聚焦IT服务外包的信息安全管控

徐刚

近年来，IT服务外包的井喷式发展，解决了企业IT管理过程中的一系列瓶颈问题，为企业兼顾“成本控制”和“管理效益”提供了方便，而IT服务外包发展过程中，信息安全的管控可谓重中之重。作为国内领先的IT服务和软件产品提供商，上海天玑科技股份有限公司的IT外包信息安全管控体系，为企业和组织的信息安全管理提供了可靠保障。

IT服务外包井喷式发展

在强调企业核心竞争力的今天，越来越多的公司将IT服务外包作为企业长期战略成本管理的新兴工具。服务外包的实质是企业和服务商之间的“委托—代理”关系。企业需要对自己重新进行定位，截取价值链中较短的部分，缩小经营范围，在此基础上重新配置企业的各种资源，将资源集中到最能反映企业优势的领域，从而更好地构筑竞争优势，以此获得可持续发展的能力。

随着企业业务发展过程中信息系统所涉及的内容越来越多、结构越来越庞大，企业信息化再也不仅仅是IT部门自己的事情。企业市场竞争压力越来越大，在信息化建设和管理期间迎来了严峻的考验。一方面是IT部门人员少、系统多、任务重，另一方面是公司要求IT部门削减成本、并消除由于缺乏内部控制和运作准则导致的混乱状态，以更高效地服务业务部门。

在多重压力之下，许多企业认为IT部门最重要的工作是确保信息和流程的顺畅，而服务器、存储系统、网络或者交换机等设备并不是最重要。因此，许多企业倾向于将某些应用系统、基础设施和部分非核心系统外包给服务商负责维护。

IT服务外包的风险

企业借外部力量提供专业化服务、将部分非核心业务进行离岸资源外包的过程中，面临着管控、运营等一系列风险，其中最重要的是信息安全风险的威胁。

从表面上看，采用IT外包策略不但可以节约成本，还能提高效率。但事实上，许多企业对IT外包都有许多道不尽的爱恨情仇。外包是一柄双刃剑，其好处是可以向企业灌输技术与人才，帮助企业摆脱繁琐的IT业务——有效的外包能让公司更好的专注于核心业务。

但是进行IT外包并不是一件轻松的事情，如果处理不好，不仅不会带来预期的效益，反而会变成一场噩梦和致命的灾难。所以对于企业IT主管部门而言，必须具有很强的经验和管理技能，才能谈“外包” 二字。

IT外包服务要成为一种商品，就必须形成一套规范和标准，以约束买卖双方。但目前国内IT外包服务领域既无统一规范也无公认标准。概念模糊的用户，面对同样概念模糊的IT厂商，如何评估、签合同、质量控制和定价等都是潜在的“风险”。

此外，IT外包还面临着 IT管理的复杂性、软件缺失、知识产权以及IT外包服务提供商自身能否健康成长等风险。因此企业需要在风险、成本与效果、效率之间找到平衡点。

同时，由于委托方和代理方之间可能存在信息不对称和信息扭曲等问题，加之市场及宏观环境的不确定性，导致委托方在实施外包过程中承担着种种风险。

外包服务关键词：信息安全

企业在IT服务外包过程中面临的最大挑战，就是如何确保企业信息和数据的安全，如何建立起有效的信息安全管控框架，以符合企业信息安全要求。

首先，确认企业内部信息安全管控过程是否可持续监管和优化。在信息防泄漏的“战争”中，相比于躲在暗处的泄密者和安全威胁，站在明处的企业显然略失先机。但如果企业能够做到预先防御，在对手出招之前采取针对性的保护措施，就能从根本上“转被动为主动”，做好内部数据安全防护。

因此，良好的信息防泄体系的前提就是要时刻掌握企业动态，做到要有的放矢。很重要的一点是要实现内部操作的“可视化”，以随时监测整个信息系统的安全状况，做到迅速反应，甚至还能预测到潜在的风险，化被动防御为积极防御。

