自從商務(wù)部推出服務(wù)外包“千百十工程”之后，在政府政策的大力扶持之下，國內(nèi)外包產(chǎn)業(yè)發(fā)展的如火如荼，為了能夠承接更多高端服務(wù)，滿足客戶的要求，商務(wù)部同時鼓勵外包企業(yè)通過國際認(rèn)證以獲得更好的競爭力和良好的企業(yè)形象。ISO27001信息安全管理體系(ISMS)認(rèn)證在此背景下，在外包公司得到了比較廣泛的認(rèn)可。越來越多的外包公司已經(jīng)實(shí)施、或者計劃實(shí)施ISO27001認(rèn)證。為了更好地理解外包企業(yè)信息安全的需要，首先簡要分析一下服務(wù)外包業(yè)務(wù)的特點(diǎn)，當(dāng)然，由于信息安全是本文的發(fā)力點(diǎn)，僅僅分析列出與信息安全相關(guān)的業(yè)務(wù)特點(diǎn)： 

1. 知識密集型，對人才的要求很好 

外包服務(wù)屬于知識型密集產(chǎn)業(yè)，很多業(yè)務(wù)都需要從業(yè)人員有相關(guān)的培訓(xùn)教育經(jīng)歷和豐富的實(shí)踐經(jīng)驗(yàn)，與制造業(yè)有很大區(qū)別。因此外包需要的人力資源要求就高，而外包業(yè)務(wù)恰恰依賴的就是人。 

2. 外包成果無形化，難以量化評估 

外包最終的成果多數(shù)并非是實(shí)物化產(chǎn)品，而是一種服務(wù)，這就難以將成果量化進(jìn)行評估，但是在某些方面也存在一些公認(rèn)的評價體系，如軟件外包領(lǐng)域內(nèi)CMMI國際認(rèn)證，這是對軟件外包接包商能力的一種評價指標(biāo)。另外，在考量接包方在客戶信息保密等方面，國際國內(nèi)客戶基本都已經(jīng)認(rèn)同ISO27001信息安全管理體系(ISMS)認(rèn)證，這是接包方在信息安全能力方面的評價框架。 

3. 很大程度上依賴互聯(lián)網(wǎng)和通信技術(shù) 

目前國內(nèi)外包業(yè)務(wù)大多數(shù)是離岸外包，雙方合作關(guān)系的確立以及業(yè)務(wù)的發(fā)展必須依賴互聯(lián)網(wǎng)和通信技術(shù)。對于互聯(lián)網(wǎng)和通信技術(shù)的過分依賴使得服務(wù)外包又具有了一種新的風(fēng)險，通信網(wǎng)絡(luò)的中斷將導(dǎo)致業(yè)務(wù)的中斷。 

服務(wù)外包企業(yè)的信息安全建設(shè)在政府政策的鼓勵以及客戶的要求的下，信息安全管控水平不斷提高，ISO27001信息安全管理體系(ISMS)認(rèn)證在外包企業(yè)也是強(qiáng)勁發(fā)展，盡管到目前為止，通過認(rèn)證的企業(yè)的絕對數(shù)不大，但是發(fā)展很快，而對于這些數(shù)據(jù)貢獻(xiàn)，絕大部分是來自服務(wù)外包企業(yè)。盡管如此，但是服務(wù)外包企業(yè)對信息安全管理還是存在著較多誤區(qū)，主要幾點(diǎn)歸納如下。 

1. 信息安全認(rèn)識誤區(qū) 

盡管國內(nèi)的外包行業(yè)有將近10年度發(fā)展歷史，但是大的外包公司還不多，外包業(yè)務(wù)主要還是集中在軟件外包，而軟件外包的客戶主要是做日韓企業(yè)。日韓客戶一般對信息安全的要求都比較高，國內(nèi)外包企業(yè)這么多年在與客戶打交道時，在客戶的要求，不斷提高企業(yè)自身的信息安全控制水平，但是在外包企業(yè)信息安全建設(shè)的過程中，出現(xiàn)了這樣或那樣的對信息安全建設(shè)的誤區(qū)，其中的原因有迫于客戶的壓力來提升企業(yè)信息安全管理水平，主動性要求不高，企業(yè)自身在信息安全方面的積累也不多，另外也有一些外包企業(yè)急功近利，為了迎合客戶的要求而僅僅做做表面文章。 

(1) 安全防御的重點(diǎn)是來自外部的攻擊 

由于媒體的報道以及一些安全產(chǎn)品廠商為了自身業(yè)務(wù)的需要而做的一些錯誤的引導(dǎo)，導(dǎo)致外包企業(yè)，甚至其他行業(yè)的公司都認(rèn)為企業(yè)所面臨的威脅主要是來自外界。各類安全威脅中，企業(yè)最重視哪3類?據(jù)《信息周刊》的調(diào)查來看，病毒和蠕蟲，間諜軟件，垃圾郵件3類威脅一直高居榜首。但是依據(jù)此3類威脅部署的企業(yè)信息安全方案將僅限于信息安全產(chǎn)品的老三樣—防病毒、防火墻和IDS的老路上。實(shí)際上，企業(yè)內(nèi)部數(shù)據(jù)安全的危害性正在日益上升，如未經(jīng)授權(quán)的雇員對文件或數(shù)據(jù)的訪問、帶有公司數(shù)據(jù)的可移動設(shè)備遺失或失竊等，惡意員工故意破壞信息系統(tǒng)甚至泄漏企業(yè)機(jī)密等，但是這一點(diǎn)還沒有引起企業(yè)足夠的重視。 

