信息安全 企业IT服务外包“关键词” (1)

【赛迪网讯】市场需求促生IT服务外包的快速发展

在强调企业核心竞争力的今天，IT服务外包作为长期战略成本管理的新兴工具逐渐被越来越多的企业所采用。服务外包的实质是企业和服务商之间一种“委托-代理”关系。企业进行资源整合，将有限的资源集中到最能反映企业优势的领域，从而更好地构筑竞争优势，以此获得可持续发展的能力。同时，将其他环节外包给相应的服务商，以实现“成本控制”和“管理效益”的有效兼顾。

随着企业业务发展过程中，信息系统所涉及的内容越来越多、结构越来越庞大，企业信息化再也不仅仅是IT部门自己的事情，企业在信息化建设和管理期间迎来了严峻的考验。在多重压力之下，许多企业认为IT部门最重要的工作是确保信息和流程的顺畅，而倾向于将服务器、存储系统、网络等基础设施、应用系统、非核心系统外包给服务商负责维护。

IT服务外包的风险

在企业寻求IT外包时，面临一系列的管控和运营风险，特别是在信息安全风险方面！

外包是一柄双刃剑，其好处是可以向企业灌输技术与人才，帮助企业摆脱繁琐的IT业务，有效的外包能让公司更好的专注于核心业务。但是如果处理不好，反而会变成一场噩梦和致命的灾难。

IT外包服务要成为一种商品，就必须形成一套规范和标准，以约束买卖双方。目前国内IT外包服务领域既无统一规范也无公认标准，对于如何评估、签合同、质量控制和定价等都是潜在的风险。此外，IT外包还面临着 IT管理的复杂性、软件缺失、知识产权以及IT外包服务提供商自身能否健康成长等风险。

信息安全是IT服务外包中的“关键词”

企业在IT服务外包中面临最大和最重要的挑战是——如何确保在进行外包服务时，确保企业信息、数据安全性，如何建立起有效的信息安全管控框架，以符合企业信息安全要求！

以下是企业建立信息安全体系必须参考的评估标准和遵从的原则：

1、企业内部信息安全管控过程是否可持续监管和优化

在信息防泄漏的“战争”中，相比于躲在暗处的泄密者和安全威胁，站在明处的企业显然略失先机。因此，良好的信息防泄体系的前提就是要时刻掌握企业动态，做到要有的放矢。很重要的一点是要实现内部操作的“可视化”，以随时监测整个信息系统的安全状况，做到迅速反应，甚至还能预测到潜在的风险，化被动防御为积极防御。

2、企业信息安全体系设计需进行全局评估和建设，规避疏漏和风险 　

在企业中，有时候可能是一个小小的系统漏洞就可能毁灭几百万投资的努力，或者一个无意的非法补丁行为就让企业蒙受损失。因此，在解决安全问题之时，不能仅仅依赖透明加密等技术手段，而是需要站在一个更高的战略角度来通盘考虑。如果缺乏一个整体的分析视角，可能会因为忽视或者低估某个安全攻击的真正威胁，而使得采取的安全措施无法解决真正的问题。所以，在实际的防泄漏建设中，必须从整体上来评估企业的信息安全状况，运用统一的平台来进行风险和安全管理，检测出内部问题，从而描绘出整个企业当前安全情况的更清晰和更准确的图景，采取针对性的防护措施，最大限度降低企业的安全风险。

3、安全和防护等级措施

企业在构建立体化、全方位的整体信息防泄体系时并不是一刀切，不分轻重地在全公司范围内采取相同的策略，这样虽然看似达到了最为安全的效果，但对业务造成的巨大影响，以及因此产生的高额成本，对企业来说，都是巨大的负担。