自從商務部推出服務外包千百十工程”之后�����,在政府政策的大力扶持之下�����,國內(nèi)外包產(chǎn)業(yè)發(fā)展的如火如荼���,為了能夠承接更多高端服務�,滿足客戶的要求,商務部同時鼓勵外包企業(yè)通過國際認證以獲得更好的競爭力和良好的企業(yè)形象。ISO27001信息安全管理體系(ISMS)認證在此背景下����,在外包公司得到了比較廣泛的認可�����。越來越多的外包公司已經(jīng)實施�����、或者計劃實施ISO27001認證,本人作為信息安全管理體系(ISMS)的咨詢顧問�,在廣泛接觸這些外包公司���,以及與企業(yè)各級人員后�����,總的一個感覺就是很多外包企業(yè)對信息安全管理存在或這或那不正確的認識�,這種認識將阻礙企業(yè)建立有效的�����、合規(guī)的信息安全管理體系(ISMS)���,阻礙企業(yè)信息安全工作的良性發(fā)展�,甚至可能將阻礙企業(yè)業(yè)務發(fā)展���。本文將主要闡述外包企業(yè)信息安全管理的誤區(qū)���,以及針對這些的誤區(qū)的對策����。
為了更好地理解外包企業(yè)信息安全的需要����,我將首先簡要分析一下服務外包業(yè)務的特點,當然���,由于信息安全是本文的發(fā)力點����,僅僅分析列出與信息安全相關(guān)的業(yè)務特點:
1. 知識密集型���,對人才的要求很好
外包服務屬于知識型密集產(chǎn)業(yè),很多業(yè)務都需要從業(yè)人員有相關(guān)的培訓教育經(jīng)歷和豐富的實踐經(jīng)驗����,與制造業(yè)有很大區(qū)別。因此外包需要的人力資源要求就高����,而外包業(yè)務恰恰依賴的就是人。
2. 外包成果無形化���,難以量化評估
外包最終的成果多數(shù)并非是實物化產(chǎn)品����,而是一種服務,這就難以將成果量化進行評估��,但是在某些方面也存在一些公認的評價體系���,如軟件外包領(lǐng)域內(nèi)CMMI國際認證����,這是對軟件外包接包商能力的一種評價指標�����。另外�����,在考量接包方在客戶信息保密等方面����,國際國內(nèi)客戶基本都已經(jīng)認同ISO27001信息安全管理體系(ISMS)認證,這是接包方在信息安全能力方面的評價框架。
3. 很大程度上依賴互聯(lián)網(wǎng)和通信技術(shù)
目前國內(nèi)外包業(yè)務大多數(shù)是離岸外包�,雙方合作關(guān)系的確立以及業(yè)務的發(fā)展必須依賴互聯(lián)網(wǎng)和通信技術(shù)。對于互聯(lián)網(wǎng)和通信技術(shù)的過分依賴使得服務外包又具有了一種新的風險�,通信網(wǎng)絡的中斷將導致業(yè)務的中斷。
服務外包企業(yè)的信息安全建設(shè)在政府政策的鼓勵以及客戶的要求的下����,信息安全管控水平不斷提高,ISO27001信息安全管理體系(ISMS)認證在外包企業(yè)也是強勁發(fā)展���,盡管到目前為止���,通過認證的企業(yè)的絕對數(shù)不大,但是發(fā)展很快����,從下圖我們可以看出:
而對于這些數(shù)據(jù)貢獻�����,絕大部分是來自服務外包企業(yè)��。盡管如此����,但是服務外包企業(yè)對信息安全管理還是存在著較多誤區(qū)���,主要幾點歸納如下。
1. 信息安全認識誤區(qū)
盡管國內(nèi)的外包行業(yè)有將近10年度發(fā)展歷史�,但是大的外包公司還不多,外包業(yè)務主要還是集中在軟件外包����,而軟件外包的客戶主要是做日韓企業(yè)。日韓客戶一般對信息安全的要求都比較高���,國內(nèi)外包企業(yè)這么多年在與客戶打交道時����,在客戶的要求����,不斷提高企業(yè)自身的信息安全控制水平,但是在外包企業(yè)信息安全建設(shè)的過程中��,出現(xiàn)了這樣或那樣的對信息安全建設(shè)的誤區(qū)�,其中的原因有迫于客戶的壓力來提升企業(yè)信息安全管理水平,主動性要求不高���,企業(yè)自身在信息安全方面的積累也不多��,另外也有一些外包企業(yè)急功近利�����,為了迎合客戶的要求而僅僅做做表面文章���。
?���。?) 安全防御的重點是來自外部的攻擊
