自从商务部推出服务外包千百十工程”之后,在政府政策的大力扶持之下,国内外包产业发展的如火如荼,为了能够承接更多高端服务,满足客户的要求,商务部同时鼓励外包企业通过国际认证以获得更好的竞争力和良好的企业形象。ISO27001信息安全管理体系(ISMS)认证在此背景下,在外包公司得到了比较广泛的认可。越来越多的外包公司已经实施、或者计划实施ISO27001认证,本人作为信息安全管理体系(ISMS)的咨询顾问,在广泛接触这些外包公司,以及与企业各级人员后,总的一个感觉就是很多外包企业对信息安全管理存在或这或那不正确的认识,这种认识将阻碍企业建立有效的、合规的信息安全管理体系(ISMS),阻碍企业信息安全工作的良性发展,甚至可能将阻碍企业业务发展。本文将主要阐述外包企业信息安全管理的误区,以及针对这些的误区的对策。
为了更好地理解外包企业信息安全的需要,我将首先简要分析一下服务外包业务的特点,当然,由于信息安全是本文的发力点,仅仅分析列出与信息安全相关的业务特点:
1. 知识密集型,对人才的要求很好
外包服务属于知识型密集产业,很多业务都需要从业人员有相关的培训教育经历和丰富的实践经验,与制造业有很大区别。因此外包需要的人力资源要求就高,而外包业务恰恰依赖的就是人。
2. 外包成果无形化,难以量化评估
外包最终的成果多数并非是实物化产品,而是一种服务,这就难以将成果量化进行评估,但是在某些方面也存在一些公认的评价体系,如软件外包领域内CMMI国际认证,这是对软件外包接包商能力的一种评价指标。另外,在考量接包方在客户信息保密等方面,国际国内客户基本都已经认同ISO27001信息安全管理体系(ISMS)认证,这是接包方在信息安全能力方面的评价框架。
3. 很大程度上依赖互联网和通信技术
目前国内外包业务大多数是离岸外包,双方合作关系的确立以及业务的发展必须依赖互联网和通信技术。对于互联网和通信技术的过分依赖使得服务外包又具有了一种新的风险,通信网络的中断将导致业务的中断。
服务外包企业的信息安全建设在政府政策的鼓励以及客户的要求的下,信息安全管控水平不断提高,ISO27001信息安全管理体系(ISMS)认证在外包企业也是强劲发展,尽管到目前为止,通过认证的企业的绝对数不大,但是发展很快,从下图我们可以看出:
而对于这些数据贡献,绝大部分是来自服务外包企业。尽管如此,但是服务外包企业对信息安全管理还是存在着较多误区,主要几点归纳如下。
1. 信息安全认识误区
尽管国内的外包行业有将近10年度发展历史,但是大的外包公司还不多,外包业务主要还是集中在软件外包,而软件外包的客户主要是做日韩企业。日韩客户一般对信息安全的要求都比较高,国内外包企业这么多年在与客户打交道时,在客户的要求,不断提高企业自身的信息安全控制水平,但是在外包企业信息安全建设的过程中,出现了这样或那样的对信息安全建设的误区,其中的原因有迫于客户的压力来提升企业信息安全管理水平,主动性要求不高,企业自身在信息安全方面的积累也不多,另外也有一些外包企业急功近利,为了迎合客户的要求而仅仅做做表面文章。
(1) 安全防御的重点是来自外部的攻击
由于媒体的报道以及一些安全产品厂商为了自身业务的需要而做的一些错误的引导,导致外包企业,甚至其他行业的公司都认为企业所面临的威胁主要是来自外界。各类安全威胁中,企业最重视哪3类?据《信息周刊》的调查来看,病毒和蠕虫,间谍软件,垃圾邮件3类威胁一直高居榜首。但是依据此3类威胁部署的企业信息安全方案将仅限于信息安全产品的老三样—防病毒、防火墙和IDS的老路上。实际上,企业内部数据安全的危害性正在日益上升,如未经授权的雇员对文件或数据的访问、带有公司数据的可移动设备遗失或失窃等,恶意员工故意破坏信息系统甚至泄漏企业机密等,但是这一点还没有引起企业足够的重视。
信息技术市场调研公司高德纳公司(Gartner)早些时候曾进行信息安全事件的调查,发现有70%以上的事故是企业内部所导致的。其实我们仔细想想并平时多留言一下自己身边的事情,我们不难发现,容量很大、携带方便的便携式的移动设备,比如U盘、手机、iPod等用在存取数据时经常在不知不觉中,就充当了病毒的传播者。更可怕的是,小巧且读写快速很快的U盘能在短短几秒钟之内把企业和核心机密拷走而不被人发现。
对于服务外包企业来说,由于人员的高素质,特别是对于IT服务外包的企业,大多数员工都具有良好的IT知识和技能,利用IT系统做出不利于公司的欺诈和泄密事件,可能将更隐蔽和轻车熟路。这对于外包公司来说,无疑是个很大的威胁。
针对这个问题,我想外包企业应该首先要提高认识,把信息安全防御的重点从外部防御转向内部教育和防范。加强对员工的信息安全意识教育,培训员工具备基本的安全技能。另外,从数据保密的角度上来,对于重要机密信息,应做好加密的技术措施。
(2) 好的信息安全就是不出安全事故
以是否发生安全事故作为企业信息安全工作好坏的衡量标准,使得信息安全工作限于十分被动的位置,这主要体现在两个方面,一方面是对企业领导来说,特别是这些服务外包公司而言,由于很多公司的业务发展也没几年,而且也没有成为外部威胁主动攻击的对象,这不像银行系统,因此发生足以引起领导层重视的信息安全事件不多,有些企业甚至没有,所以,企业领导就盲目的认为公司当前信息安全防范工作已经足够,无须再投入更多的人力和物力来加强企业的信息安全建设;另外一个方面是对企业内部直接负责维护信息安全的IT部门来说,他们将面临着巨大的压力,因为谁又能保证百分百不出安全事故呢?