其次，企业信息安全体系设计需进行全局评估和建设，规避疏漏和风险。安全领域中的木桶理论和马其顿防线的故事相信大家都了解——无论怎么豪华的防线，一个漏洞就可以毁灭所有一切。在企业中，有时候可能是一个小小的系统漏洞就可能毁灭了几百万投资的努力，或者一个无意的非法补丁行为就让企业蒙受损失。

因此，在解决安全问题之时，不能仅仅依赖透明加密等技术手段，“头痛医头，脚痛医脚”地堆砌不同安全产品及封堵安全漏洞，而是需要站在一个更高的战略角度来通盘考虑。如果缺乏整体的分析视角，企业可能会忽视或者低估某个安全攻击的真正威胁，采取的安全措施也可能无法解决真正的问题。

所以，在实际的防泄漏建设中，必须从整体上来评估企业的信息安全状况，运用统一平台来进行风险和安全管理，检测出内部问题，从而描绘出整个企业当前安全情况的更清晰和更准确的图景，采取针对性的防护措施，最大限度降低企业的安全风险。

另外，要有安全和防护等级措施。企业在构建立体化、全方位的整体信息防泄体系时并不是一刀切，不分轻重地在全公司范围内采取相同的策略，这样虽然看似达到了最为安全的效果，但对业务造成的巨大影响，以及因此产生的高额成本，对企业来说，都是巨大的负担。

对信息安全来说，威胁和风险往往和高价值的信息资产联系在一起，安全保护工作也就应该轻重有别，将重点放在高价值的信息资产上。在安全建设过程中，对涉密程度高的部门或岗位进行力度大的防御，对涉密程度低的部门采取相应的安全防御。同时衡量提升安全性可能带来的业务操作上的麻烦、企业安全成本等问题，是企业必须要做的事情。

在企业实施安全防护等级风险评估过程中，往往需要结合企业的实际情况，对三种技术手段整合运用：首先，在全公司范围内进行安全审计，掌握企业操作，发现安全隐患；其次，对特殊岗位和部门，进行严格管控，限制信息的带出；最后，在核心部门内部，对机密信息进行透明加密。这样既可保证公司的正常业务运作，又能有的放矢地实现最优化的信息防泄漏管理，还大大节约了投资成本。

此外，利用科学可行的安全策略和必要的技术手段实现动态性防护。动态性的信息泄露防护，对于目前泄密方式日益增多的企业来说，非常重要。某些企业往往在安全事件发生之后才对现在的策略进行被动的调整。这种“吃一堑、长一智”的防护模式，对于企业而言，有可能是致命的。一旦出了安全事故，恐怕亡羊补牢，为时已晚。

企业需要建立一个动态性的安全防护，前瞻性地发现安全威胁，并通过对技术或管理上的策略进行及时调整更新，防范潜在的安全风险。

最后要强调的是，信息安全体系必须便于使用和维护。如今，市场上五花八门的信息防泄漏产品让企业眼花缭乱，企业期望这种“强强组合”能给企业套上万无一失的金钟罩。殊不知这种做法往往意味着企业必须付出较高的成本，并增加了技术的复杂性，还容易导致产品软件冲突等问题，企业虽然“装”了安全产品，但根本“用”不了。

目前，能够提供整体解决方案的单一安全产品可谓不错的选择，它能够帮助企业建立统一的安全管理平台，无论企业安全边界防护、还是内部使用，都做了整体全面的考虑，同时简化了日常的操作与管理、降低了系统的资源占用、避免了软件冲突等多种问题，使用维护亦非常方便，大大节约了IT人员的时间和精力。

综上所述，如企业信息防泄漏建设符合以上检测标准，说明该企业已经建立了一个完善的整体信息防泄漏体系，机密信息也得到了最大化的保护，实现了“成本、效率、安全”三者的最佳平衡，这也是近年来被大家认可的“整体信息防泄漏”理念的核心。

实际上，信息防泄本身就是一种博弈，是企业和人的博弈。它是一场思维的交锋，企业只有掌握了内部的行为操作，同时针对内部安全威胁建立全面、立体化的安全防护，信息防泄才会立于不败之地。