由于媒體的報道以及一些安全產(chǎn)品廠商為了自身業(yè)務的需要而做的一些錯誤的引導�,導致外包企業(yè),甚至其他行業(yè)的公司都認為企業(yè)所面臨的威脅主要是來自外界��。各類安全威脅中����,企業(yè)最重視哪3類?據(jù)《信息周刊》的調(diào)查來看�,病毒和蠕蟲����,間諜軟件,垃圾郵件3類威脅一直高居榜首。但是依據(jù)此3類威脅部署的企業(yè)信息安全方案將僅限于信息安全產(chǎn)品的老三樣—防病毒�、防火墻和IDS的老路上。實際上����,企業(yè)內(nèi)部數(shù)據(jù)安全的危害性正在日益上升,如未經(jīng)授權(quán)的雇員對文件或數(shù)據(jù)的訪問��、帶有公司數(shù)據(jù)的可移動設(shè)備遺失或失竊等�,惡意員工故意破壞信息系統(tǒng)甚至泄漏企業(yè)機密等,但是這一點還沒有引起企業(yè)足夠的重視�。
信息技術(shù)市場調(diào)研公司高德納公司(Gartner)早些時候曾進行信息安全事件的調(diào)查,發(fā)現(xiàn)有70%以上的事故是企業(yè)內(nèi)部所導致的�。其實我們仔細想想并平時多留言一下自己身邊的事情,我們不難發(fā)現(xiàn)�,容量很大、攜帶方便的便攜式的移動設(shè)備���,比如U盤��、手機���、iPod等用在存取數(shù)據(jù)時經(jīng)常在不知不覺中,就充當了病毒的傳播者����。更可怕的是��,小巧且讀寫快速很快的U盤能在短短幾秒鐘之內(nèi)把企業(yè)和核心機密拷走而不被人發(fā)現(xiàn)�����。
對于服務外包企業(yè)來說���,由于人員的高素質(zhì),特別是對于IT服務外包的企業(yè)�,大多數(shù)員工都具有良好的IT知識和技能,利用IT系統(tǒng)做出不利于公司的欺詐和泄密事件�,可能將更隱蔽和輕車熟路。這對于外包公司來說�,無疑是個很大的威脅。
針對這個問題�����,我想外包企業(yè)應該首先要提高認識��,把信息安全防御的重點從外部防御轉(zhuǎn)向內(nèi)部教育和防范��。加強對員工的信息安全意識教育����,培訓員工具備基本的安全技能。另外����,從數(shù)據(jù)保密的角度上來,對于重要機密信息����,應做好加密的技術(shù)措施。
?�。?) 好的信息安全就是不出安全事故
以是否發(fā)生安全事故作為企業(yè)信息安全工作好壞的衡量標準���,使得信息安全工作限于十分被動的位置���,這主要體現(xiàn)在兩個方面,一方面是對企業(yè)領(lǐng)導來說�����,特別是這些服務外包公司而言��,由于很多公司的業(yè)務發(fā)展也沒幾年�,而且也沒有成為外部威脅主動攻擊的對象����,這不像銀行系統(tǒng)�����,因此發(fā)生足以引起領(lǐng)導層重視的信息安全事件不多�����,有些企業(yè)甚至沒有����,所以,企業(yè)領(lǐng)導就盲目的認為公司當前信息安全防范工作已經(jīng)足夠���,無須再投入更多的人力和物力來加強企業(yè)的信息安全建設(shè)�����;另外一個方面是對企業(yè)內(nèi)部直接負責維護信息安全的IT部門來說�,他們將面臨著巨大的壓力�,因為誰又能保證百分百不出安全事故呢?
其實��,之所以這么認為,是沒有正確認識的信息安全��。世上萬事萬物不是絕對的��,信息安全的處理應該遵循風險管理的原則和方法�����。安全事件的發(fā)生與否也應該以風險的方式來處理���。對于某個可能發(fā)生的安全事件,分析導致其發(fā)生的根本原因�����,發(fā)生的可能性以及可能造成的后果���,再判斷將要采取的應對措施的有效性以及成本����,根據(jù)企業(yè)風險的可接受水平�,做出合理的風險處置方案。
?�。?) 頭疼醫(yī)頭就足夠了
企業(yè)安全管理過于分散也是不容忽視的問題。信息安全在國內(nèi)的發(fā)展以及市場上也不乏優(yōu)良的安全技術(shù)����,但其部署往往是頭痛醫(yī)頭,腳痛醫(yī)腳”��,彼此間不能妥善協(xié)作���,這不但會造成資源浪費�,還會在安全部署上留下漏洞����。這種技術(shù)產(chǎn)品上處理問題的方式給企業(yè)對信息安全問題的解決的認識帶來如此的偏見。在信息安全管理方面���,也是同樣存在同樣的問題�。
針對這個問題����,提高認識當然是當務之急,但是要落實變成可執(zhí)行的制度和流程���,那么外包企業(yè)需要制定整體信息安全戰(zhàn)略���、業(yè)務持續(xù)及災難恢復戰(zhàn)略和計劃�、配置架構(gòu)的標準和流程以及致力于知識產(chǎn)權(quán)和信息保護的政策和流程�,并執(zhí)行定期的穿透測試、威脅和弱點評估及風險評估�。
2. ISO27001認證是面子工程