信息技術(shù)市場調(diào)研公司高德納公司(Gartner)早些時候曾進(jìn)行信息安全事件的調(diào)查，發(fā)現(xiàn)有70%以上的事故是企業(yè)內(nèi)部所導(dǎo)致的。其實(shí)我們仔細(xì)想想并平時多留言一下自己身邊的事情，我們不難發(fā)現(xiàn)，容量很大、攜帶方便的便攜式的移動設(shè)備，比如U盤、手機(jī)、iPod等用在存取數(shù)據(jù)時經(jīng)常在不知不覺中，就充當(dāng)了病毒的傳播者。更可怕的是，小巧且讀寫快速很快的U盤能在短短幾秒鐘之內(nèi)把企業(yè)和核心機(jī)密拷走而不被人發(fā)現(xiàn)。 

對于服務(wù)外包企業(yè)來說，由于人員的高素質(zhì)，特別是對于IT服務(wù)外包的企業(yè)，大多數(shù)員工都具有良好的IT知識和技能，利用IT系統(tǒng)做出不利于公司的欺詐和泄密事件，可能將更隱蔽和輕車熟路。這對于外包公司來說，無疑是個很大的威脅。 

外包企業(yè)應(yīng)該首先要提高認(rèn)識，把信息安全防御的重點(diǎn)從外部防御轉(zhuǎn)向內(nèi)部教育和防范。加強(qiáng)對員工的信息安全意識教育，培訓(xùn)員工具備基本的安全技能。另外，從數(shù)據(jù)保密的角度上來，對于重要機(jī)密信息，應(yīng)做好加密的技術(shù)措施。 

(2) 好的信息安全就是不出安全事故 

以是否發(fā)生安全事故作為企業(yè)信息安全工作好壞的衡量標(biāo)準(zhǔn)，使得信息安全工作限于十分被動的位置，這主要體現(xiàn)在兩個方面，一方面是對企業(yè)領(lǐng)導(dǎo)來說，特別是這些服務(wù)外包公司而言，由于很多公司的業(yè)務(wù)發(fā)展也沒幾年，而且也沒有成為外部威脅主動攻擊的對象，這不像銀行系統(tǒng)，因此發(fā)生足以引起領(lǐng)導(dǎo)層重視的信息安全事件不多，有些企業(yè)甚至沒有，所以，企業(yè)領(lǐng)導(dǎo)就盲目的認(rèn)為公司當(dāng)前信息安全防范工作已經(jīng)足夠，無須再投入更多的人力和物力來加強(qiáng)企業(yè)的信息安全建設(shè);另外一個方面是對企業(yè)內(nèi)部直接負(fù)責(zé)維護(hù)信息安全的IT部門來說，他們將面臨著巨大的壓力，因?yàn)檎l又能保證百分百不出安全事故呢? 

其實(shí)，之所以這么認(rèn)為，是沒有正確認(rèn)識的信息安全。世上萬事萬物不是絕對的，信息安全的處理應(yīng)該遵循風(fēng)險管理的原則和方法。安全事件的發(fā)生與否也應(yīng)該以風(fēng)險的方式來處理。對于某個可能發(fā)生的安全事件，分析導(dǎo)致其發(fā)生的根本原因，發(fā)生的可能性以及可能造成的后果，再判斷將要采取的應(yīng)對措施的有效性以及成本，根據(jù)企業(yè)風(fēng)險的可接受水平，做出合理的風(fēng)險處置方案。 

(3) 頭疼醫(yī)頭就足夠了 

企業(yè)安全管理過于分散也是不容忽視的問題。信息安全在國內(nèi)的發(fā)展以及市場上也不乏優(yōu)良的安全技術(shù)，但其部署往往是“頭痛醫(yī)頭，腳痛醫(yī)腳”，彼此間不能妥善協(xié)作，這不但會造成資源浪費(fèi)，還會在安全部署上留下漏洞。這種技術(shù)產(chǎn)品上處理問題的方式給企業(yè)對信息安全問題的解決的認(rèn)識帶來如此的偏見。在信息安全管理方面，也是同樣存在同樣的問題。 

針對這個問題，提高認(rèn)識當(dāng)然是當(dāng)務(wù)之急，但是要落實(shí)變成可執(zhí)行的制度和流程，那么外包企業(yè)需要制定整體信息安全戰(zhàn)略、業(yè)務(wù)持續(xù)及災(zāi)難恢復(fù)戰(zhàn)略和計劃、配置架構(gòu)的標(biāo)準(zhǔn)和流程以及致力于知識產(chǎn)權(quán)和信息保護(hù)的政策和流程，并執(zhí)行定期的穿透測試、威脅和弱點(diǎn)評估及風(fēng)險評估。