為扶持服務(wù)外包產(chǎn)業(yè)發(fā)展��,財政部�����、國家發(fā)展改革委�����、科技部��、工業(yè)和信息化部�����、商務(wù)部��、國資委����、銀監(jiān)會�����、證監(jiān)會和保監(jiān)會���,聯(lián)合于2009年10月22日下發(fā)了:[財企(2009)200號]文件����,《關(guān)于鼓勵政府和企業(yè)發(fā)包促進我國服務(wù)外包產(chǎn)業(yè)發(fā)展的指導意見》����。意見中特別強調(diào):
把促進政府和企業(yè)發(fā)包�,作為推動我國服務(wù)外包產(chǎn)業(yè)的重點。加大服務(wù)外包的宣傳力度�����,改變國內(nèi)對外包模式的傳統(tǒng)觀念����,讓服務(wù)外包得到各級政府和大中型企業(yè)的認可�����。”
指導意見中還指出鼓勵政府和相關(guān)部門整合資源����,將信息技術(shù)的開發(fā)���、應(yīng)用和部分流程性業(yè)務(wù)發(fā)包給專業(yè)的服務(wù)供應(yīng)商����,擴大內(nèi)需市場,培育國內(nèi)服務(wù)外包業(yè)��。”
意見中進一步提到:本著合理配置,節(jié)約資源的原則����,進一步發(fā)揮政府采購的政策功能作用,鼓勵采購人將涉及信息技術(shù)咨詢�����、運營維護���、軟件開發(fā)和部署�����、測試����、數(shù)據(jù)處理��、系統(tǒng)集成����、培訓及租賃等不涉及秘密的可外包業(yè)務(wù)��,發(fā)包給專業(yè)企業(yè)��,不斷拓寬購買服務(wù)的領(lǐng)域���。凡購買達到政府采購限額標準以上的外包服務(wù),必須按照政府采購有關(guān)規(guī)定����,采購我國符合國家相關(guān)標準要求、具備相應(yīng)專業(yè)資質(zhì)的外包企業(yè)的服務(wù)���。積極引導和促進中央企業(yè)和地方企業(yè)加大外包力度�����,讓服務(wù)外包企業(yè)有更多的機會參與國內(nèi)企業(yè)外包業(yè)務(wù)�����。”
解讀《關(guān)于鼓勵政府和企業(yè)發(fā)包促進我國服務(wù)外包產(chǎn)業(yè)發(fā)展的指導意見》讓我們清楚的看到,政府下定決心要外包服務(wù)����,推動服務(wù)外包產(chǎn)業(yè)發(fā)展�,同時服務(wù)外包的信息安全問題���,也成為政府的心結(jié)���,擔心外包服務(wù)會發(fā)生泄密問題。最近與一些官員討論政府的IT服務(wù)及業(yè)務(wù)流程外包���,三句話之內(nèi)其必會提到信息安全問題�。其實政府事務(wù)不涉密的事情確實不多�����,《意見》中不涉及秘密的可外包業(yè)務(wù)”原則����,按照官員們的理解,可外包的服務(wù)其實已經(jīng)很少了���!這就形成了一個悖論����,積極外包服務(wù)”與不涉及秘密”。所以本文將重點討論信息安全問題�����,力爭破解政府服務(wù)外包的信息安全心結(jié)����。
1990年,在接受IBM管理訓練的時候�,我們曾被告之這樣一條金科玉律:設(shè)計制度,應(yīng)以不相信人為前提。在企業(yè)工作流程中��,事務(wù)的決策過程中��,任何人都應(yīng)受到監(jiān)督��。簡單地說�����,就是讓有做賊”意愿的人�,得不到成為賊”的機會。”其實信息安全也是一樣��,不能以相信人為前提�����。機構(gòu)內(nèi)部的人值得信任��!外包出去����,由外人”處理事務(wù)�����,安全嗎?