企業(yè)通過ISO27001認證予以相應的補貼是政府鼓勵企業(yè)通過企業(yè)獲得國際認證,這是提升國內(nèi)服務外包企業(yè)整體形象的有力途徑����,也是企業(yè)獲得更多的外包業(yè)務的有力條件之一�����。但是ISO27001信息安全管理體系(ISMS)認證當前在某些企業(yè)成了名副其實的面子工程��。對于標準認證這點����,可能是很多從事國際國內(nèi)認證標準的專業(yè)人士心頭的痛,ISO9001質(zhì)量體系認證在國內(nèi)的情況就是一個例子�����。對國際標準認證認識的誤區(qū)無疑將影響認證產(chǎn)業(yè)的健康發(fā)展,同時也讓企業(yè)對國際標準的作用產(chǎn)生的懷疑甚至輕視�����。造成這種局面��,體制���、文化等方面因素在此我就不多做分析��,這本身比較復雜����,也不是本文的出發(fā)點����,我想還是從管理體系標準自身的特點來看,目前當前國際上大部分的管理體系標準都源自于英國標準,而這些管理體系的核心思想是PDCA(Plan,Do,Check ,Act)的流程方法,PDCA模型本質(zhì)是改進模型而不是狀態(tài)模型��,認證公司給企業(yè)頒發(fā)ISO27001認證證書的最低標準是該企業(yè)是否已經(jīng)建立了PDCA的改進體制以及相配套的制度和流程,而不是這家企業(yè)的信息安全防范水平已經(jīng)達到了某個等級��。這不同于給學生授予優(yōu)秀學生稱號是以該學生德智體達到某個要求��,而不是該學生相比自己的過去有進步就行了。
PDCA循環(huán)又名戴明環(huán)�,威廉。愛德華����。戴明上個世紀五十年代提出的,主要為解決問題的過程提供一個簡便易行的方法�����。1950年���,戴明到日本擔任產(chǎn)業(yè)界的講師及顧問����,其間大力推廣企業(yè)在持續(xù)改善的過程中運用PDCA循環(huán)����,這個方法重塑了日本產(chǎn)業(yè)制度�,塑造了風靡世界的日本企業(yè)管理模式。
對于認證的這個誤區(qū)��,我們把眼光投到我們的鄰國日本就明白我們真的錯了�����。PDCA方法在日本的成功,我們完全有理由相信���,PDCA是企業(yè)服務質(zhì)量持續(xù)改善的良好方法�����。
3. 對信息安全”管理體系認識不足
信息安全管理體系(ISMS)遵循流程的方法����,這與其他管理體系���,比如在國內(nèi)廣泛實施的質(zhì)量管理體系是一致的�,都是按照PDCA的大的流程來運轉(zhuǎn)和維護管理體系����。而對于外包公司來說,由于企業(yè)沒有復雜的IT應用系統(tǒng)和龐大的復雜網(wǎng)絡設(shè)施��,另外一個也是從成本考慮到角度�,一般情況下企業(yè)的IT人員的配備不足,技術(shù)力量有限����。特別是對于軟件外包公司來說����,為了軟件開發(fā)的需要�����,在建立信息安全管理體系(ISMS)之前很多軟件企業(yè)通過CMMI的認證來提升企業(yè)軟件開發(fā)的能力���,以獲得發(fā)包企業(yè)對其開發(fā)能力的認可���,因此,這些公司都由質(zhì)量管理部按照CMMI的要求監(jiān)控和審核軟件開發(fā)質(zhì)量���,人力資源相對比較充足����,因此����,企業(yè)從整合管理體系節(jié)約成本的角度出發(fā)�,信息安全管理體系(ISMS)也是由質(zhì)量管理部推動��、管理與維護��。這本來也無可厚非�,每個企業(yè)都有自身的管理水平�,人員技能等或這或那的問題,外包企業(yè)也是如此����。殊不知,信息安全管理體系(ISMS)其管理的對象是企業(yè)的信息安全風險���,而信息安全風險有其專業(yè)特性��,應該由企業(yè)內(nèi)部IT條線的專業(yè)人員負責識別���、評價和采取對應的控制措施。質(zhì)量管理部盡管在體系維護方面經(jīng)驗比較多�����,但是缺乏的就是對信息系統(tǒng)����,網(wǎng)絡設(shè)備的技術(shù)特性的了解����。
正確對待這個問題的辦法應該是在綜合考慮外包公司現(xiàn)有情況下���,質(zhì)量管理部履行信息安全管理體系(ISMS)的管理工作�����,制定和頒布信息安全策略�����,而IT 部門執(zhí)行信息安全策略�,IT部門識別和評價信息安全風險�����,并提出對應控制措施以及解決方案�����,質(zhì)量管理負責審核方案�。
大力發(fā)展服務外包產(chǎn)業(yè)����,加速我國產(chǎn)品結(jié)構(gòu)升級�����,完成從世界工廠”到世界服務”的華麗轉(zhuǎn)變��,這是我國產(chǎn)業(yè)發(fā)展的大局��,而對于國內(nèi)的服務外包公司來說����,如何更好適應這個大勢���,使企業(yè)具有更強競爭力�����,必要途徑之一是在信息安全管理方面�����,服務外包企業(yè)要切實正確認識信息安全����,切實提升企業(yè)的信息安全管理水平。
