检验检疫信息化服务外包管理模式研究

李 月 姜 玮 季佳华 段德忠 吴穗玲 邓 聪

（上海出入境检验检疫局 上海 200135）

检验检疫信息化服务外包管理模式研究

李 月 姜 玮 季佳华 段德忠 吴穗玲 邓 聪

（上海出入境检验检疫局 上海 200135）

通过对检验检疫信息化服务外包现状的分析，总结出信息化服务外包管理制度、技术及方法的管理难题，并根据现存管控困境，结合技术及管理双管齐下，提出检验检疫信息化服务外包管理模式的创新途径，充分做到“事前能审查、事中有监管、事后做评估”。

信息化服务外包；管理制度；技术及管理；创新途径

1 前言

当前，云计算、大数据、物联网、移动计算、3D打印等新技术不断涌现，社会各行业信息化步伐不断加快，社会信息化程度不断加深，信息技术对于质检事业的影响日渐显著。党的十八届三中全会以来，特别是中央网络安全和信息化领导小组成立以后，党中央、国务院对网络安全和信息化工作的重视程度前所未有，“互联网+”行动计划、促进大数据发展行动纲要等有关政策密集出台，信息化已成为国家战略，检验检疫信息化建设也因此迎来了重大历史发展机遇。“十三五”期间，进一步深入推进检验检疫事业改革发展，在更高层次上增强检验检疫业务能力、全面提升检验检疫服务水平等任务对检验检疫信息化提出了更高要求，也为检验检疫信息化提供了更为广阔的发展空间。因此，开启检验检疫信息化建设“新篇章”势在必行。

“十三五”规划纲要《草案》明确提出：要完善国家网络安全保障体系，保障国家信息安全。党的十八届三中全会《决定》着重从确保国家网络和信息安全等方面提出了多项改革内容。随着外包服务3.0时代的到来，外包服务将成为政府部门信息化建设的大势所趋，而政府信息化外包管理已成为保障信息安全的重中之重。国家总局领导提倡“大力尝试服务外包”，但要“高度重视信息安全”。检验检疫作为政府行政执法单位，应时刻警惕信息化带来便利的同时所引发的信息安全隐患，增强风险防范意识，力求在处理好“激活内力”与“借助外力”基础上，通过有效技术途径与管理手段，充分做到外包服务“事前能审查、事中有监管、事后做评估”。

2 政府信息化服务外包现状分析

近年来，随着政府信息化程度的不断推进，各级各类政府部门都建设了大量的信息化基础设施和信息化系统。这些信息化基础设施设备和信息系统对于提升政府公共服务能力，提高政府行政办公效率，增强应对重大突发事件的应急处置能力提供了有效支撑和保障，同时也引发了信息化“重建轻管、重硬轻软、重复建设、资源浪费”等问题，而新的信息化建设需求又源源不断的涌现，致使管理制度呈现“后知后觉、散乱无章、鞭长莫及”的不良趋势。与此同时，在当今信息化产业已成为国民经济支柱的时代背景下，大量专业的信息化服务机构无论在专业技术水平、人员队伍及服务经验上都远超政府部门。因此，服务外包俨然成为检验检疫驶上“信息化高速路”的必经之路和必由之选。

2.1 国内外研究

从国外来看，美国政府信息化服务外包逐年大幅上升，同时美国政府积极为电子政务等信息化服务外包营造相应的法规法律。2002年12月17日，布什总统签署《2002年电子政务法》，改进《节余分享计划》，鼓励政府机构朝节余分享式的外包方向发展，即与信息技术供货商签订长期合同，通过降低运转费实现节余。英国收入局通过与EDS公司建立战略合作伙伴，合作开发出开放系统，由于合作伙伴的引用，数据中心由12个减少为6个，开发成本较之前降低15%。在新加坡，政府特别重视与私营企业的紧密合作，并由此扶持了信息化服务企业的发展。墨西哥政府通过建立政府部门与私营电讯企业的战略合作伙伴关系来解决子政务建设中政府联网问题。各国政府都先后尝试了信息化服务外包，但在制度上和操作方案上还有很多阻碍，缺乏相应的政策和制度支持，效力有限，执行难度大。政府部门还缺乏有效的信息化管理机制，对外包服务与内部运营统筹管理的能力较弱。

