中小企業(yè)安全外包管理與控制研究

[摘 要] 安全外包是近年來(lái)國(guó)外興起的一種服務(wù)形式，根據(jù)安全服務(wù)市場(chǎng)中出現(xiàn)的問(wèn)題，分析成因，從企業(yè)自身定位、外包流程規(guī)范、安全服務(wù)商選擇、服務(wù)內(nèi)容管理、與外包商關(guān)系管理等方面構(gòu)造安全服務(wù)框架，提出安全外包服務(wù)管理措施。

[關(guān)鍵詞] 安全外包 中小企業(yè) 管理與控制

安全外包是近年來(lái)國(guó)外興起的一種服務(wù)形式，CISCO等很多國(guó)際安全企業(yè)目前都已經(jīng)把安全外包服務(wù)作為其業(yè)務(wù)的重點(diǎn)來(lái)發(fā)展，并且實(shí)現(xiàn)了大量的盈利。據(jù)有關(guān)資料報(bào)道，2005年全球安全外包服務(wù)市場(chǎng)銷售額達(dá)到了50億美元左右，預(yù)計(jì)到2009年將達(dá)到80億美元，來(lái)自中型和小型企業(yè)組織的收入比例分別為30%和21%左右。我國(guó)中小企業(yè)約有1100萬(wàn)家，占到了企業(yè)總數(shù)的99％以上。權(quán)威調(diào)研機(jī)構(gòu)的信息安全調(diào)查報(bào)告顯示：針對(duì)中小企業(yè)的安全事件持續(xù)攀升，盡管在這方面的投入不斷增多，但情況依然難以令人樂(lè)觀。安全問(wèn)題成了各行各業(yè)的一個(gè)熱門(mén)話題。對(duì)企業(yè)來(lái)說(shuō)，如何管理安全性問(wèn)題不僅和業(yè)務(wù)有關(guān)，企業(yè)的聲譽(yù)、信任度以及內(nèi)部穩(wěn)定性都與安全有關(guān)。在電子商務(wù)環(huán)境下，對(duì)中、小企業(yè)來(lái)說(shuō)，“安全”的含義遠(yuǎn)不是企業(yè)網(wǎng)站是否遭受病毒、黑客的侵入那么簡(jiǎn)單，它還必須包括網(wǎng)站內(nèi)的信息、數(shù)據(jù)庫(kù)資料、在線交易等是否安全。然而，并不是所有的企業(yè)都有實(shí)力和精力安排專職人員做好本企業(yè)的信息安全建設(shè)，基于成本和技術(shù)考慮，安全外包成為更多企業(yè)明智的選擇。

一、安全外包服務(wù)中存在的問(wèn)題

從成本技術(shù)考慮，中小企業(yè)有強(qiáng)烈的外包欲望，但目前安全外包市場(chǎng)缺乏主導(dǎo)廠商，提供低端服務(wù)的小公司較多，提供的服務(wù)質(zhì)量參差不齊。各廠商往往打出各種“技術(shù)牌、概念牌、成功案例牌”，令企業(yè)眼花繚亂、真?zhèn)坞y辨。企業(yè)在評(píng)估和選擇外包服務(wù)方面沒(méi)有成熟的方法，難以做出正確的抉擇。分析目前安全外包市場(chǎng)，存在的主要問(wèn)題有以下幾點(diǎn)：

1.擔(dān)心信息泄漏。企業(yè)擔(dān)心安全服務(wù)公司接觸企業(yè)的關(guān)鍵業(yè)務(wù)數(shù)據(jù)，尤其是交易數(shù)據(jù)，容易發(fā)生信息泄密。

2.相關(guān)的法律法規(guī)不健全，不能有效地管理企業(yè)和安全服務(wù)外包方的契約關(guān)系。在沒(méi)有法律約束的情況下，外包維護(hù)管理質(zhì)量處于失控狀態(tài)，安全外包費(fèi)用增加。

