殊崗位和部門，進行嚴格管控，限制信息的帶出；最后，在核心部門內(nèi)部，對機密信息進行透明加密。這樣既可保證公司的正常業(yè)務(wù)運作，又能有的放矢地實現(xiàn)最優(yōu)化的信息防泄漏管理，還大大節(jié)約了投資成本。

此外，利用科學可行的安全策略和必要的技術(shù)手段實現(xiàn)動態(tài)性防護。動態(tài)性的信息泄露防護，對于目前泄密方式日益增多的企業(yè)來說，非常重要。某些企業(yè)往往在安全事件發(fā)生之后才對現(xiàn)在的策略進行被動的調(diào)整。這種“吃一塹、長一智”的防護模式，對于企業(yè)而言，有可能是致命的。一旦出了安全事故，恐怕亡羊補牢，為時已晚。

企業(yè)需要建立一個動態(tài)性的安全防護，前瞻性地發(fā)現(xiàn)安全威脅，并通過對技術(shù)或管理上的策略進行及時調(diào)整更新，防范潛在的安全風險。

最后要強調(diào)的是，信息安全體系必須便于使用和維護。如今，市場上五花八門的信息防泄漏產(chǎn)品讓企業(yè)眼花繚亂，企業(yè)期望這種“強強組合”能給企業(yè)套上萬無一失的金鐘罩。殊不知這種做法往往意味著企業(yè)必須付出較高的成本，并增加了技術(shù)的復(fù)雜性，還容易導致產(chǎn)品軟件沖突等問題，企業(yè)雖然“裝”了安全產(chǎn)品，但根本“用”不了。

目前，能夠提供整體解決方案的單一安全產(chǎn)品可謂不錯的選擇，它能夠幫助企業(yè)建立統(tǒng)一的安全管理平臺，無論企業(yè)安全邊界防護、還是內(nèi)部使用，都做了整體全面的考慮，同時簡化了日常的操作與管理、降低了系統(tǒng)的資源占用、避免了軟件沖突等多種問題，使用維護亦非常方便，大大節(jié)約了IT人員的時間和精力。

綜上所述，如企業(yè)信息防泄漏建設(shè)符合以上檢測標準，說明該企業(yè)已經(jīng)建立了一個完善的整體信息防泄漏體系，機密信息也得到了最大化的保護，實現(xiàn)了“成本、效率、安全”三者的最佳平衡，這也是近年來被大家認可的“整體信息防泄漏”理念的核心。

實際上，信息防泄本身就是一種博弈，是企業(yè)和人的博弈。它是一場思維的交鋒，企業(yè)只有掌握了內(nèi)部的行為操作，同時針對內(nèi)部安全威脅建立全面、立體化的安全防護，信息防泄才會立于不敗之地。

天璣外包信息安全管控體系

天璣科技提供的IT外包（IT Outsourcing）服務(wù)，即“承接企業(yè)IT系統(tǒng)維護與管理，按雙方服務(wù)協(xié)議內(nèi)容完成相關(guān)服務(wù)”的業(yè)務(wù)模式。

隨著客戶對信息安全管理的要求越來越高，天璣科技把IT外包的信息安全管理放在首位，積極貫徹基于風險的管理方法，針對IT服務(wù)外包中的安全管理進行了系統(tǒng)思考和有益的嘗試。

外包基礎(chǔ)和簡單重復(fù)的服務(wù)：考慮到信息安全管理問題，天璣科技初期外包服務(wù)范圍主要以基礎(chǔ)服務(wù)外包為主，即將IT系統(tǒng)日常的硬件與軟件維護、Helpdesk呼叫中心、信息系統(tǒng)的編碼等活動外包，而對于IT系統(tǒng)的規(guī)劃與管理、核心應(yīng)用系統(tǒng)（如ERP、CRM）的設(shè)計與維護仍然由企業(yè)IT部門承擔。這樣避免了IT服務(wù)人員接觸組織的核心系統(tǒng)信息，降低了IT服務(wù)外包對IT系統(tǒng)敏感部分帶來的安全風險。

具備信息安全管理資質(zhì)：由于IT外包服務(wù)過程中，IT服務(wù)人員必然會接觸到企業(yè)的系統(tǒng)設(shè)備甚至是內(nèi)容，如何成為一家可靠安全的IT服務(wù)外包供應(yīng)商也是在進行IT服務(wù)外包前必須考慮的重要方面。天璣科技是一家已經(jīng)建立起完善的信息安全管理體系，并通過了BSI安全認證審核的IT服務(wù)外包供應(yīng)商，專門從事IT服務(wù)外，擁有很多有影響的大客戶。天璣科技會根據(jù)服務(wù)內(nèi)容簽訂責任明確的服務(wù)合同，在服務(wù)合同中詳細闡明雙方在服務(wù)提供過程中對信息安全的責任十分關(guān)鍵。

