IT服務(wù)外包是不少企業(yè)都會(huì)遇到的業(yè)務(wù)，信息安全又是一個(gè)企業(yè)重要的安全內(nèi)容，當(dāng)這兩者放在一起，又會(huì)有怎樣的化學(xué)反應(yīng)呢？今天中訊科技就跟大家一起分享一篇關(guān)于信息安全—IT服務(wù)外包的雙刃劍的文章。

市場需求促生IT服務(wù)外包的快速發(fā)展

在強(qiáng)調(diào)企業(yè)核心競爭力的今天，IT服務(wù)外包作為長期戰(zhàn)略成本管理的新興工具逐漸被越來越多的企業(yè)所采用。服務(wù)外包的實(shí)質(zhì)是企業(yè)和服務(wù)商之間一種“委托-代理”關(guān)系。企業(yè)進(jìn)行資源整合，將有限的資源集中到最能反映企業(yè)優(yōu)勢的領(lǐng)域，從而更好地構(gòu)筑競爭優(yōu)勢，以此獲得可持續(xù)發(fā)展的能力。同時(shí)，將其他環(huán)節(jié)外包給相應(yīng)的服務(wù)商，以實(shí)現(xiàn)“成本控制”和“管理效益”的有效兼顧。

隨著企業(yè)業(yè)務(wù)發(fā)展過程中，信息系統(tǒng)所涉及的內(nèi)容越來越多、結(jié)構(gòu)越來越龐大，企業(yè)信息化再也不僅僅是IT部門自己的事情，企業(yè)在信息化建設(shè)和管理期間迎來了嚴(yán)峻的考驗(yàn)。在多重壓力之下，許多企業(yè)認(rèn)為IT部門最重要的工作是確保信息和流程的順暢，而傾向于將服務(wù)器、存儲(chǔ)系統(tǒng)、網(wǎng)絡(luò)等基礎(chǔ)設(shè)施、應(yīng)用系統(tǒng)、非核心系統(tǒng)外包給服務(wù)商負(fù)責(zé)維護(hù)。

IT服務(wù)外包的風(fēng)險(xiǎn)

在企業(yè)尋求IT外包時(shí)，面臨一系列的管控和運(yùn)營風(fēng)險(xiǎn)，特別是在信息安全風(fēng)險(xiǎn)方面!

外包是一柄雙刃劍，其好處是可以向企業(yè)灌輸技術(shù)與人才，幫助企業(yè)擺脫繁瑣的IT業(yè)務(wù)，有效的外包能讓公司更好的專注于核心業(yè)務(wù)。但是如果處理不好，反而會(huì)變成一場噩夢和致命的災(zāi)難。

IT外包服務(wù)要成為一種商品，就必須形成一套規(guī)范和標(biāo)準(zhǔn)，以約束買賣雙方。目前國內(nèi)IT外包服務(wù)領(lǐng)域既無統(tǒng)一規(guī)范也無公認(rèn)標(biāo)準(zhǔn)，對(duì)于如何評(píng)估、簽合同、質(zhì)量控制和定價(jià)等都是潛在的風(fēng)險(xiǎn)。此外，IT外包還面臨著 IT管理的復(fù)雜性、軟件缺失、知識(shí)產(chǎn)權(quán)以及IT外包服務(wù)提供商自身能否健康成長等風(fēng)險(xiǎn)。

信息安全是IT服務(wù)外包中的“關(guān)鍵詞”

企業(yè)在IT服務(wù)外包中面臨最大和最重要的挑戰(zhàn)是——如何確保在進(jìn)行外包服務(wù)時(shí)，確保企業(yè)信息、數(shù)據(jù)安全性，如何建立起有效的信息安全管控框架，以符合企業(yè)信息安全要求!

以下是企業(yè)建立信息安全體系必須參考的評(píng)估標(biāo)準(zhǔn)和遵從的原則：

1、企業(yè)內(nèi)部信息安全管控過程是否可持續(xù)監(jiān)管和優(yōu)化

在信息防泄漏的“戰(zhàn)爭”中，相比于躲在暗處的泄密者和安全威脅，站在明處的企業(yè)顯然略失先機(jī)。因此，良好的信息防泄體系的前提就是要時(shí)刻掌握企業(yè)動(dòng)態(tài)，做到要有的放矢。很重要的一點(diǎn)是要實(shí)現(xiàn)內(nèi)部操作的“可視化”，以隨時(shí)監(jiān)測整個(gè)信息系統(tǒng)的安全狀況，做到迅速反應(yīng)，甚至還能預(yù)測到潛在的風(fēng)險(xiǎn)，化被動(dòng)防御為積極防御。

2、企業(yè)信息安全體系設(shè)計(jì)需進(jìn)行全局評(píng)估和建設(shè)，規(guī)避疏漏和風(fēng)險(xiǎn)