3.外包服務(wù)商良莠不齊，導(dǎo)致企業(yè)面對(duì)眾多的安全產(chǎn)品不知道如何合理選擇，不知道如何選擇服務(wù)商。

4.很多企業(yè)用戶在把安全外包出去后，不知道如何正確管理和控制，以及怎樣維護(hù)和管理與外包商的關(guān)系。

5.中小企業(yè)的網(wǎng)絡(luò)或設(shè)備的使用人員的技術(shù)水平相對(duì)較低，很難與外包商提供的技術(shù)人員開(kāi)展溝通，以至于使服務(wù)的有效程度打了折扣。

二、問(wèn)題分析

企業(yè)對(duì)外包的需求非常急迫，外包市場(chǎng)前景廣闊。國(guó)外廠商看準(zhǔn)了我國(guó)安全潛在龐大市場(chǎng)，加緊攻城掠地。來(lái)自IDC的調(diào)查顯示，思科、網(wǎng)屏、安氏、冠群等著名外資網(wǎng)絡(luò)安全廠商等均已進(jìn)入中國(guó)市場(chǎng)。面對(duì)國(guó)外公司緊逼的態(tài)勢(shì)，國(guó)內(nèi)企業(yè)早在一兩年前就提出以服務(wù)促發(fā)展的概念，但提供何種服務(wù)、如何提供、服務(wù)的質(zhì)量標(biāo)準(zhǔn)是什么等問(wèn)題仍困擾服務(wù)商。從前面出現(xiàn)的問(wèn)題表象看，原因由以下幾個(gè)方面造成的：

1.企業(yè)外包決策盲目。很多企業(yè)想做外包時(shí)沒(méi)有考慮是否一定要外包，盲目跟風(fēng)，外包哪些內(nèi)容不清楚，安全目標(biāo)定位不明確，擔(dān)心目標(biāo)定位低，加上服務(wù)縮水，不能滿足需求，會(huì)人為地把服務(wù)需求提得很高，于是造成支出費(fèi)用增加。

2.缺乏可信任的第三方中介機(jī)構(gòu)。因?yàn)闆](méi)有可信任的第三方，缺失三種角色：一是認(rèn)證，安全服務(wù)商的資質(zhì)、財(cái)務(wù)情況的認(rèn)證；二是監(jiān)督，對(duì)安全服務(wù)商進(jìn)行監(jiān)督，企業(yè)的關(guān)鍵信息泄漏，安全服務(wù)商必須受到處罰；三是中介，供需撮合的作用，彌補(bǔ)外包服務(wù)商與企業(yè)溝通不足。

3.缺乏面向整個(gè)服務(wù)過(guò)程的管理框架。安全外包服務(wù)是一個(gè)以了解用戶需求開(kāi)始，以解決安全隱患，并獲得反饋，不斷改進(jìn)的循環(huán)往復(fù)的動(dòng)態(tài)過(guò)程。Meta數(shù)據(jù)顯示，僅有58%外包安全服務(wù)的企業(yè)會(huì)通過(guò)責(zé)任、流程、安全標(biāo)準(zhǔn)和未達(dá)到合同要求時(shí)的罰金等對(duì)其合作伙伴進(jìn)行適當(dāng)?shù)目刂?，因此需要?guī)范服務(wù)框架。

4.缺乏服務(wù)商選擇、關(guān)系管理機(jī)制。不同品牌的安全服務(wù)商提供的產(chǎn)品質(zhì)量、服務(wù)、風(fēng)險(xiǎn)無(wú)法簡(jiǎn)單比較，在選擇時(shí)應(yīng)從品牌、服務(wù)、產(chǎn)品質(zhì)量、存在的風(fēng)險(xiǎn)等方面綜合考慮。

三、安全外包的管理與控制

1.安全外包決策

在考慮外包時(shí)一定要考慮選擇外包后能否解決本企業(yè)的安全問(wèn)題，是否會(huì)產(chǎn)生企業(yè)無(wú)法控制的問(wèn)題？從企業(yè)的內(nèi)部環(huán)境考慮，需要外包的企業(yè)一般具有如下特點(diǎn):(1)布局分散廣，支持響應(yīng)要求較高;(2)發(fā)展速度較快的成長(zhǎng)型企業(yè);(3)對(duì)信息化要求高;(4)對(duì)信息化成本控制嚴(yán)格;(5)注重核心競(jìng)爭(zhēng)力得企業(yè)。