天玑外包信息安全管控体系

天玑科技提供的IT外包（IT Outsourcing）服务，即“承接企业IT系统维护与管理，按双方服务协议内容完成相关服务”的业务模式。

随着客户对信息安全管理的要求越来越高，天玑科技把IT外包的信息安全管理放在首位，积极贯彻基于风险的管理方法，针对IT服务外包中的安全管理进行了系统思考和有益的尝试。

外包基础和简单重复的服务：考虑到信息安全管理问题，天玑科技初期外包服务范围主要以基础服务外包为主，即将IT系统日常的硬件与软件维护、Helpdesk呼叫中心、信息系统的编码等活动外包，而对于IT系统的规划与管理、核心应用系统（如ERP、CRM）的设计与维护仍然由企业IT部门承担。这样避免了IT服务人员接触组织的核心系统信息，降低了IT服务外包对IT系统敏感部分带来的安全风险。

具备信息安全管理资质：由于IT外包服务过程中，IT服务人员必然会接触到企业的系统设备甚至是内容，如何成为一家可靠安全的IT服务外包供应商也是在进行IT服务外包前必须考虑的重要方面。天玑科技是一家已经建立起完善的信息安全管理体系，并通过了BSI安全认证审核的IT服务外包供应商，专门从事IT服务外，拥有很多有影响的大客户。天玑科技会根据服务内容签订责任明确的服务合同，在服务合同中详细阐明双方在服务提供过程中对信息安全的责任十分关键。

强化日常服务的安全管理：信息安全管理的要求应该体现在IT服务日常管理的各个方面，主要包括：日常活动规范的建立；服务变更控制；服务人员管理；安全事件处理；业务持续管理；知识产权保护和监控与审核等内容。

日常活动规范的建立：针对服务协议中明确的服务内容，建立规范的服务流程是开展IT服务活动的基础。企业信息化主管部门根据双方签订的服务协议，与供应商IT服务主管人员一起建立一套完整的服务规范。服务规范中对服务过程中的安全风险均采取了适当的控制措施，确保了服务活动满足企业信息安全管理策略的要求。

服务变更控制：天玑科技遵从在调整其服务流程和变更服务技术前必须事前进行沟通，在企业评估变更的影响并确认采取了响应控制措施后才能进行服务过程的变更。

服务人员管理：服务人员是IT服务活动的直接执行者。为确保服务人员能够满足要求，天玑科技明确规定了IT服务人员的能力要求和标准，确保只有技术能力强、认真负责的服务人员才能进入服务项目组。同时，对服务人员筛选、培训和变动也提出了具体要求。

安全事件管理：发生安全事件后，双方人员的协调和互动将直接影响对事件处理的结果。在服务过程中发生和发现的信息安全事件必须第一时间上报企业主管部门，在企业主管部门的组织下完成对安全事件的处理。

业务持续管理：由于企业将核心网络和系统硬件均托管给了IT服务供应商进行日常维护。IT服务供应商是否具备满足组织业务需求的业务持续管理能力，成为保证企业信息系统业务持续的关键。在企业整个业务持续管理的框架下，对IT服务供应商的业务持续管理能力提出了明确的要求，在服务协议中进行了明确的定义。同时，针对具体服务系统双方共同制定了相应的灾难恢复计划。

知识产权保护：桌面服务中如何保护组织以及相关方的知识智力产权，是需要在进行IT服务外包过程中管理和控制的重要内容。天玑科技在软件安装和服务过程中工具的使用过程都明确规定了对软件许可证的跟踪与管理要求，确保服务活动满足对知识产权保护的要求。

监控与审核：为确保IT服务供应商能够履行相关责任，企业需以双方签订的服务协议为依据，服务方接受服务活动的监控与审核方法，包括工程师现场服务行为、人员与事件管理等各个环节。通过日常监控检查发现存在的问题并及时解决。同时，建立了与服务供应商每周例会制度，及时沟通和解决服务过程中双方发现的问题。

总之，提供IT服务外包中的信息安全管理一直是重点问题之一。企业和IT服务供应商将一起参照ISO/IEC27001标准内容不断完善对IT服务外包的安全管理，确保能为企业和组织的信息安全管理提供可靠保障。