以下的文章主要向大家講述的是外包企業(yè)在信息安全管理中的一些誤區(qū)，自從商務(wù)部推出服務(wù)外包“大氣勢(shì)工程”之后，在政府政策的大力扶持之下，國(guó)內(nèi)外包產(chǎn)業(yè)發(fā)展的如雨后春竹，為了能夠承接更多高端服務(wù)。

滿(mǎn)足客戶(hù)的要求，商務(wù)部同時(shí)鼓勵(lì)外包企業(yè)通過(guò)國(guó)際認(rèn)證以獲得更好的競(jìng)爭(zhēng)力和良好的企業(yè)形象。

比特網(wǎng)專(zhuān)家特稿：自從商務(wù)部推出服務(wù)外包“千百十工程”之后，在政府政策的大力扶持之下，國(guó)內(nèi)外包產(chǎn)業(yè)發(fā)展的如火如荼，為了能夠承接更多高端服務(wù)，滿(mǎn)足客戶(hù)的要求，商務(wù)部同時(shí)鼓勵(lì)外包企業(yè)通過(guò)國(guó)際認(rèn)證以獲得更好的競(jìng)爭(zhēng)力和良好的企業(yè)形象。

ISO27001信息安全管理體系(ISMS)認(rèn)證在此背景下，在外包公司得到了比較廣泛的認(rèn)可。越來(lái)越多的外包公司已經(jīng)實(shí)施、或者計(jì)劃實(shí)施ISO27001認(rèn)證，本人作為信息安全管理體系(ISMS)的咨詢(xún)顧問(wèn)，在廣泛接觸這些外包公司，以及與企業(yè)各級(jí)人員后，總的一個(gè)感覺(jué)就是很多外包企業(yè)對(duì)信息安全管理存在或這或那不正確的認(rèn)識(shí)，這種認(rèn)識(shí)將阻礙企業(yè)建立有效的、合規(guī)的信息安全管理體系(ISMS)，阻礙企業(yè)信息安全工作的良性發(fā)展，甚至可能將阻礙企業(yè)業(yè)務(wù)發(fā)展。本文將主要闡述外包企業(yè)信息安全管理的誤區(qū)，以及針對(duì)這些的誤區(qū)的對(duì)策。

為了更好地理解外包企業(yè)信息安全的需要，我將首先簡(jiǎn)要分析一下服務(wù)外包業(yè)務(wù)的特點(diǎn)，當(dāng)然，由于信息安全是本文的發(fā)力點(diǎn)，僅僅分析列出與信息安全相關(guān)的業(yè)務(wù)特點(diǎn)：

1. 知識(shí)密集型，對(duì)人才的要求很好

外包服務(wù)屬于知識(shí)型密集產(chǎn)業(yè)，很多業(yè)務(wù)都需要從業(yè)人員有相關(guān)的培訓(xùn)教育經(jīng)歷和豐富的實(shí)踐經(jīng)驗(yàn)，與制造業(yè)有很大區(qū)別。因此外包需要的人力資源要求就高，而外包業(yè)務(wù)恰恰依賴(lài)的就是人。

2. 外包成果無(wú)形化，難以量化評(píng)估

外包最終的成果多數(shù)并非是實(shí)物化產(chǎn)品，而是一種服務(wù)，這就難以將成果量化進(jìn)行評(píng)估，但是在某些方面也存在一些公認(rèn)的評(píng)價(jià)體系，如軟件外包領(lǐng)域內(nèi)CMMI國(guó)際認(rèn)證，這是對(duì)軟件外包接包商能力的一種評(píng)價(jià)指標(biāo)。另外，在考量接包方在客戶(hù)信息保密等方面，國(guó)際國(guó)內(nèi)客戶(hù)基本都已經(jīng)認(rèn)同ISO27001信息安全管理體系(ISMS)認(rèn)證，這是接包方在信息安全能力方面的評(píng)價(jià)框架。

3. 很大程度上依賴(lài)互聯(lián)網(wǎng)和通信技術(shù)

目前國(guó)內(nèi)外包業(yè)務(wù)大多數(shù)是離岸外包，雙方合作關(guān)系的確立以及業(yè)務(wù)的發(fā)展必須依賴(lài)互聯(lián)網(wǎng)和通信技術(shù)。對(duì)于互聯(lián)網(wǎng)和通信技術(shù)的過(guò)分依賴(lài)使得服務(wù)外包又具有了一種新的風(fēng)險(xiǎn)，通信網(wǎng)絡(luò)的中斷將導(dǎo)致業(yè)務(wù)的中斷。