企業(yè)布局分散，安全管理難度高，自己維護(hù)成本高，外包可以提高服務(wù)水平；發(fā)展速度快的企業(yè)要使安全與企業(yè)發(fā)展同步，在技術(shù)人員的培訓(xùn)上需要耗費(fèi)的資金比較多，外包給專業(yè)的公司可以節(jié)約資金；信息化要求程度高，成本控制嚴(yán)格的企業(yè)通過(guò)外包可以降低維護(hù)成本，提高服務(wù)水平，專注于核心競(jìng)爭(zhēng)力的提高。因此在考慮是否需要外包時(shí)，先要考慮企業(yè)的性質(zhì)及內(nèi)部環(huán)境。

2.安全服務(wù)工作流程管理

為使安全外包活動(dòng)能夠正常運(yùn)轉(zhuǎn)，需要執(zhí)行正確地外包步驟。安全外包的主要步驟為：定義安全需求、確定外包內(nèi)容、組成外包小組、選擇外包商、簽訂合同和外包管理。在第三方中介機(jī)構(gòu)參與下，借助于信息化平臺(tái)，安全服務(wù)流程可改進(jìn)為：

(1)企業(yè)用戶確定安全服務(wù)目標(biāo)，發(fā)布安全需求。主要確定服務(wù)目標(biāo)、范圍、服務(wù)水平，通過(guò)第三方中介平臺(tái)發(fā)布安全需求。

(2)安全服務(wù)商提出服務(wù)申請(qǐng)。安全服務(wù)商向第三方提交資質(zhì)證書(shū)接受認(rèn)證，通過(guò)認(rèn)證后可以向企業(yè)提交服務(wù)申請(qǐng)。

(3)企業(yè)接受申請(qǐng)。企業(yè)成立外包小組，接受服務(wù)商的申請(qǐng)，按照綜合因素評(píng)價(jià)服務(wù)商，給出服務(wù)商選擇建議。

(4)網(wǎng)絡(luò)安全工程師上門(mén)現(xiàn)場(chǎng)了解企業(yè)網(wǎng)絡(luò)安全環(huán)境， 根據(jù)企業(yè)實(shí)際情況提供初步解決方案。

(5)雙方借助于平臺(tái)初步協(xié)商。服務(wù)商通過(guò)平臺(tái)提交安全方案，雙方借助于平臺(tái)初步協(xié)商。

(6)雙方洽談服務(wù)協(xié)議條款及外包服務(wù)內(nèi)容。第三方中介給出雙方可以洽談的內(nèi)容，起到供需撮合功能。

(7)按照服務(wù)框架，簽署安全外包協(xié)議。第三方中介根據(jù)洽談的內(nèi)容和安全方案給出合同框架。

(8)協(xié)議生效后，網(wǎng)絡(luò)安全工程師按協(xié)議規(guī)定時(shí)間及維護(hù)內(nèi)容開(kāi)始提供服務(wù)。

(9)每次服務(wù)結(jié)束，填寫(xiě)有關(guān)文件，確認(rèn)服務(wù)效果。

安全服務(wù)是一種特殊的商品，不但要滿足企業(yè)的安全功能，而且要面向企業(yè)快速反應(yīng)。在第三方中介平臺(tái)參與下的服務(wù)流程符合電子商務(wù)交易的特點(diǎn)，能有效消除企業(yè)和服務(wù)商的洽談?wù)系K。

