前言:上海天璣科技股份有限公司(股票代碼:300245)是國(guó)內(nèi)領(lǐng)先的IT服務(wù)和軟件產(chǎn)品工業(yè)司���,在IT服務(wù)外包領(lǐng)域有著杰出業(yè)績(jī)�。IT服務(wù)外包在近年來(lái)迅速發(fā)展����,極大地滿足了企業(yè)IT管理的要求����,幫助企業(yè)在成本控制”和管理效益”之間實(shí)現(xiàn)有效兼顧�����。但是����,在IT服務(wù)外包發(fā)展的過(guò)程中,信息安全始終是不可回避的一個(gè)重要因素�����。如何在確保企業(yè)信息安全的前提下實(shí)現(xiàn)有效的IT外包���,天璣科技有自己獨(dú)到之處��。
市場(chǎng)需求促生IT服務(wù)外包的快速發(fā)展
在強(qiáng)調(diào)企業(yè)核心競(jìng)爭(zhēng)力的今天��,IT服務(wù)外包作為長(zhǎng)期戰(zhàn)略成本管理的新興工具逐漸被越來(lái)越多的企業(yè)所采用�����。服務(wù)外包的實(shí)質(zhì)是企業(yè)和服務(wù)商之間一種委托-代理”關(guān)系����。企業(yè)進(jìn)行資源整合,將有限的資源集中到最能反映企業(yè)優(yōu)勢(shì)的領(lǐng)域���,從而更好地構(gòu)筑競(jìng)爭(zhēng)優(yōu)勢(shì)����,以此獲得可持續(xù)發(fā)展的能力�。同時(shí),將其他環(huán)節(jié)外包給相應(yīng)的服務(wù)商����,以實(shí)現(xiàn)成本控制”和管理效益”的有效兼顧���。
隨著企業(yè)業(yè)務(wù)發(fā)展過(guò)程中����,信息系統(tǒng)所涉及的內(nèi)容越來(lái)越多�����、結(jié)構(gòu)越來(lái)越龐大,企業(yè)信息化再也不僅僅是IT部門自己的事情�,企業(yè)在信息化建設(shè)和管理期間迎來(lái)了嚴(yán)峻的考驗(yàn)。在多重壓力之下�,許多企業(yè)認(rèn)為IT部門最重要的工作是確保信息和流程的順暢,而傾向于將服務(wù)器�、存儲(chǔ)系統(tǒng)、網(wǎng)絡(luò)等基礎(chǔ)設(shè)施�、應(yīng)用系統(tǒng)、非核心系統(tǒng)外包給服務(wù)商負(fù)責(zé)維護(hù)�。
IT服務(wù)外包的風(fēng)險(xiǎn)
在企業(yè)尋求IT外包時(shí),面臨一系列的管控和運(yùn)營(yíng)風(fēng)險(xiǎn)���,特別是在信息安全風(fēng)險(xiǎn)方面!
外包是一柄雙刃劍���,其好處是可以向企業(yè)灌輸技術(shù)與人才,幫助企業(yè)擺脫繁瑣的IT業(yè)務(wù)�,有效的外包能讓公司更好的專注于核心業(yè)務(wù)。但是如果處理不好���,反而會(huì)變成一場(chǎng)噩夢(mèng)和致命的災(zāi)難���。
IT外包服務(wù)要成為一種商品,就必須形成一套規(guī)范和標(biāo)準(zhǔn)��,以約束買賣雙方。目前國(guó)內(nèi)IT外包服務(wù)領(lǐng)域既無(wú)統(tǒng)一規(guī)范也無(wú)公認(rèn)標(biāo)準(zhǔn)����,對(duì)于如何評(píng)估、簽合同���、質(zhì)量控制和定價(jià)等都是潛在的風(fēng)險(xiǎn)��。此外����,IT外包還面臨著 IT管理的復(fù)雜性���、軟件缺失����、知識(shí)產(chǎn)權(quán)以及IT外包服務(wù)提供商自身能否健康成長(zhǎng)等風(fēng)險(xiǎn)���。
信息安全是IT服務(wù)外包中的關(guān)鍵詞”
企業(yè)在IT服務(wù)外包中面臨最大和最重要的挑戰(zhàn)是——如何確保在進(jìn)行外包服務(wù)時(shí),確保企業(yè)信息���、數(shù)據(jù)安全性�����,如何建立起有效的信息安全管控框架����,以符合企業(yè)信息安全要求!