服務(wù)外包企業(yè)的信息安全建設(shè)在政府政策的鼓勵(lì)以及客戶(hù)的要求的下，信息安全管控水平不斷提高，ISO27001信息安全管理體系(ISMS)認(rèn)證在外包企業(yè)也是強(qiáng)勁發(fā)展，盡管到目前為止，通過(guò)認(rèn)證的企業(yè)的絕對(duì)數(shù)不大，但是發(fā)展很快，從下圖我們可以看出：

數(shù)據(jù)來(lái)源于ISMS International User Group

而對(duì)于這些數(shù)據(jù)貢獻(xiàn)，絕大部分是來(lái)自服務(wù)外包企業(yè)。盡管如此，但是服務(wù)外包企業(yè)對(duì)信息安全管理還是存在著較多誤區(qū)，主要幾點(diǎn)歸納如下。

1. 信息安全認(rèn)識(shí)誤區(qū)

盡管?chē)?guó)內(nèi)的外包行業(yè)有將近10年度發(fā)展歷史，但是大的外包公司還不多，外包業(yè)務(wù)主要還是集中在軟件外包，而軟件外包的客戶(hù)主要是做日韓企業(yè)。日韓客戶(hù)一般對(duì)信息安全的要求都比較高，國(guó)內(nèi)外包企業(yè)這么多年在與客戶(hù)打交道時(shí)，在客戶(hù)的要求，不斷提高企業(yè)自身的信息安全控制水平，但是在外包企業(yè)信息安全建設(shè)的過(guò)程中，出現(xiàn)了這樣或那樣的對(duì)信息安全建設(shè)的誤區(qū)，其中的原因有迫于客戶(hù)的壓力來(lái)提升企業(yè)信息安全管理水平，主動(dòng)性要求不高，企業(yè)自身在信息安全方面的積累也不多，另外也有一些外包企業(yè)急功近利，為了迎合客戶(hù)的要求而僅僅做做表面文章。

(1) 安全防御的重點(diǎn)是來(lái)自外部的攻擊

由于媒體的報(bào)道以及一些安全產(chǎn)品廠商為了自身業(yè)務(wù)的需要而做的一些錯(cuò)誤的引導(dǎo)，導(dǎo)致外包企業(yè)，甚至其他行業(yè)的公司都認(rèn)為企業(yè)所面臨的威脅主要是來(lái)自外界。各類(lèi)安全威脅中，企業(yè)最重視哪3類(lèi)?據(jù)《信息周刊》的調(diào)查來(lái)看，病毒和蠕蟲(chóng)，間諜軟件，垃圾郵件3類(lèi)威脅一直高居榜首。但是依據(jù)此3類(lèi)威脅部署的企業(yè)信息安全方案將僅限于信息安全產(chǎn)品的老三樣—防病毒、防火墻和IDS的老路上。實(shí)際上，企業(yè)內(nèi)部數(shù)據(jù)安全的危害性正在日益上升，如未經(jīng)授權(quán)的雇員對(duì)文件或數(shù)據(jù)的訪問(wèn)、帶有公司數(shù)據(jù)的可移動(dòng)設(shè)備遺失或失竊等，惡意員工故意破壞信息系統(tǒng)甚至泄漏企業(yè)機(jī)密等，但是這一點(diǎn)還沒(méi)有引起企業(yè)足夠的重視。#p#

信息技術(shù)市場(chǎng)調(diào)研公司高德納公司(Gartner)早些時(shí)候曾進(jìn)行信息安全事件的調(diào)查，發(fā)現(xiàn)有70%以上的事故是企業(yè)內(nèi)部所導(dǎo)致的。其實(shí)我們仔細(xì)想想并平時(shí)多留言一下自己身邊的事情，我們不難發(fā)現(xiàn)，容量很大、攜帶方便的便攜式的移動(dòng)設(shè)備，比如U盤(pán)、手機(jī)、iPod等用在存取數(shù)據(jù)時(shí)經(jīng)常在不知不覺(jué)中，就充當(dāng)了病毒的傳播者。更可怕的是，小巧且讀寫(xiě)快速很快的U盤(pán)能在短短幾秒鐘之內(nèi)把企業(yè)和核心機(jī)密拷走而不被人發(fā)現(xiàn)。