3.外包服務(wù)商的選擇與管理

企業(yè)和外包商簽訂的合同一般時(shí)間比較長(zhǎng)，合同期間安全技術(shù)、服務(wù)水平、企業(yè)環(huán)境會(huì)發(fā)生很大變化，因此要從戰(zhàn)略的高度，綜合考慮服務(wù)商的內(nèi)部、外部因素做出決策。外部因素有：服務(wù)商的品牌、發(fā)展前景、業(yè)界地位。內(nèi)部因素有：運(yùn)營(yíng)狀態(tài)、財(cái)務(wù)狀況、受政策影響情況。主要評(píng)價(jià)參數(shù)為：服務(wù)級(jí)別、資金、品牌、存在風(fēng)險(xiǎn)等方面，服務(wù)商分類評(píng)價(jià)如表1所示。

在上述評(píng)價(jià)參數(shù)中，首要考慮的是服務(wù)商的服務(wù)，其次是服務(wù)商的財(cái)務(wù)狀況，這決定服務(wù)商能否持久服務(wù)，服務(wù)商的產(chǎn)品是否受國(guó)家政策影響，是考慮風(fēng)險(xiǎn)大小的一個(gè)方面，此外還要考慮外包組織的管理、與企業(yè)的戰(zhàn)略目標(biāo)的配合度等因素。

4.服務(wù)框架設(shè)計(jì)

安全服務(wù)協(xié)議是規(guī)范安全服務(wù)的準(zhǔn)繩，必須有足夠的權(quán)限來(lái)保證安全工作的開(kāi)展，要規(guī)定服務(wù)商不能接觸到哪些系統(tǒng)，對(duì)授予服務(wù)商的權(quán)限有安全感，一旦出現(xiàn)機(jī)密信息泄密，要有行政懲罰措施。在簽定協(xié)議時(shí)候，要對(duì)提供服務(wù)的人員有一定要求，如詳細(xì)名單，這些人的資質(zhì)、背景等。否則，招標(biāo)時(shí)提供的名單，在實(shí)際服務(wù)時(shí)，可能全部被換掉了，這也是需要加以控制的問(wèn)題。如果這些人員變更了，要有一定的補(bǔ)救措施，對(duì)此企業(yè)應(yīng)該進(jìn)行詳細(xì)規(guī)定。服務(wù)內(nèi)容及服務(wù)標(biāo)準(zhǔn)如表2所示。

在安全外包中，“控制權(quán)的喪失”是最大的風(fēng)險(xiǎn)，要避免由于安全外包而被第三方控制，在外包協(xié)商階段要制訂詳盡的服務(wù)標(biāo)準(zhǔn)、服務(wù)等級(jí)、響應(yīng)能力等執(zhí)行的細(xì)節(jié)，并對(duì)規(guī)則之外的事件做好約定。在第三方中介支持下的外包可以從眾多安全外包服務(wù)中挖掘管理控制規(guī)則不斷完善管理框架。

四、結(jié)束語(yǔ)

安全外包作為IT外包的一個(gè)最為核心的部分，正隨著IT外包的發(fā)展而不斷展開(kāi)。不論從理論上還是技術(shù)上都是可行的，綜合成本和收益的角度考慮，也是經(jīng)濟(jì)的。盡管在實(shí)施中還會(huì)出現(xiàn)這樣那樣的問(wèn)題，但安全外包終會(huì)成為未來(lái)企業(yè)解決安全問(wèn)題的一種趨勢(shì)。隨著第三方認(rèn)證和相關(guān)的標(biāo)準(zhǔn)和立法也逐漸出臺(tái)，從更高層次去管理和規(guī)范雙方的行為，提升外包的信度和效度。信息安全外包會(huì)能突破其發(fā)展中的瓶頸，給企業(yè)和社會(huì)帶來(lái)可觀的效益。

參考文獻(xiàn):

[1]張勇謙:網(wǎng)絡(luò)安全外包服務(wù)市場(chǎng)分析[D].北京:北京郵電大學(xué).2007

[2]胡克瑾:信息安全外包的控制與管理框架的研究[D].上海:同濟(jì)大學(xué).2006

[3]王 鶴:安全外包評(píng)估企業(yè)風(fēng)險(xiǎn)[J].中國(guó)計(jì)算機(jī)用戶，2006(12):77