在我国国家法规层面，国家相关部门出台了《中华人民共和国计算机信息系统安全保护条例》（国务院147号）；国家政策层面，《国家信息化安全领导小组关于加强信息安全保障工作的意见》（中办发〔2003〕27号）为服务商外包使用单位和提供商建立信息安全保障体系提供了全面指导，《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》（国发〔2012〕23号）强调严格政府信息技术服务外包的安全管理，《加强政府部门信息技术外包服务安全管理》（工信部2011年第21号公告）、《关于境内企业承接服务外包的业务信息保护的若干规定》（商务部令2009第13号）等围绕信息技术服务外包安全管理提出了具体要求。国际标准化组织于2005年发布了ISO/IEC 27001：2005标准，而ISO2000标准着重于IT服务标准化，为制定和规划检验检疫信息化服务外包管理模式的相关研究提供了重要理论依据。

2.2 检验检疫外包困境

2.2.1 管理制度难保护

成功的信息安全外包活动，需要建立一个完善的管理框架。虽然检验检疫领域先后已针对信息化运维人员出入机房、入网控制、软件开发等方面进行相应规范，但管理内容较为分散，没有形成一套统一、规范的管理流程和制度。探索信息安全外包管控平台建设，要明晰信息安全服务外包涉及的用户单位、服务供应商、信息安全主管部门的责任和义务，IT运维和安全服务等环节的规范性、服务企业资质认定、准入退出机制、格式合同、经费保障等配套制度。

（1）主要涉及外包人员开展外包服务风险程度较大的情况，如某些外包人员以在编人员的身份申请维护权限，并且这些外包人员往往具有专业知识背景，此类人员在拥有维护权限的基础上擅自篡改网络及信息安全设备的访问控制登录口令及密码，擅自对业务数据进行访问和修改，这对政府的信息安全造成严重威胁和影响。

（2）对于外包驻场人员缺乏配套的管理制度，无法控制外包人员入网行为的操作权限，无法防止信息数据被恶意篡改，同时也缺乏对数据的流失、外泄的控制。

（3）外包人员离开的工作交接、移交等没有规范的管理制度。

2.2.2 技术管控防不住

目前主要依靠“人盯人”和运维人员的自律实现外包的安全管理，即指定专门人员陪同监督运维工程师的具体操作，要求其达到信息系统运维外包的管理要求。由于陪同人员的技术水平和业务素养不同，将造成系统运维外包无法得到有效监督和控制。

（1）某些系统在开发和调试的过程中，没有专门的通道可以搭建模拟环境。

（2）外包人员使用移动介质进行数据传输，没有有效的技术防控手段阻止其恶意传播信息。

（3）对于系统开发的外包，如将外包开发维护工作区划分为联网和非联网区，则需考察在非联网区内是否能够实现模拟生产环境的搭建，且要考虑系统开发的阶段性，一旦系统上线后，仍然会涉及系统数据的修改。此外还要考虑只能在线进行数据修改的外包行为如何管控。

2.2.3 外包服务无治理

现存管理制度还存在一定的信息安全隐患，如运维管理制度的执行情况不易监控，造成管理制度、保密要求和惩罚机制形同虚设，不能够有效发挥作用。且只能在事故发生后按照管理制度和保密协议等处罚机制进行追责，且在追责过程中提取相关证据较为困难，追讨损失的过程较为复杂。

（1）目前很多外包公司派驻的技术支持不在当地，紧急琐碎的情况经常会以远程维护方式进行解决。远程维护是否考虑指定开通某台机器的访问权限，访问结束后关闭其权限。对于长期开启远程服务的行为如何控制和管理。

（2）长期积累的供应商名录内存在很多长久未提供过服务的公司，是否考虑定期进行清理，对于外包供应商的管理缺乏评价机制，是否考虑由用户对外包公司进行相关评定。

对此，探究如何实现技术和流程双管齐下，建立一套全方位的信息化运维管控体系，规范信息化运维人员的维护操作流程，实现高质量、高效率、高水平的安全运维，充分保障检验检疫重要信息系统的稳定运行变得尤为重要。

3 外包管理对于推动检验检疫信息化发展的重要地位和作用

3.1 保障信息安全

检验检疫信息化服务外包管理模式的探索和研究可以有效提高系统运维的质量和效率，确保检验检疫的数据安全。通过建立有效的管理框架，加强对外包人员资质、各工作环节及其工作情况等的管理和监控，为全面、准确、客观评估外包公司的工作情况提供充分的参考依据，使外包工作符合检验检疫总体安全策略的要求。

