张莉妹
软件外包具有很多优势,如可以降低或保持软件开发成本和管理成本,使企业更专注于核心能力和核心竞争力,集中优势夺取关键战略目标。可以解决公司产业扩张期快速膨胀的测试需求与测试资源和能力的矛盾,提升测试技术水平和产品质量,使现有的研发和测试团队更聚焦于核心业务,采取与软件外包公司进行合作的方式,利用其前瞻的测试技术、先进的测试思路和方法、成熟的测试流程、充足的人力资源,以最短的周期响应产品对软件的测试需求。面对全球性的信息技术服务外包浪潮,外包模式的采用对于我国一些行业来说,可能是一种新型战略,难免会存在一些风险,如信息安全问题。
本文提出在采用信息泄密风险较低的驻场外包测试中,如何采用体系化的管理来防止或者减少企业关键信息的泄密,从而让企业在核心竞争力上保持不断的优势。
1理论方法
1.1软件外包相关概念
本文指的软件外包是指企业以合同的方式委托信息技术服务商向企业提供部分或全部的信息功能。软件外包又可以分为开发外包和测试外包。开发外包即将研发任务进行外包,测试外包即只对已研发好的产品的测试工作进行外包。根据测试外包目的地是否在企业所在地,又可以分为驻场测试和离岸测试。
本文指的驻场测试也即在客户办公场地或者客户指定的场地进行测试活动。离岸测试也即在外包供应商办公场地或外包供应商指定的场地进行测试活动。
测试外包的业务模式常见的类型为人力资源外包和项目外包。人力资源外包也即人员外派模式,即测试外包供应商把自己的员工派到客户的现场,由甲方统一安排,统一管理。项目外包不仅要求外包商提供人力资源,也要提供相应的管理和支持,来独立完成甲方提供的任务,满足甲方在业务外包上的需求。对于刚起步要做测试外包的企业,可以先尝试采用此种方式来跑通整个外包业务的流程,并且初步和外包供应商建立相互的信任机制。
对于保密要求高,又没有充足的人力资源来支撑的企业,一般多采取项目外包驻场测试的外包形式,可以采取将测试场地设置在企业内部.也可以由企业单独设置一处驻场测试场地,所有的安全管理系统都可以由企业自己来布置。
1.2信息安全的概念
信息安全的概念有广义和狭义之分。
狭义的信息安全是指具体信息技术系统的安全和某一特定信息技术系统的安全的统称。ISO27001:2005认为信息安全是指保护信息的保密性、完整性、可用性及其他属性。
广义的信息安全则是指信息化状态不受外来的威胁和伤害,信息技术系统不受外来的威胁和侵害,为数据处理系统建立和采取的技术和管理的安全保护,保护信息的保密性、完整性、可用性及其他属性。
本文所指的信息安全为广义的信息安全。
2信息安全管理体系
本文所指的软件测试外包驻场测试信息安全管理体系包括驻场测试风险管理和驻场测试保密管理两大块,体系建设应该在开展软件测试外包项目前完成.并在整个软件测试外包项目中贯彻执行。
企业通过外包过程中的风险管理,辨别和确认风险,并从技术体系、管理体系和信任体系几个方面制定保密解决措施,从而确保信息的保密性,或者降低信息泄密风险到可接受的程度。
2.1驻场测试风险管理
由于驻场测试在客户所指定的场地开展,因此风险管理相对比较好开展。
软件测试外包驻场测试风险管理可以从:风险识别、风险分析、风险预警、风险消除几个环节来实施。
(1)风险识别:就是将源于企业自身、外包商或者是外部环境的,能够影响外包测试的各种因素进行一一鉴别,并进行分类整理。在决定要做测试外包前应该先进行风险识别工作,形成对应的识别文件。
(2)风险分析:企业对识别出来的风险发生的概率、对软件测试外包影响的重要性、可采取的消除风险的措施进行分析,为风险预警做准备。该工作也需要在决定外包前来开展,进行必要性分析的时候要对风险进行分析,并形成对应的识别文件。
(3)风险预警:完成风险分析后,企业需要对较为敏感和和影响较大的风险进行实时监控,以便能够及时发现问题,为消除风险做准备。将风险预警纳入日常管理中。
(4)风险消除:从理论上,风险只能降低或减少而不能完全消除。在风险识别和分析的时候,对能关闭的风险要先进行关闭,暂时关闭不了的风险,要出具风险消除的对应方案,一旦出现风险,要及时根据预先制定好的规避措施将风险带来的危害降到最低。
2.2驻场测试保密管理
完成软件测试外包驻场测试风险管理后,需要根据分析的结果,制定对应的保密措施。安全科学理论认为,典型的安全系统主要由人、机、环境三要素组成。从技术、管理、工程和人员等方面提出安全保障要求,确保信息的保密性,降低安全风险到可接受的程度。
因此,我们可以从技术体系、管理体系和信任体系三方面进行软件测试外包驻场测试保密管理,如下图所示。
2.2.1技术体系
视频监控除了安装一般的监视设备外,还可以安装专业的防拍照系统,当发现有拍照设备或者拍照举动的时候,可以进行预防和报警,并对信息进行记录,以供相关人员进行查看和取证。企业要初步在建立驻场测试办公区的时候就要对相应的监视设备安装位置等进行规划和做预算。
软件隔离,不仅可以理解为安装加密软件,也可以理解为根据软件的特性,将软件关键部分进行隔离。比如对涉密性比较高的部分,可以采取不进行外包或者加密处理等。但是这个对软件的模块化设计要求比较高,要确保软件的设计模塊合理,且容易拆分和组合,接口清晰。
电磁干扰主要是对视频设备、手机等设备起到干扰作用,防止信息的外泄。
身份认证包括对实验室门禁身份的认证和登录系统的身份认证等。通过对权限的控制来限制对关键资源的访问,防止非法用户的入侵或者合法用户的不慎操作造成破坏。
2.2.2管理体系
实验室配置专门的实验室管理员,除了实验室的日常管理外,保密管理也是重要的工作之一,如查看用户访问信息,视频监控报警信息等。一旦有泄密发生,实验室管理员需要第一时间做出应急反应。
保密审查组需要定期地对实验室进行安全检查,如捕捉异常电磁信号,查看加密系统是否正常运行等,并定期的组织涉密培训,提高内部员工和外包人员的保密意识。
完成风险分析后,企业需要制定相应的信息泄密应急措施,一旦发生泄密,可以及时根据预先制定好的规避措施将泄密风险带来的危害降到最低。
要不定期地对内部管理人员和驻场外包人员开展保密性培训和宣贯工作。
2.2-3信任体系
企业间的相互信任是通过合作发展起来的,合作的成功,加深了相互的了解,以及对双方能力的肯定,从而促进双方谋求更多的合作。有了良好的信任基础,双方为了推进更多的合作,泄密风险也会随之降低。因此,双方信任的建立,在保密建设中也是重中之重。双方在合作过程中,需多注意双方信任的培养,将单纯的合作关系逐渐发展为战略伙伴,不断地促进双方共赢的局面。
3结语
软件测试外包中,驻场测试虽然比离岸测试的泄密风险低一些,但是企业如果没有充分的准备和进行系统地管理的话,一旦泄密发生,驻场测试也将失去优势,并且给企业带来不必要的损失。本文从风险管理到保密管理,阐述了一套完整的信息安全管理体系,不仅适用于高保密要求行业,也适用于其他采取驻场外包测试的企业。各企业在外包测试中,要提高对信息安全保密的认识,努力掌握先进的保密管理办法,准确把握保密管理的关键,不断地推进双方共赢的局面。