賽迪網(wǎng)訊前言:上海天璣科技股份有限公司(股票代碼:300245)是國內(nèi)領(lǐng)先的IT服務(wù)和軟件產(chǎn)品工業(yè)司,在IT服務(wù)外包領(lǐng)域有著杰出業(yè)績�。IT服務(wù)外包在近年來迅速發(fā)展�,極大地滿足了企業(yè)IT管理的要求,幫助企業(yè)在成本控制”和管理效益”之間實(shí)現(xiàn)有效兼顧��。但是���,在IT服務(wù)外包發(fā)展的過程中,信息安全始終是不可回避的一個重要因素�����。如何在確保企業(yè)信息安全的前提下實(shí)現(xiàn)有效的IT外包���,天璣科技有自己獨(dú)到之處。
市場需求促生IT服務(wù)外包的快速發(fā)展
在強(qiáng)調(diào)企業(yè)核心競爭力的今天,IT服務(wù)外包作為長期戰(zhàn)略成本管理的新興工具逐漸被越來越多的企業(yè)所采用。服務(wù)外包的實(shí)質(zhì)是企業(yè)和服務(wù)商之間一種委托-代理”關(guān)系��。企業(yè)進(jìn)行資源整合����,將有限的資源集中到最能反映企業(yè)優(yōu)勢的領(lǐng)域���,從而更好地構(gòu)筑競爭優(yōu)勢��,以此獲得可持續(xù)發(fā)展的能力���。同時�,將其他環(huán)節(jié)外包給相應(yīng)的服務(wù)商��,以實(shí)現(xiàn)成本控制”和管理效益”的有效兼顧���。
隨著企業(yè)業(yè)務(wù)發(fā)展過程中�,信息系統(tǒng)所涉及的內(nèi)容越來越多���、結(jié)構(gòu)越來越龐大���,企業(yè)信息化再也不僅僅是IT部門自己的事情���,企業(yè)在信息化建設(shè)和管理期間迎來了嚴(yán)峻的考驗(yàn)。在多重壓力之下�����,許多企業(yè)認(rèn)為IT部門最重要的工作是確保信息和流程的順暢����,而傾向于將服務(wù)器、存儲系統(tǒng)�����、網(wǎng)絡(luò)等基礎(chǔ)設(shè)施����、應(yīng)用系統(tǒng)、非核心系統(tǒng)外包給服務(wù)商負(fù)責(zé)維護(hù)。
IT服務(wù)外包的風(fēng)險
在企業(yè)尋求IT外包時����,面臨一系列的管控和運(yùn)營風(fēng)險���,特別是在信息安全風(fēng)險方面!
外包是一柄雙刃劍�,其好處是可以向企業(yè)灌輸技術(shù)與人才�,幫助企業(yè)擺脫繁瑣的IT業(yè)務(wù),有效的外包能讓公司更好的專注于核心業(yè)務(wù)。但是如果處理不好�,反而會變成一場噩夢和致命的災(zāi)難����。
IT外包服務(wù)要成為一種商品����,就必須形成一套規(guī)范和標(biāo)準(zhǔn),以約束買賣雙方��。目前國內(nèi)IT外包服務(wù)領(lǐng)域既無統(tǒng)一規(guī)范也無公認(rèn)標(biāo)準(zhǔn),對于如何評估�����、簽合同���、質(zhì)量控制和定價等都是潛在的風(fēng)險����。此外�,IT外包還面臨著 IT管理的復(fù)雜性�、軟件缺失�、知識產(chǎn)權(quán)以及IT外包服務(wù)提供商自身能否健康成長等風(fēng)險����。
企業(yè)在IT服務(wù)外包中面臨最大和最重要的挑戰(zhàn)是——如何確保在進(jìn)行外包服務(wù)時����,確保企業(yè)信息、數(shù)據(jù)安全性���,如何建立起有效的信息安全管控框架���,以符合企業(yè)信息安全要求���!