同时，加强对检验检疫信息化服务外包管理，可以达到以下目的：①可以使检验检疫的信息安全管理过程得到可持续的监管和优化，改被动为主动，做到预先防御，在安全事件和安全威胁发生前，做好内部的安全防护措施；②通过创新管理模式实现内部操作的“可视化”，随时检测整个外包期间的系统安全状况，做到迅速反应，甚至预测潜在的风险；③有效避免治标不治本的简单方式，使信息安全管理部门站在更高的战略角度通盘考虑，更清晰、准确地描绘出整体安全状况，并通过技术上和管理上的策略及时调整更新，从而预防真正的安全威胁；④统一的信息化服务外包管理既能保证正常业务的运作，又能实现最优化的信息安全防护，真正做到简化日常的操作和管理，降低系统资源重复占用等问题，大大节约外包人员的时间和精力。

3.2 产生经济与社会效益

信息化服务外包管理模式探索，能够在检验检疫信息化发展过程中发挥重要作用，产生一定的社会和经济效益。

（1）信息安全更有保障。对于信息化服务外包的管理与规范有助于加强外包人员管理，对外包人员行为进行指导、监督和规范，使信息化服务外包过程“有章可循、有据可依、有术可控”，严明外包服务“底线”，保障信息安全。

（2）资金使用更加合理。政府部门每年财政预算较为有限，通过信息化服务外包的规范管理，逐步提升外包服务效率，进一步提高服务水平，使财政资金的使用更加合理、有效。

（3）公共服务更加有效。研究信息化服务外包管理模式，可以引入更加专业化的外包服务，实现对政府信息化业务的有力支撑，使得政府在应对突发应急事件时，能够有条不紊提供决策支持和信息调度，确保重大突发事件保障及时、训练有素、处置有效，保障人民群众的利益和安全。

4 检验检疫信息化服务外包管理模式的创新途径

通过对信息化服务外包过程中的安全风险进行分析，根据检验检疫信息化服务现状，探索构建解决外包服务管理困境的外包服务管理模式，即一平台（检验检疫信息化服务外包管控平台）、两支撑（技术手段及管理制度支撑）、两体系（评估和应急处置体系）。该模式将为开启检验检疫信息化新运维体系建设奠定基础，契合现有检验检疫信息化建设发展规划及方向，特别是在原有分散式运维逐步被“运维大集中”模式所取代的趋势下，如何对信息化资源进行有序管理，建立能够满足检验检疫信息化的新运维体系，确保其稳定、高效、安全运行，以服务“可量化、高质量、低成本”为目标，强化运维管理，规范运维流程，确保运维实施质量和效率，进一步朝着检验检疫信息化“服务标准化、操作规范化、人员专业化”方向迈进。

检验检疫信息化服务外包管理模式采用虚拟桌面技术和瘦客户机设备借助信息化运维管理系统来实现检验检疫信息化安全运维。一方面瘦客户机具备许多功能优势，如较小的空间占用，更高的稳定性，零硬件维护工作量；可确保数据不落地，在遇到安全风险时，可在最短的时间内重新恢复系统环境，减少运维人员工作量；管理人员可根据需要设置用户的使用权限，可控制移动存储介质的输入输出，因此数据无出口，重要业务数据的安全性有所保障；可具统一管控外设设备，批量修改用户密码，监控客户机的相关使用情况，具备完善的审计日志供查询。另一方面这里提出的信息化运维管理系统将意味着管理流程电子化，包括从实施人员运维的申请、运维过程的文档提交以及运维统计和评估等内容，都在信息化运维管理系统中实现。

4.1 建立“自主可控”外包管控平台

开发一套 “检验检疫信息化服务外包管控平台”，实现对信息化服务外包商及人员进行规范化管理。该平台涵盖运维合同管理、运维商管理、运维工程师管理、运维日志管理等功能。采用基于SOA组件化开发框架的总体思路，系统按照SOA架构的设计理念进行设计开发，在基于SOA架构的系统中，具体应用程序的功能由一些松耦合并且具有统一接口定义方式的组件（也就是service）组合构建。将信息化服务外包相关合同、服务商、服务人员进行统一管理，对运维人员的服务时间、服务内容、提交物进行详细登记。