對(duì)于服務(wù)外包企業(yè)來(lái)說(shuō)，由于人員的高素質(zhì)，特別是對(duì)于IT服務(wù)外包的企業(yè)，大多數(shù)員工都具有良好的IT知識(shí)和技能，利用IT系統(tǒng)做出不利于公司的欺詐和泄密事件，可能將更隱蔽和輕車(chē)熟路。這對(duì)于外包公司來(lái)說(shuō)，無(wú)疑是個(gè)很大的威脅。

針對(duì)這個(gè)問(wèn)題，我想外包企業(yè)應(yīng)該首先要提高認(rèn)識(shí)，把信息安全防御的重點(diǎn)從外部防御轉(zhuǎn)向內(nèi)部教育和防范。加強(qiáng)對(duì)員工的信息安全意識(shí)教育，培訓(xùn)員工具備基本的安全技能。另外，從數(shù)據(jù)保密的角度上來(lái)，對(duì)于重要機(jī)密信息，應(yīng)做好加密的技術(shù)措施。

(2) 好的信息安全就是不出安全事故

以是否發(fā)生安全事故作為企業(yè)信息安全工作好壞的衡量標(biāo)準(zhǔn)，使得信息安全工作限于十分被動(dòng)的位置，這主要體現(xiàn)在兩個(gè)方面，一方面是對(duì)企業(yè)領(lǐng)導(dǎo)來(lái)說(shuō)，特別是這些服務(wù)外包公司而言，由于很多公司的業(yè)務(wù)發(fā)展也沒(méi)幾年，而且也沒(méi)有成為外部威脅主動(dòng)攻擊的對(duì)象，這不像銀行系統(tǒng)，因此發(fā)生足以引起領(lǐng)導(dǎo)層重視的信息安全事件不多，有些企業(yè)甚至沒(méi)有。所以，企業(yè)領(lǐng)導(dǎo)就盲目的認(rèn)為公司當(dāng)前信息安全防范工作已經(jīng)足夠，無(wú)須再投入更多的人力和物力來(lái)加強(qiáng)企業(yè)的信息安全建設(shè);另外一個(gè)方面是對(duì)企業(yè)內(nèi)部直接負(fù)責(zé)維護(hù)信息安全的IT部門(mén)來(lái)說(shuō)，他們將面臨著巨大的壓力，因?yàn)檎l(shuí)又能保證百分百不出安全事故呢?

其實(shí)，之所以這么認(rèn)為，是沒(méi)有正確認(rèn)識(shí)的信息安全。世上萬(wàn)事萬(wàn)物不是絕對(duì)的，信息安全的處理應(yīng)該遵循風(fēng)險(xiǎn)管理的原則和方法。安全事件的發(fā)生與否也應(yīng)該以風(fēng)險(xiǎn)的方式來(lái)處理。對(duì)于某個(gè)可能發(fā)生的安全事件，分析導(dǎo)致其發(fā)生的根本原因，發(fā)生的可能性以及可能造成的后果，再判斷將要采取的應(yīng)對(duì)措施的有效性以及成本，根據(jù)企業(yè)風(fēng)險(xiǎn)的可接受水平，做出合理的風(fēng)險(xiǎn)處置方案。

(3) 頭疼醫(yī)頭就足夠了

企業(yè)安全管理過(guò)于分散也是不容忽視的問(wèn)題。信息安全在國(guó)內(nèi)的發(fā)展以及市場(chǎng)上也不乏優(yōu)良的安全技術(shù)，但其部署往往是“頭痛醫(yī)頭，腳痛醫(yī)腳”，彼此間不能妥善協(xié)作，這不但會(huì)造成資源浪費(fèi)，還會(huì)在安全部署上留下漏洞。這種技術(shù)產(chǎn)品上處理問(wèn)題的方式給企業(yè)對(duì)信息安全問(wèn)題的解決的認(rèn)識(shí)帶來(lái)如此的偏見(jiàn)。在信息安全管理方面，也是同樣存在同樣的問(wèn)題。

針對(duì)這個(gè)問(wèn)題，提高認(rèn)識(shí)當(dāng)然是當(dāng)務(wù)之急，但是要落實(shí)變成可執(zhí)行的制度和流程，那么外包企業(yè)需要制定整體信息安全戰(zhàn)略、業(yè)務(wù)持續(xù)及災(zāi)難恢復(fù)戰(zhàn)略和計(jì)劃、配置架構(gòu)的標(biāo)準(zhǔn)和流程以及致力于知識(shí)產(chǎn)權(quán)和信息保護(hù)的政策和流程，并執(zhí)行定期的穿透測(cè)試、威脅和弱點(diǎn)評(píng)估及風(fēng)險(xiǎn)評(píng)估。