以下是企業(yè)建立信息安全體系必須參考的評估標(biāo)準(zhǔn)和遵從的原則:
1��、企業(yè)內(nèi)部信息安全管控過程是否可持續(xù)監(jiān)管和優(yōu)化
在信息防泄漏的戰(zhàn)爭”中,相比于躲在暗處的泄密者和安全威脅,站在明處的企業(yè)顯然略失先機(jī)。因此�,良好的信息防泄體系的前提就是要時刻掌握企業(yè)動態(tài)���,做到要有的放矢�����。很重要的一點(diǎn)是要實(shí)現(xiàn)內(nèi)部操作的可視化”,以隨時監(jiān)測整個信息系統(tǒng)的安全狀況����,做到迅速反應(yīng),甚至還能預(yù)測到潛在的風(fēng)險�����,化被動防御為積極防御�。
2��、企業(yè)信息安全體系設(shè)計需進(jìn)行全局評估和建設(shè)��,規(guī)避疏漏和風(fēng)險
在企業(yè)中,有時候可能是一個小小的系統(tǒng)漏洞就可能毀滅幾百萬投資的努力,或者一個無意的非法補(bǔ)丁行為就讓企業(yè)蒙受損失����。因此����,在解決安全問題之時�����,不能僅僅依賴透明加密等技術(shù)手段,而是需要站在一個更高的戰(zhàn)略角度來通盤考慮�。如果缺乏一個整體的分析視角,可能會因?yàn)楹鲆暬蛘叩凸滥硞€安全攻擊的真正威脅�����,而使得采取的安全措施無法解決真正的問題�。所以��,在實(shí)際的防泄漏建設(shè)中�����,必須從整體上來評估企業(yè)的信息安全狀況����,運(yùn)用統(tǒng)一的平臺來進(jìn)行風(fēng)險和安全管理��,檢測出內(nèi)部問題����,從而描繪出整個企業(yè)當(dāng)前安全情況的更清晰和更準(zhǔn)確的圖景�,采取針對性的防護(hù)措施,最大限度降低企業(yè)的安全風(fēng)險�。
3��、安全和防護(hù)等級措施
企業(yè)在構(gòu)建立體化�、全方位的整體信息防泄體系時并不是一刀切��,不分輕重地在全公司范圍內(nèi)采取相同的策略��,這樣雖然看似達(dá)到了最為安全的效果�����,但對業(yè)務(wù)造成的巨大影響�����,以及因此產(chǎn)生的高額成本��,對企業(yè)來說����,都是巨大的負(fù)擔(dān)。
對信息安全來說���,威脅和風(fēng)險往往和高價值的信息資產(chǎn)聯(lián)系在一起����,安全保護(hù)工作也就應(yīng)該輕重有別,將重點(diǎn)放在高價值的信息資產(chǎn)上���。在安全建設(shè)過程中���,對涉密程度高的部門或崗位進(jìn)行力度大的防御,對涉密程度低的部門采取相應(yīng)的安全防御����。同時衡量提升安全性可能帶來的業(yè)務(wù)操作上的麻煩、企業(yè)安全成本等問題����,是企業(yè)必須要做的事情。
4�、科學(xué)可行的安全策略和必要的技術(shù)手段實(shí)現(xiàn)動態(tài)性防護(hù)
動態(tài)性的信息泄露防護(hù),對于目前泄密手段日益增多的企業(yè)來說���,非常重要。企業(yè)需要建立一個動態(tài)性的安全防護(hù)�,前瞻性地發(fā)現(xiàn)安全威脅,并通過對技術(shù)或管理上的策略進(jìn)行及時調(diào)整更新��,防范潛在的安全風(fēng)險���。
5�����、信息安全體系必須便于使用和維護(hù)
