前言:上海天玑科技股份有限公司(股票代码:300245)是国内领先的IT服务和软件产品工业司,在IT服务外包领域有着杰出业绩。IT服务外包在近年来迅速发展,极大地满足了企业IT管理的要求,帮助企业在成本控制”和管理效益”之间实现有效兼顾。但是,在IT服务外包发展的过程中,信息安全始终是不可回避的一个重要因素。如何在确保企业信息安全的前提下实现有效的IT外包,天玑科技有自己独到之处。
市场需求促生IT服务外包的快速发展
在强调企业核心竞争力的今天,IT服务外包作为长期战略成本管理的新兴工具逐渐被越来越多的企业所采用。服务外包的实质是企业和服务商之间一种委托-代理”关系。企业进行资源整合,将有限的资源集中到最能反映企业优势的领域,从而更好地构筑竞争优势,以此获得可持续发展的能力。同时,将其他环节外包给相应的服务商,以实现成本控制”和管理效益”的有效兼顾。
随着企业业务发展过程中,信息系统所涉及的内容越来越多、结构越来越庞大,企业信息化再也不仅仅是IT部门自己的事情,企业在信息化建设和管理期间迎来了严峻的考验。在多重压力之下,许多企业认为IT部门最重要的工作是确保信息和流程的顺畅,而倾向于将服务器、存储系统、网络等基础设施、应用系统、非核心系统外包给服务商负责维护。
IT服务外包的风险
在企业寻求IT外包时,面临一系列的管控和运营风险,特别是在信息安全风险方面!
外包是一柄双刃剑,其好处是可以向企业灌输技术与人才,帮助企业摆脱繁琐的IT业务,有效的外包能让公司更好的专注于核心业务。但是如果处理不好,反而会变成一场噩梦和致命的灾难。
IT外包服务要成为一种商品,就必须形成一套规范和标准,以约束买卖双方。目前国内IT外包服务领域既无统一规范也无公认标准,对于如何评估、签合同、质量控制和定价等都是潜在的风险。此外,IT外包还面临着 IT管理的复杂性、软件缺失、知识产权以及IT外包服务提供商自身能否健康成长等风险。
信息安全是IT服务外包中的关键词”
企业在IT服务外包中面临最大和最重要的挑战是——如何确保在进行外包服务时,确保企业信息、数据安全性,如何建立起有效的信息安全管控框架,以符合企业信息安全要求!
以下是企业建立信息安全体系必须参考的评估标准和遵从的原则:
1、企业内部信息安全管控过程是否可持续监管和优化
在信息防泄漏的战争”中,相比于躲在暗处的泄密者和安全威胁,站在明处的企业显然略失先机。因此,良好的信息防泄体系的前提就是要时刻掌握企业动态,做到要有的放矢。很重要的一点是要实现内部操作的可视化”,以随时监测整个信息系统的安全状况,做到迅速反应,甚至还能预测到潜在的风险,化被动防御为积极防御。
2、企业信息安全体系设计需进行全局评估和建设,规避疏漏和风险
在企业中,有时候可能是一个小小的系统漏洞就可能毁灭几百万投资的努力,或者一个无意的非法补丁行为就让企业蒙受损失。因此,在解决安全问题之时,不能仅仅依赖透明加密等技术手段,而是需要站在一个更高的战略角度来通盘考虑。如果缺乏一个整体的分析视角,可能会因为忽视或者低估某个安全攻击的真正威胁,而使得采取的安全措施无法解决真正的问题。所以,在实际的防泄漏建设中,必须从整体上来评估企业的信息安全状况,运用统一的平台来进行风险和安全管理,检测出内部问题,从而描绘出整个企业当前安全情况的更清晰和更准确的图景,采取针对性的防护措施,最大限度降低企业的安全风险。
3、安全和防护等级措施
企业在构建立体化、全方位的整体信息防泄体系时并不是一刀切,不分轻重地在全公司范围内采取相同的策略,这样虽然看似达到了最为安全的效果,但对业务造成的巨大影响,以及因此产生的高额成本,对企业来说,都是巨大的负担。
对信息安全来说,威胁和风险往往和高价值的信息资产联系在一起,安全保护工作也就应该轻重有别,将重点放在高价值的信息资产上。在安全建设过程中,对涉密程度高的部门或岗位进行力度大的防御,对涉密程度低的部门采取相应的安全防御。同时衡量提升安全性可能带来的业务操作上的麻烦、企业安全成本等问题,是企业必须要做的事情。
4、科学可行的安全策略和必要的技术手段实现动态性防护
动态性的信息泄露防护,对于目前泄密手段日益增多的企业来说,非常重要。企业需要建立一个动态性的安全防护,前瞻性地发现安全威胁,并通过对技术或管理上的策略进行及时调整更新,防范潜在的安全风险。
5、信息安全体系必须便于使用和维护
如今,市场上五花八门的信息防泄漏产品让企业眼花缭乱,企业期望这种强强组合”能给企业套上万无一失的金钟罩,但实际上企业不仅要付出较高的成本,并增加了技术的复杂性,还容易导致产品软件冲突等问题。目前,能够提供整体解决方案的单一安全产品成为优良选择,能够帮助企业建立统一的安全管理平台,无论是对企业安全边界防护,到内部使用都做了整体、全面的考虑,而且简化了日常的操作与管理,降低系统的资源占用,避免了软件冲突等多种问题。
如果企业的信息防泄漏建设符合以上6条检测标准,那么该企业已经建立了一个完善的整体信息防泄漏体系,机密信息也得到了最大化的保护,实现了成本、效率、安全”三者的最佳平衡,这也是近年来被大家认可的整体信息防泄漏”理念的核心。
天玑科技建立了高效可靠的IT外包服务信息安全管控体系
天玑科技提供的IT外包服务就是承接企业的全部或部分IT系统的维护与管理工作,按照双方签订的服务协议(SLA)内容完成相关服务的业务模式或服务过程。
随着天玑科技的客户对信息安全管理提出了越来越高的要求,天玑科技在对IT外包服务的安全管理方面贯彻了基于风险的管理方法,在进行IT服务外包时将信息安全管理放在首位。
1、 外包基础和简单重复的服务:考虑到信息安全管理问题,天玑科技初期外包服务范围主要以基础服务外包为主,即将IT系统日常的硬件与软件维护、Helpdesk呼叫中心、信息系统的编码等活动外包。而对于IT系统的规划与管理、核心应用系统(如ERP、CRM)的设计与维护仍然由企业IT部门承担。这样避免了IT服务人员接触组织的核心系统信息,降低了IT服务外包对IT系统敏感部分带来的安全风险。
2、 具备信息安全管理资质:由于IT外包服务过程中,IT服务人员必然会接触到企业的系统设备甚至是内容,如何成为一家可靠安全的IT服务外包供应商也是在进行IT服务外包前必须考虑的重要方面。天玑科技已经建立起完善的信息安全管理体系,并通过了BSI安全认证审核,拥有很多有影响的大客户。天玑科技根据服务内容签订十分关键。
3、 强化日常服务的安全管理:信息安全管理的要求体现在IT服务日常管理的各个方面,主要包括:日常活动规范的建立;服务变更控制;服务人员管理;安全事件处理;业务持续管理;知识产权保护和监控与审核等内容。
在提供IT服务外包的过程中,信息安全管理始终是重点问题之一。企业和IT服务供应商应一同参照ISO/IEC27001标准内容不断完善对IT服务外包的安全管理,确保能为企业和组织的信息安全管理提供可靠保障。