2. ISO27001認(rèn)證是面子工程

企業(yè)通過(guò)ISO27001認(rèn)證予以相應(yīng)的補(bǔ)貼是政府鼓勵(lì)企業(yè)通過(guò)企業(yè)獲得國(guó)際認(rèn)證，這是提升國(guó)內(nèi)服務(wù)外包企業(yè)整體形象的有力途徑，也是企業(yè)獲得更多的外包業(yè)務(wù)的有力條件之一。但是ISO27001信息安全管理體系(ISMS)認(rèn)證當(dāng)前在某些企業(yè)成了名副其實(shí)的面子工程。對(duì)于標(biāo)準(zhǔn)認(rèn)證這點(diǎn)，可能是很多從事國(guó)際國(guó)內(nèi)認(rèn)證標(biāo)準(zhǔn)的專(zhuān)業(yè)人士心頭的痛，ISO9001質(zhì)量體系認(rèn)證在國(guó)內(nèi)的情況就是一個(gè)例子。

對(duì)國(guó)際標(biāo)準(zhǔn)認(rèn)證認(rèn)識(shí)的誤區(qū)無(wú)疑將影響認(rèn)證產(chǎn)業(yè)的健康發(fā)展，同時(shí)也讓企業(yè)對(duì)國(guó)際標(biāo)準(zhǔn)的作用產(chǎn)生的懷疑甚至輕視。造成這種局面，體制、文化等方面因素在此我就不多做分析，這本身比較復(fù)雜，也不是本文的出發(fā)點(diǎn)，我想還是從管理體系標(biāo)準(zhǔn)自身的特點(diǎn)來(lái)看，目前當(dāng)前國(guó)際上大部分的管理體系標(biāo)準(zhǔn)都源自于英國(guó)標(biāo)準(zhǔn)，而這些管理體系的核心思想是PDCA(Plan,Do,Check ,Act)的流程方法，PDCA模型本質(zhì)是改進(jìn)模型而不是狀態(tài)模型，認(rèn)證公司給企業(yè)頒發(fā)ISO27001認(rèn)證證書(shū)的最低標(biāo)準(zhǔn)是該企業(yè)是否已經(jīng)建立了PDCA的改進(jìn)體制以及相配套的制度和流程，而不是這家企業(yè)的信息安全防范水平已經(jīng)達(dá)到了某個(gè)等級(jí)。這不同于給學(xué)生授予優(yōu)秀學(xué)生稱(chēng)號(hào)是以該學(xué)生德智體達(dá)到某個(gè)要求，而不是該學(xué)生相比自己的過(guò)去有進(jìn)步就行了。

PDCA循環(huán)又名戴明環(huán)，威廉.愛(ài)德華.戴明上個(gè)世紀(jì)五十年代提出的，主要為解決問(wèn)題的過(guò)程提供一個(gè)簡(jiǎn)便易行的方法。1950年，戴明到日本擔(dān)任產(chǎn)業(yè)界的講師及顧問(wèn)，其間大力推廣企業(yè)在持續(xù)改善的過(guò)程中運(yùn)用PDCA循環(huán)，這個(gè)方法重塑了日本產(chǎn)業(yè)制度，塑造了風(fēng)靡世界的日本企業(yè)管理模式。

對(duì)于認(rèn)證的這個(gè)誤區(qū)，我們把眼光投到我們的鄰國(guó)日本就明白我們真的錯(cuò)了。PDCA方法在日本的成功，我們完全有理由相信，PDCA是企業(yè)服務(wù)質(zhì)量持續(xù)改善的良好方法。

3. 對(duì)“信息安全”管理體系認(rèn)識(shí)不足

信息安全管理體系(ISMS)遵循流程的方法，這與其他管理體系，比如在國(guó)內(nèi)廣泛實(shí)施的質(zhì)量管理體系是一致的，都是按照PDCA的大的流程來(lái)運(yùn)轉(zhuǎn)和維護(hù)管理體系。而對(duì)于外包公司來(lái)說(shuō)，由于企業(yè)沒(méi)有復(fù)雜的IT應(yīng)用系統(tǒng)和龐大的復(fù)雜網(wǎng)絡(luò)設(shè)施，另外一個(gè)也是從成本考慮到角度，一般情況下企業(yè)的IT人員的配備不足，技術(shù)力量有限。