在企業(yè)中，有時(shí)候可能是一個(gè)小小的系統(tǒng)漏洞就可能毀滅幾百萬投資的努力，或者一個(gè)無意的非法補(bǔ)丁行為就讓企業(yè)蒙受損失。因此，在解決安全問題之時(shí)，不能僅僅依賴透明加密等技術(shù)手段，而是需要站在一個(gè)更高的戰(zhàn)略角度來通盤考慮。如果缺乏一個(gè)整體的分析視角，可能會(huì)因?yàn)楹鲆暬蛘叩凸滥硞€(gè)安全攻擊的真正威脅，而使得采取的安全措施無法解決真正的問題。所以，在實(shí)際的防泄漏建設(shè)中，必須從整體上來評(píng)估企業(yè)的信息安全狀況，運(yùn)用統(tǒng)一的平臺(tái)來進(jìn)行風(fēng)險(xiǎn)和安全管理，檢測出內(nèi)部問題，從而描繪出整個(gè)企業(yè)當(dāng)前安全情況的更清晰和更準(zhǔn)確的圖景，采取針對(duì)性的防護(hù)措施，最大限度降低企業(yè)的安全風(fēng)險(xiǎn)。

3、安全和防護(hù)等級(jí)措施

企業(yè)在構(gòu)建立體化、全方位的整體信息防泄體系時(shí)并不是一刀切，不分輕重地在全公司范圍內(nèi)采取相同的策略，這樣雖然看似達(dá)到了最為安全的效果，但對(duì)業(yè)務(wù)造成的巨大影響，以及因此產(chǎn)生的高額成本，對(duì)企業(yè)來說，都是巨大的負(fù)擔(dān)。

對(duì)信息安全來說，威脅和風(fēng)險(xiǎn)往往和高價(jià)值的信息資產(chǎn)聯(lián)系在一起，安全保護(hù)工作也就應(yīng)該輕重有別，將重點(diǎn)放在高價(jià)值的信息資產(chǎn)上。在安全建設(shè)過程中，對(duì)涉密程度高的部門或崗位進(jìn)行力度大的防御，對(duì)涉密程度低的部門采取相應(yīng)的安全防御。同時(shí)衡量提升安全性可能帶來的業(yè)務(wù)操作上的麻煩、企業(yè)安全成本等問題，是企業(yè)必須要做的事情。

4、科學(xué)可行的安全策略和必要的技術(shù)手段實(shí)現(xiàn)動(dòng)態(tài)性防護(hù)

動(dòng)態(tài)性的信息泄露防護(hù)，對(duì)于目前泄密手段日益增多的企業(yè)來說，非常重要。企業(yè)需要建立一個(gè)動(dòng)態(tài)性的安全防護(hù)，前瞻性地發(fā)現(xiàn)安全威脅，并通過對(duì)技術(shù)或管理上的策略進(jìn)行及時(shí)調(diào)整更新，防范潛在的安全風(fēng)險(xiǎn)。

5、信息安全體系必須便于使用和維護(hù)

如今，市場上五花八門的信息防泄漏產(chǎn)品讓企業(yè)眼花繚亂，企業(yè)期望這種“強(qiáng)強(qiáng)組合”能給企業(yè)套上萬無一失的金鐘罩，但實(shí)際上企業(yè)不僅要付出較高的成本，并增加了技術(shù)的復(fù)雜性，還容易導(dǎo)致產(chǎn)品軟件沖突等問題。目前，能夠提供整體解決方案的單一安全產(chǎn)品成為優(yōu)良選擇，能夠幫助企業(yè)建立統(tǒng)一的安全管理平臺(tái)，無論是對(duì)企業(yè)安全邊界防護(hù)，到內(nèi)部使用都做了整體、全面的考慮，而且簡化了日常的操作與管理，降低系統(tǒng)的資源占用，避免了軟件沖突等多種問題。

如果企業(yè)的信息防泄漏建設(shè)符合以上6條檢測標(biāo)準(zhǔn)，那么該企業(yè)已經(jīng)建立了一個(gè)完善的整體信息防泄漏體系，機(jī)密信息也得到了最大化的保護(hù)，實(shí)現(xiàn)了“成本、效率、安全”三者的最佳平衡，這也是近年來被大家認(rèn)可的“整體信息防泄漏”理念的核心。

在提供IT服務(wù)外包的過程中，信息安全管理始終是重點(diǎn)問題之一。企業(yè)和IT服務(wù)供應(yīng)商應(yīng)一同參照ISO/IEC27001標(biāo)準(zhǔn)內(nèi)容不斷完善對(duì)IT服務(wù)外包的安全管理，確保能為企業(yè)和組織的信息安全管理提供可靠保障。

文章節(jié)選自：51CTO，天璣