強化日常服務(wù)的安全管理：信息安全管理的要求應(yīng)該體現(xiàn)在IT服務(wù)日常管理的各個方面，主要包括：日?；顒右?guī)范的建立；服務(wù)變更控制；服務(wù)人員管理；安全事件處理；業(yè)務(wù)持續(xù)管理；知識產(chǎn)權(quán)保護和監(jiān)控與審核等內(nèi)容。

日?；顒右?guī)范的建立：針對服務(wù)協(xié)議中明確的服務(wù)內(nèi)容，建立規(guī)范的服務(wù)流程是開展IT服務(wù)活動的基礎(chǔ)。企業(yè)信息化主管部門根據(jù)雙方簽訂的服務(wù)協(xié)議，與供應(yīng)商IT服務(wù)主管人員一起建立一套完整的服務(wù)規(guī)范。服務(wù)規(guī)范中對服務(wù)過程中的安全風險均采取了適當?shù)目刂拼胧?，確保了服務(wù)活動滿足企業(yè)信息安全管理策略的要求。

服務(wù)變更控制：天璣科技遵從在調(diào)整其服務(wù)流程和變更服務(wù)技術(shù)前必須事前進行溝通，在企業(yè)評估變更的影響并確認采取了響應(yīng)控制措施后才能進行服務(wù)過程的變更。

服務(wù)人員管理：服務(wù)人員是IT服務(wù)活動的直接執(zhí)行者。為確保服務(wù)人員能夠滿足要求，天璣科技明確規(guī)定了IT服務(wù)人員的能力要求和標準，確保只有技術(shù)能力強、認真負責的服務(wù)人員才能進入服務(wù)項目組。同時，對服務(wù)人員篩選、培訓和變動也提出了具體要求。

安全事件管理：發(fā)生安全事件后，雙方人員的協(xié)調(diào)和互動將直接影響對事件處理的結(jié)果。在服務(wù)過程中發(fā)生和發(fā)現(xiàn)的信息安全事件必須第一時間上報企業(yè)主管部門，在企業(yè)主管部門的組織下完成對安全事件的處理。

業(yè)務(wù)持續(xù)管理：由于企業(yè)將核心網(wǎng)絡(luò)和系統(tǒng)硬件均托管給了IT服務(wù)供應(yīng)商進行日常維護。IT服務(wù)供應(yīng)商是否具備滿足組織業(yè)務(wù)需求的業(yè)務(wù)持續(xù)管理能力，成為保證企業(yè)信息系統(tǒng)業(yè)務(wù)持續(xù)的關(guān)鍵。在企業(yè)整個業(yè)務(wù)持續(xù)管理的框架下，對IT服務(wù)供應(yīng)商的業(yè)務(wù)持續(xù)管理能力提出了明確的要求，在服務(wù)協(xié)議中進行了明確的定義。同時，針對具體服務(wù)系統(tǒng)雙方共同制定了相應(yīng)的災(zāi)難恢復(fù)計劃。

知識產(chǎn)權(quán)保護：桌面服務(wù)中如何保護組織以及相關(guān)方的知識智力產(chǎn)權(quán)，是需要在進行IT服務(wù)外包過程中管理和控制的重要內(nèi)容。天璣科技在軟件安裝和服務(wù)過程中工具的使用過程都明確規(guī)定了對軟件許可證的跟蹤與管理要求，確保服務(wù)活動滿足對知識產(chǎn)權(quán)保護的要求。

監(jiān)控與審核：為確保IT服務(wù)供應(yīng)商能夠履行相關(guān)責任，企業(yè)需以雙方簽訂的服務(wù)協(xié)議為依據(jù)，服務(wù)方接受服務(wù)活動的監(jiān)控與審核方法，包括工程師現(xiàn)場服務(wù)行為、人員與事件管理等各個環(huán)節(jié)。通過日常監(jiān)控檢查發(fā)現(xiàn)存在的問題并及時解決。同時，建立了與服務(wù)供應(yīng)商每周例會制度，及時溝通和解決服務(wù)過程中雙方發(fā)現(xiàn)的問題。

總之，提供IT服務(wù)外包中的信息安全管理一直是重點問題之一。企業(yè)和IT服務(wù)供應(yīng)商將一起參照ISO/IEC27001標準內(nèi)容不斷完善對IT服務(wù)外包的安全管理，確保能為企業(yè)和組織的信息安全管理提供可靠保障。