特別是對(duì)于軟件外包公司來(lái)說(shuō)，為了軟件開(kāi)發(fā)的需要，在建立信息安全管理體系(ISMS)之前很多軟件企業(yè)通過(guò)CMMI的認(rèn)證來(lái)提升企業(yè)軟件開(kāi)發(fā)的能力，以獲得發(fā)包企業(yè)對(duì)其開(kāi)發(fā)能力的認(rèn)可，因此，這些公司都由質(zhì)量管理部按照CMMI的要求監(jiān)控和審核軟件開(kāi)發(fā)質(zhì)量，人力資源相對(duì)比較充足，因此，企業(yè)從整合管理體系節(jié)約成本的角度出發(fā)，信息安全管理體系(ISMS)也是由質(zhì)量管理部推動(dòng)、管理與維護(hù)。

這本來(lái)也無(wú)可厚非，每個(gè)企業(yè)都有自身的管理水平，人員技能等或這或那的問(wèn)題，外包企業(yè)也是如此。殊不知，信息安全管理體系(ISMS)其管理的對(duì)象是企業(yè)的信息安全風(fēng)險(xiǎn)，而信息安全風(fēng)險(xiǎn)有其專(zhuān)業(yè)特性，應(yīng)該由企業(yè)內(nèi)部IT條線的專(zhuān)業(yè)人員負(fù)責(zé)識(shí)別、評(píng)價(jià)和采取對(duì)應(yīng)的控制措施。質(zhì)量管理部盡管在體系維護(hù)方面經(jīng)驗(yàn)比較多，但是缺乏的就是對(duì)信息系統(tǒng)，網(wǎng)絡(luò)設(shè)備的技術(shù)特性的了解。

正確對(duì)待這個(gè)問(wèn)題的辦法應(yīng)該是在綜合考慮外包公司現(xiàn)有情況下，質(zhì)量管理部履行信息安全管理體系(ISMS)的管理工作，制定和頒布信息安全策略，而IT 部門(mén)執(zhí)行信息安全策略，IT部門(mén)識(shí)別和評(píng)價(jià)信息安全風(fēng)險(xiǎn)，并提出對(duì)應(yīng)控制措施以及解決方案，質(zhì)量管理負(fù)責(zé)審核方案。

大力發(fā)展服務(wù)外包產(chǎn)業(yè)，加速我國(guó)產(chǎn)品結(jié)構(gòu)升級(jí)，完成從“世界工廠”到“世界服務(wù)”的華麗轉(zhuǎn)變，這是我國(guó)產(chǎn)業(yè)發(fā)展的大局，而對(duì)于國(guó)內(nèi)的服務(wù)外包公司來(lái)說(shuō)，如何更好適應(yīng)這個(gè)大勢(shì)，使企業(yè)具有更強(qiáng)競(jìng)爭(zhēng)力，必要途徑之一是在信息安全管理方面，服務(wù)外包企業(yè)要切實(shí)正確認(rèn)識(shí)信息安全，切實(shí)提升企業(yè)的信息安全管理水平。

作者簡(jiǎn)介：

谷安天下公司高級(jí)顧問(wèn)，CISA(ISACA);CISSP(ISC2);ISO27001 LA(DNV);ITIL Foundation(OGC)， 7年信息安全領(lǐng)域研究與從業(yè)經(jīng)驗(yàn)，主要從事信息安全實(shí)施規(guī)劃、信息安全風(fēng)險(xiǎn)評(píng)估、信息安全管理體系建立和實(shí)施、等級(jí)保護(hù)等方面工作，具備豐富的信息安全管理咨詢(xún)與IT審計(jì)實(shí)踐經(jīng)驗(yàn)。目前主要專(zhuān)業(yè)領(lǐng)域集中于IT風(fēng)險(xiǎn)管理與控制、信息安全等方面，曾服務(wù)的主要客戶(hù)有：中國(guó)電信、工商銀行、用友軟件、北京NTT DATA、太平洋保險(xiǎn)等。長(zhǎng)期從事CISSP等信息安全培訓(xùn)工作。

【編輯推薦】

1. IPTV會(huì)否是分眾購(gòu)對(duì)象
2. 我國(guó)IPTV研究目全球領(lǐng)先
3. 3G與IPTV是發(fā)展大方向
4. 我國(guó)IPTV研究目全球領(lǐng)先
5. 3G與IPTV是發(fā)展大方向