如今����,市場上五花八門的信息防泄漏產(chǎn)品讓企業(yè)眼花繚亂,企業(yè)期望這種強(qiáng)強(qiáng)組合”能給企業(yè)套上萬無一失的金鐘罩����,但實(shí)際上企業(yè)不僅要付出較高的成本,并增加了技術(shù)的復(fù)雜性�,還容易導(dǎo)致產(chǎn)品軟件沖突等問題。目前����,能夠提供整體解決方案的單一安全產(chǎn)品成為優(yōu)良選擇,能夠幫助企業(yè)建立統(tǒng)一的安全管理平臺�����,無論是對企業(yè)安全邊界防護(hù)���,到內(nèi)部使用都做了整體�、全面的考慮,而且簡化了日常的操作與管理����,降低系統(tǒng)的資源占用,避免了軟件沖突等多種問題��。
如果企業(yè)的信息防泄漏建設(shè)符合以上6條檢測標(biāo)準(zhǔn)�,那么該企業(yè)已經(jīng)建立了一個完善的整體信息防泄漏體系,機(jī)密信息也得到了最大化的保護(hù)����,實(shí)現(xiàn)了成本、效率���、安全”三者的最佳平衡����,這也是近年來被大家認(rèn)可的整體信息防泄漏”理念的核心��。
天璣科技建立了高效可靠的IT外包服務(wù)信息安全管控體系
天璣科技提供的IT外包服務(wù)就是承接企業(yè)的全部或部分IT系統(tǒng)的維護(hù)與管理工作�,按照雙方簽訂的服務(wù)協(xié)議(SLA)內(nèi)容完成相關(guān)服務(wù)的業(yè)務(wù)模式或服務(wù)過程���。
隨著天璣科技的客戶對信息安全管理提出了越來越高的要求�����,天璣科技在對IT外包服務(wù)的安全管理方面貫徹了基于風(fēng)險的管理方法�,在進(jìn)行IT服務(wù)外包時將信息安全管理放在首位。
1�����、外包基礎(chǔ)和簡單重復(fù)的服務(wù):考慮到信息安全管理問題�����,天璣科技初期外包服務(wù)范圍主要以基礎(chǔ)服務(wù)外包為主���,即將IT系統(tǒng)日常的硬件與軟件維護(hù)���、Helpdesk呼叫中心、信息系統(tǒng)的編碼等活動外包��。而對于IT系統(tǒng)的規(guī)劃與管理��、核心應(yīng)用系統(tǒng)(如ERP���、CRM)的設(shè)計與維護(hù)仍然由企業(yè)IT部門承擔(dān)�。這樣避免了IT服務(wù)人員接觸組織的核心系統(tǒng)信息,降低了IT服務(wù)外包對IT系統(tǒng)敏感部分帶來的安全風(fēng)險����。
2、具備信息安全管理資質(zhì):由于IT外包服務(wù)過程中�,IT服務(wù)人員必然會接觸到企業(yè)的系統(tǒng)設(shè)備甚至是內(nèi)容,如何成為一家可靠安全的IT服務(wù)外包供應(yīng)商也是在進(jìn)行IT服務(wù)外包前必須考慮的重要方面����。天璣科技已經(jīng)建立起完善的信息安全管理體系,并通過了BSI安全認(rèn)證審核�����,擁有很多有影響的大客戶��。天璣科技根據(jù)服務(wù)內(nèi)容簽訂十分關(guān)鍵��。
3���、強(qiáng)化日常服務(wù)的安全管理:信息安全管理的要求體現(xiàn)在IT服務(wù)日常管理的各個方面����,主要包括:日常活動規(guī)范的建立�;服務(wù)變更控制�;服務(wù)人員管理;安全事件處理�;業(yè)務(wù)持續(xù)管理;知識產(chǎn)權(quán)保護(hù)和監(jiān)控與審核等內(nèi)容��。
在提供IT服務(wù)外包的過程中����,信息安全管理始終是重點(diǎn)問題之一。企業(yè)和IT服務(wù)供應(yīng)商應(yīng)一同參照ISO/IEC27001標(biāo)準(zhǔn)內(nèi)容不斷完善對IT服務(wù)外包的安全管理����,確保能為企業(yè)和組織的信息安全管理提供可靠保障。