以下是企業(yè)建立信息安全體系必須參考的評(píng)估標(biāo)準(zhǔn)和遵從的原則:
1、企業(yè)內(nèi)部信息安全管控過(guò)程是否可持續(xù)監(jiān)管和優(yōu)化
在信息防泄漏的戰(zhàn)爭(zhēng)”中��,相比于躲在暗處的泄密者和安全威脅�,站在明處的企業(yè)顯然略失先機(jī)。因此�����,良好的信息防泄體系的前提就是要時(shí)刻掌握企業(yè)動(dòng)態(tài)���,做到要有的放矢���。很重要的一點(diǎn)是要實(shí)現(xiàn)內(nèi)部操作的可視化”,以隨時(shí)監(jiān)測(cè)整個(gè)信息系統(tǒng)的安全狀況����,做到迅速反應(yīng),甚至還能預(yù)測(cè)到潛在的風(fēng)險(xiǎn)�����,化被動(dòng)防御為積極防御。
2�����、企業(yè)信息安全體系設(shè)計(jì)需進(jìn)行全局評(píng)估和建設(shè)�����,規(guī)避疏漏和風(fēng)險(xiǎn)
在企業(yè)中����,有時(shí)候可能是一個(gè)小小的系統(tǒng)漏洞就可能毀滅幾百萬(wàn)投資的努力,或者一個(gè)無(wú)意的非法補(bǔ)丁行為就讓企業(yè)蒙受損失����。因此,在解決安全問(wèn)題之時(shí)�����,不能僅僅依賴透明加密等技術(shù)手段��,而是需要站在一個(gè)更高的戰(zhàn)略角度來(lái)通盤考慮��。如果缺乏一個(gè)整體的分析視角��,可能會(huì)因?yàn)楹鲆暬蛘叩凸滥硞€(gè)安全攻擊的真正威脅���,而使得采取的安全措施無(wú)法解決真正的問(wèn)題��。所以���,在實(shí)際的防泄漏建設(shè)中,必須從整體上來(lái)評(píng)估企業(yè)的信息安全狀況�����,運(yùn)用統(tǒng)一的平臺(tái)來(lái)進(jìn)行風(fēng)險(xiǎn)和安全管理�����,檢測(cè)出內(nèi)部問(wèn)題���,從而描繪出整個(gè)企業(yè)當(dāng)前安全情況的更清晰和更準(zhǔn)確的圖景�����,采取針對(duì)性的防護(hù)措施�,最大限度降低企業(yè)的安全風(fēng)險(xiǎn)。
3��、安全和防護(hù)等級(jí)措施
企業(yè)在構(gòu)建立體化�����、全方位的整體信息防泄體系時(shí)并不是一刀切�����,不分輕重地在全公司范圍內(nèi)采取相同的策略��,這樣雖然看似達(dá)到了最為安全的效果�,但對(duì)業(yè)務(wù)造成的巨大影響,以及因此產(chǎn)生的高額成本��,對(duì)企業(yè)來(lái)說(shuō)�,都是巨大的負(fù)擔(dān)。
對(duì)信息安全來(lái)說(shuō)����,威脅和風(fēng)險(xiǎn)往往和高價(jià)值的信息資產(chǎn)聯(lián)系在一起,安全保護(hù)工作也就應(yīng)該輕重有別�,將重點(diǎn)放在高價(jià)值的信息資產(chǎn)上。在安全建設(shè)過(guò)程中,對(duì)涉密程度高的部門或崗位進(jìn)行力度大的防御����,對(duì)涉密程度低的部門采取相應(yīng)的安全防御��。同時(shí)衡量提升安全性可能帶來(lái)的業(yè)務(wù)操作上的麻煩�����、企業(yè)安全成本等問(wèn)題����,是企業(yè)必須要做的事情。
4���、科學(xué)可行的安全策略和必要的技術(shù)手段實(shí)現(xiàn)動(dòng)態(tài)性防護(hù)
動(dòng)態(tài)性的信息泄露防護(hù)��,對(duì)于目前泄密手段日益增多的企業(yè)來(lái)說(shuō)����,非常重要��。企業(yè)需要建立一個(gè)動(dòng)態(tài)性的安全防護(hù)����,前瞻性地發(fā)現(xiàn)安全威脅�,并通過(guò)對(duì)技術(shù)或管理上的策略進(jìn)行及時(shí)調(diào)整更新�,防范潛在的安全風(fēng)險(xiǎn)。
5�、信息安全體系必須便于使用和維護(hù)