4.2 建立“安全可信”运维桌面支撑

构建一套IT运维桌面平台实现IT运维的统一接入。采用专业的桌面虚拟化软件VMware Horizon View，将操作系统、应用程序和用户数据封装到相互隔离的层次，以改善桌面管理，并为IT外包人员提供各自桌面的个性化视图。瘦客户端所能执行的应用完全取决于服务器端的集中设定，系统管理员可以根据业务需要，为客户端定制精炼且高效的应用，使用者只能做与业务相关的事情，从而提高工作效率，强化检验检疫的管理力度。由于瘦客户端没有配置软驱、光驱、硬盘等设备，因此用户不能随意将软件复制、安装到系统中，也不能随意复制、带走检验检疫内部的重要软件和保密数据，从而有效保护检验检疫内部系统安全和信息安全。另外还可为不同用户设置不同的安全级别，数据保密性好。

利用瘦客户端接入的运维专区结构图如下，详见图1。

图1 运维专区结构图

4.3 建立“高效可用”管理规范支撑

结合检验检疫实际情况，建立一套全方位的信息化运维管控体系，规范信息化运维人员的维护操作流程，实现高质量、高效率、高水平的安全运维，充分保障检验检疫信息系统的稳定运行。①建立一系列配套的规范、制度、技术标准，确保所有信息化服务外包的全生命周期可持续管理；②基于这个体系针对服务外包合同、安全保密协议、服务商、服务工程师及服务实施等具体节点设置风险点，针对风险点进行监控核查，对从事后处理向事前预警转变。

4.4 建立“量化可考”管理评估体系

通过外包人员管理系统流程化的记录管理，可做到运维文档和记录的标准化、规范化。根据管理系统所采集的数据，对服务商和服务人员进行“量化可考”的服务评测；根据事故影响程度和范围制定相应罚则，并根据评估结果进一步对体系建设完善；通过评估与体系完善两方面的互补，建立问题处置的闭环及确认，确保检验检疫信息化服务外包管理规范落实到位，真正做到“运维有记录、记录可追溯、追溯可评估”。

4.5 建立“实用可靠”应急处置体系

及时准确地得到预警情况，制定完备的应急预案，做好应急预案的演练工作是处置突发事件主动权的重要前提，更是安全防护重要业务数据不被泄露的重要保障。针对异常报警的不同程度、不同性质、不同范围，设置不同的警戒级别，并依照检验检疫现有情况制定应急预案，做好应急事件的演练工作，以便在第一时间做到主动防御、及时决策、统一指挥、配合联动。

5 结论

本项目主要通过立足检验检疫信息化服务外包现状，研究建立“自主可控”的外包管控平台，建立“安全可信”的运维桌面支撑，建立“高效可用”的管理规范支撑，建立“量化可考”管理评估体系，建立“实用可靠”应急处置体系，打造外包服务管理创新模式，为检验检疫信息化新运维体系建设奠定基础，对信息化服务外包商及人员进行规范化管理，充分保障检验检疫业务的信息安全，防止重点数据遗失和泄露，从根本上提升信息化外包的管理水平，确保外包服务质量得到有效监督和保证。

[1] 张铠麟.我国电子政务项目外包现状分析及对策建议[J].中国管理信息化，2010，（21）：55.

[2] 武大志.电子政务IT外包服务关键因素研究 [D].西安交通大学，2008：24-27.

[3] 武怀玉，沈传宁.电子政务信息安全服务外包管理标准亟待出台[J].信息网络安全，2006，（10）：29-30.

Research on the Management Model of Informational Outsourcing Service in Inspection and Quarantine

LI Yue，JIANG Wei，JI Jiahua，DUAN Dezhong，WU Suiling，DENG Cong
（Shanghai Entry-Exit Inspection and Quarantine Bureau，Shanghai，200135）

Through the analysis of current situation for informational outsourcing service，in order to summarize the managementdilemma in management system，technology and method of informational outsourcing service，regarding of the management and controldilemma which still exists，Combining with both technology and management，the thesis presents new management modes of informational outsourcing service，adequately to make"verification before incidents，supervision in incidents，assessment after incidents" ensured.

Informational Outsourcing Services；Management System；Technology and Management；Innovative Way

D630

E-mail：liyue@shciq.gov.cn

上海出入境检验检疫局科研项目 （HK074-2017）

2017-04-26