其实,之所以这么认为,是没有正确认识的信息安全。世上万事万物不是绝对的,信息安全的处理应该遵循风险管理的原则和方法。安全事件的发生与否也应该以风险的方式来处理。对于某个可能发生的安全事件,分析导致其发生的根本原因,发生的可能性以及可能造成的后果,再判断将要采取的应对措施的有效性以及成本,根据企业风险的可接受水平,做出合理的风险处置方案。
(3) 头疼医头就足够了
企业安全管理过于分散也是不容忽视的问题。信息安全在国内的发展以及市场上也不乏优良的安全技术,但其部署往往是头痛医头,脚痛医脚”,彼此间不能妥善协作,这不但会造成资源浪费,还会在安全部署上留下漏洞。这种技术产品上处理问题的方式给企业对信息安全问题的解决的认识带来如此的偏见。在信息安全管理方面,也是同样存在同样的问题。
针对这个问题,提高认识当然是当务之急,但是要落实变成可执行的制度和流程,那么外包企业需要制定整体信息安全战略、业务持续及灾难恢复战略和计划、配置架构的标准和流程以及致力于知识产权和信息保护的政策和流程,并执行定期的穿透测试、威胁和弱点评估及风险评估。
2. ISO27001认证是面子工程
企业通过ISO27001认证予以相应的补贴是政府鼓励企业通过企业获得国际认证,这是提升国内服务外包企业整体形象的有力途径,也是企业获得更多的外包业务的有力条件之一。但是ISO27001信息安全管理体系(ISMS)认证当前在某些企业成了名副其实的面子工程。对于标准认证这点,可能是很多从事国际国内认证标准的专业人士心头的痛,ISO9001质量体系认证在国内的情况就是一个例子。对国际标准认证认识的误区无疑将影响认证产业的健康发展,同时也让企业对国际标准的作用产生的怀疑甚至轻视。造成这种局面,体制、文化等方面因素在此我就不多做分析,这本身比较复杂,也不是本文的出发点,我想还是从管理体系标准自身的特点来看,目前当前国际上大部分的管理体系标准都源自于英国标准,而这些管理体系的核心思想是PDCA(Plan,Do,Check ,Act)的流程方法,PDCA模型本质是改进模型而不是状态模型,认证公司给企业颁发ISO27001认证证书的最低标准是该企业是否已经建立了PDCA的改进体制以及相配套的制度和流程,而不是这家企业的信息安全防范水平已经达到了某个等级。这不同于给学生授予优秀学生称号是以该学生德智体达到某个要求,而不是该学生相比自己的过去有进步就行了。
PDCA循环又名戴明环,威廉。爱德华。戴明上个世纪五十年代提出的,主要为解决问题的过程提供一个简便易行的方法。1950年,戴明到日本担任产业界的讲师及顾问,其间大力推广企业在持续改善的过程中运用PDCA循环,这个方法重塑了日本产业制度,塑造了风靡世界的日本企业管理模式。
对于认证的这个误区,我们把眼光投到我们的邻国日本就明白我们真的错了。PDCA方法在日本的成功,我们完全有理由相信,PDCA是企业服务质量持续改善的良好方法。
3. 对信息安全”管理体系认识不足
信息安全管理体系(ISMS)遵循流程的方法,这与其他管理体系,比如在国内广泛实施的质量管理体系是一致的,都是按照PDCA的大的流程来运转和维护管理体系。而对于外包公司来说,由于企业没有复杂的IT应用系统和庞大的复杂网络设施,另外一个也是从成本考虑到角度,一般情况下企业的IT人员的配备不足,技术力量有限。特别是对于软件外包公司来说,为了软件开发的需要,在建立信息安全管理体系(ISMS)之前很多软件企业通过CMMI的认证来提升企业软件开发的能力,以获得发包企业对其开发能力的认可,因此,这些公司都由质量管理部按照CMMI的要求监控和审核软件开发质量,人力资源相对比较充足,因此,企业从整合管理体系节约成本的角度出发,信息安全管理体系(ISMS)也是由质量管理部推动、管理与维护。这本来也无可厚非,每个企业都有自身的管理水平,人员技能等或这或那的问题,外包企业也是如此。殊不知,信息安全管理体系(ISMS)其管理的对象是企业的信息安全风险,而信息安全风险有其专业特性,应该由企业内部IT条线的专业人员负责识别、评价和采取对应的控制措施。质量管理部尽管在体系维护方面经验比较多,但是缺乏的就是对信息系统,网络设备的技术特性的了解。
正确对待这个问题的办法应该是在综合考虑外包公司现有情况下,质量管理部履行信息安全管理体系(ISMS)的管理工作,制定和颁布信息安全策略,而IT 部门执行信息安全策略,IT部门识别和评价信息安全风险,并提出对应控制措施以及解决方案,质量管理负责审核方案。
大力发展服务外包产业,加速我国产品结构升级,完成从世界工厂”到世界服务”的华丽转变,这是我国产业发展的大局,而对于国内的服务外包公司来说,如何更好适应这个大势,使企业具有更强竞争力,必要途径之一是在信息安全管理方面,服务外包企业要切实正确认识信息安全,切实提升企业的信息安全管理水平。