如今,市場(chǎng)上五花八門的信息防泄漏產(chǎn)品讓企業(yè)眼花繚亂���,企業(yè)期望這種強(qiáng)強(qiáng)組合”能給企業(yè)套上萬(wàn)無(wú)一失的金鐘罩�����,但實(shí)際上企業(yè)不僅要付出較高的成本��,并增加了技術(shù)的復(fù)雜性���,還容易導(dǎo)致產(chǎn)品軟件沖突等問(wèn)題。目前�,能夠提供整體解決方案的單一安全產(chǎn)品成為優(yōu)良選擇,能夠幫助企業(yè)建立統(tǒng)一的安全管理平臺(tái)����,無(wú)論是對(duì)企業(yè)安全邊界防護(hù),到內(nèi)部使用都做了整體��、全面的考慮,而且簡(jiǎn)化了日常的操作與管理����,降低系統(tǒng)的資源占用,避免了軟件沖突等多種問(wèn)題���。
如果企業(yè)的信息防泄漏建設(shè)符合以上6條檢測(cè)標(biāo)準(zhǔn)�����,那么該企業(yè)已經(jīng)建立了一個(gè)完善的整體信息防泄漏體系,機(jī)密信息也得到了最大化的保護(hù)��,實(shí)現(xiàn)了成本���、效率���、安全”三者的最佳平衡,這也是近年來(lái)被大家認(rèn)可的整體信息防泄漏”理念的核心��。
天璣科技建立了高效可靠的IT外包服務(wù)信息安全管控體系
天璣科技提供的IT外包服務(wù)就是承接企業(yè)的全部或部分IT系統(tǒng)的維護(hù)與管理工作��,按照雙方簽訂的服務(wù)協(xié)議(SLA)內(nèi)容完成相關(guān)服務(wù)的業(yè)務(wù)模式或服務(wù)過(guò)程���。
隨著天璣科技的客戶對(duì)信息安全管理提出了越來(lái)越高的要求�����,天璣科技在對(duì)IT外包服務(wù)的安全管理方面貫徹了基于風(fēng)險(xiǎn)的管理方法�,在進(jìn)行IT服務(wù)外包時(shí)將信息安全管理放在首位。
1�、 外包基礎(chǔ)和簡(jiǎn)單重復(fù)的服務(wù):考慮到信息安全管理問(wèn)題,天璣科技初期外包服務(wù)范圍主要以基礎(chǔ)服務(wù)外包為主���,即將IT系統(tǒng)日常的硬件與軟件維護(hù)�����、Helpdesk呼叫中心���、信息系統(tǒng)的編碼等活動(dòng)外包。而對(duì)于IT系統(tǒng)的規(guī)劃與管理�����、核心應(yīng)用系統(tǒng)(如ERP�、CRM)的設(shè)計(jì)與維護(hù)仍然由企業(yè)IT部門承擔(dān)。這樣避免了IT服務(wù)人員接觸組織的核心系統(tǒng)信息����,降低了IT服務(wù)外包對(duì)IT系統(tǒng)敏感部分帶來(lái)的安全風(fēng)險(xiǎn)�����。
2�����、 具備信息安全管理資質(zhì):由于IT外包服務(wù)過(guò)程中�,IT服務(wù)人員必然會(huì)接觸到企業(yè)的系統(tǒng)設(shè)備甚至是內(nèi)容���,如何成為一家可靠安全的IT服務(wù)外包供應(yīng)商也是在進(jìn)行IT服務(wù)外包前必須考慮的重要方面。天璣科技已經(jīng)建立起完善的信息安全管理體系�����,并通過(guò)了BSI安全認(rèn)證審核���,擁有很多有影響的大客戶��。天璣科技根據(jù)服務(wù)內(nèi)容簽訂十分關(guān)鍵���。
3�����、 強(qiáng)化日常服務(wù)的安全管理:信息安全管理的要求體現(xiàn)在IT服務(wù)日常管理的各個(gè)方面�,主要包括:日?�;顒?dòng)規(guī)范的建立;服務(wù)變更控制;服務(wù)人員管理;安全事件處理;業(yè)務(wù)持續(xù)管理;知識(shí)產(chǎn)權(quán)保護(hù)和監(jiān)控與審核等內(nèi)容�����。
在提供IT服務(wù)外包的過(guò)程中����,信息安全管理始終是重點(diǎn)問(wèn)題之一。企業(yè)和IT服務(wù)供應(yīng)商應(yīng)一同參照ISO/IEC27001標(biāo)準(zhǔn)內(nèi)容不斷完善對(duì)IT服務(wù)外包的安全管理����,確保能為企業(yè)和組織的信息安全管理提供可靠保障。