服務(wù)外包在全球�����,已經(jīng)歷了50年以上的歷史,其實我們今天所擔心的信息安全問題,前人早已幫我們解決了����。今天優(yōu)秀的離岸服務(wù)企業(yè),都已經(jīng)通過了ISO27001信息安全認證。這就是將五十多年來���,人們積累的堵塞信息安全漏洞經(jīng)驗��,匯聚成嚴謹?shù)墓ぷ髁鞒蹋尫?wù)企業(yè)按照成熟的工作流程作業(yè),確保買家信息安全。其實從企業(yè)的角度講��,信息安全就是生命線����,哪一家企業(yè)出現(xiàn)了信息安全疏漏,就意味著這家企業(yè)走到了盡頭,企業(yè)的所有者會像呵護生命一樣,確保企業(yè)的信息安全����。
在任協(xié)會理事長之前,我曾在我國服務(wù)外包十大領(lǐng)軍企業(yè)”之一的博彥科技�,擔任過兩年的高級副總裁。我了解今天博彥科技��,已有為微軟公司��,提供程序開發(fā)和測試服務(wù)��,近十六年的歷史了����。據(jù)我所知,國內(nèi)現(xiàn)有數(shù)家服務(wù)外包企業(yè)的數(shù)千人,正在給微軟公司做著同樣的外包服務(wù)。
微軟公司��,這個全球最為重視知識產(chǎn)權(quán)和信息安全的企業(yè)���,能夠把未上市軟件的源代碼,委托中國的服務(wù)企業(yè)做開發(fā)與測試��,它不擔心嗎�����?它會像相信自己員工一樣�,相信為其提供服務(wù)企業(yè)的員工嗎�����?其實非常簡單����,微軟公司既不相信自己的員工��,也不相信為其提供服務(wù)企業(yè)的員工����。微軟公司僅相信根據(jù)自己經(jīng)驗制定的制度、工作流程和其信息安全管理能力�����。當然���,微軟的制度�、流程非常繁復(fù)�,以下僅舉幾例:1、微軟的制度保證�����,服務(wù)企業(yè)的非本項目員工��,包括公司CEO無法進入為微軟提供服務(wù)的工作區(qū);2���、工作區(qū)的所有物理出口(防火通道除外)均被有效封閉�,僅有新鮮空氣可以自由流通�;3、工作區(qū)網(wǎng)絡(luò)的路由器���、交換機設(shè)備���,均由微軟提供���,并僅與微軟的網(wǎng)絡(luò)互連,物理上切斷了與其他網(wǎng)絡(luò)的連接����;4、用1.8米高的辦公隔斷����,阻隔了服務(wù)企業(yè)員工之間的交流;5���、每一位員工都在接受���,電子眼的不間斷監(jiān)視;6����、每一桌面電腦的數(shù)據(jù)流量��,都受到嚴格管理�����;7�����、所有可容納信息的電子產(chǎn)品,均被有效地阻隔在工作區(qū)域之外�,如:員工的筆記本電腦、U盤�����、照相機�、手機等。
以上僅僅幾例可見一般�。總之����,微軟公司應(yīng)是最優(yōu)秀的信息安全管理者��,之所以敢于外包���,是由于其以不相信任何人為前提,建立其制度與流程���,形成其過人的信息安全控制能力�。
反觀國內(nèi)��,由于制度和流程的不成熟�����,政府信息外泄事件還是時有發(fā)生�����。所以��,政府外包服務(wù)�����,不應(yīng)以不涉及秘密的可外包業(yè)務(wù)”為前提��,而是應(yīng)以國際上通行的ISO27001信息安全認證為標準,借鑒全球一線IT技術(shù)企業(yè)(如:微軟�����、IBM���、惠普等)的信息安全管理經(jīng)驗���,在把促進政府和企業(yè)發(fā)包,作為推動我國服務(wù)外包產(chǎn)業(yè)重點”的同時���,使政府獲得全球一流的信息安全管理與控制能力��。
