全球专业中文经管百科,由121,994位网友共同编写而成,共计436,007个条目

信息安全外包

用手机看条目

出自 MBA智库百科(https://wiki.mbalib.com/)

信息安全外包(Information Security Outsourcing Service)

  信息安全外包是指客戶將全部或部分信息安全工作指定專業性公司完成的服務模式。

目錄

信息安全外包的優勢

  信息安全外包的優勢:

  1、安全公司更具有技術優勢

  安全公司擁有專業的安全團隊,擁有通暢的信息渠道,擁有廣泛可靠的廠商支持,而更多的專業技術領域的技術力量,更能全面保障信息安全

  2、安全公司更能提供及時可靠的信息保障

  安全公司對每一個公司都有一套信息保障方案,24×7的服務時間,合理的操作流程,規範的安全策略,積極的應對方案都將保證信息安全服務的及時性、可靠性

   3、安全公司更具價格優勢

  相比較而言,安全公司提供的信息安全服務收費並不比聘用專職人員高,而往往是既給客戶提供高質量的服務,又給客戶節約了信息安全保障成本

  4、安全公司不存在上述專人維護的所有弊端

信息安全外包的風險[1]

  信任風險

  企業是否能與信息安全服務的外包商建立良好的工作和信任關係,仍是決定時候將安全服務外包的一個重要因素。因為信息安全的外包商可以訪問到企業的敏感信息,並全面瞭解其企業和系統的安全狀況,而這些重要的信息如果被有意或無意地對公眾散播出去,則會對企業造成巨大的損害。並且,如若企業無法信任外包商,不對外包商提供一些關鍵信息的話,則會造成外包商在運作過程中的信息不完全,從而導致某些環節的失效,這也會對服務質量造成影響。因此,信任是雙方合作的基礎,也是很大程度上風險規避的重點內容。

  依賴風險

  企業很容易對某個信息安全服務的外包商產生依賴性,並受其商業變化、商業伙伴和其他企業的影響,恰當的風險緩釋方法是將安全服務外包給多個服務外包商,但相應地會加大支出並造成管理上的困難,企業將失去三種靈活性:第一種是短期靈活性,即企業重組資源的能力以及在經營環境發生變化時的應變能力;第二種是適應能力,即在短期到中期的事件範圍內所需的靈活性,這是一種以新的方式處理變革而再造業務流程戰略能力再造能力即包括了信息技術;第三種靈活性就是進化性,其本質是中期到長期的靈活性,它產生於企業改造技術基本設施以利用新技術的時期。進化性的獲得需要對技術趨勢、商業趨勢的準確預測和確保雙方建立最佳聯盟的能力。

  所有權風險

  不管外包商提供服務的範圍如何,企業都對基礎設施的安全操作和關鍵資產的保護持有所有權責任。企業必須確定服務外包商有足夠的能力承擔職責,並且其服務級別協議條款支持這一職責的履行。正確的風險緩釋方法是讓包括員工和管理的各個級別的相關人員意識到,應該將信息安全作為其首要責任,併進行安全培訓課程,增強常規企業的安全意識。

  共用環境風險

  信息安全服務的外包商使用的向多個企業提供服務的操作環境要比單獨的機構內部環境將包含更多的風險,因為共用的操作環境將支持在多企業之間共用數據傳輸(如公共網路)或處理(如通用伺服器),這將會增加一個企業訪問另一企業敏感信息的可能性。這對企業而言也是一種風險。

  實施過程風險

  啟動一個可管理的安全服務關係可能引起企業到服務外包商,或者一個服務外包商到另一個外包商之間的人員、過程、硬體、軟體或其他資產的複雜過渡,這一切都可能引起新的風險。企業應該要求外包商說明其高級實施計劃,並註明完成日期和所用時間。這樣在某種程度上就對實施過程中風險的時間期限做出了限制。

  合作關係失敗將導致的風險

  如果企業和服務商的合作關係失敗,企業將面臨極大的風險。合作關係失敗帶來的經濟損失、時間損失都是不言而喻的,而這種合作關係的失敗歸根究底來自於企業和服務外包商之間的服務計劃不夠充分完善以及溝通與交流不夠頻繁。這種合作關係在任何階段都有可能失敗,如同其他商業關係一樣,它需要給予足夠的重視、關註,同時還需要合作關係雙方進行頻繁的溝通。

信息安全外包的管理框架[1]

  要進行成功的信息安全外包活動,就要建立起一個完善的管理框架,這對於企業實施和管理外包活動協調與外包商的關係,最大可能降低外包風險,從而達到外包的目的是十分重要的。信息安全外包的管理框架的內容分為幾個主體部分,分別包括企業協同信息安全的外包商確定企業的信息安全的方針以及信息安全外包的安全標準,然後是對企業遭受的風險進行系統的評估.並根據方針和風險程度.決定風險管理的內容並確定信息安全外包的流程。之後,雙方共同制定適合企業的信息安全外包的控制方法,協調優化企業的信息安全相關部門的企業結構,同時加強管理與外包商的關係。

信息安全外包風險管理的實施[1]

  制定信息安全方針

  信息安全方針在很多時候又稱為信息安全策略,信息安全方針指的是在一個企業內,指導如何對資產,包括敏感性信息進行管理、保護和分配的指導或者指示。信息安全的方針定義應該包括:(1)信息安全的定義,定義的內容包括信息安全的總體目標、信息安全具體包括的範圍以及信息安全對信息共用的重要性;(2)管理層的目的的相關闡述;(3)信息安全的原則和標準的簡要說明,以及遵守這些原則和標準對企業的重要性;(4)信息安全管理總體性責任的定義。在信息安全方針的部分只需要對企業的各個部門的安全職能給出概括性的定義,而具體的信息安全保護的責任細節將留至服務標準的部分來闡明。

  選擇信息安全管理的標準

  信息安全管理體系標準BS7799與信息安全管理標準IS013335是目前通用的信息安全管理的標準:

  (1)BS7799:BS7799標準是由英國標準協會指定的信息安全管理標準,是國際上具有代表性的信息安全管理體系標準,標準包括如下兩部分:BS7799-1;1999《信息安全管理實施細則》;BS7799-2:1999((信息安全管理體系規範》。

  (2)IS013335:IS013335《IT安全管理方針》主要是給出如何有效地實施IT安全管理的建議和指南。該標準目前分為5個部分,分別是信息技術安全的概念和模型部分;信息技術安全的管理和計劃部分;信息技術安全的技術管理部分;防護和選擇部分以及外部連接的防護部分。

  確定信息安全外包的流程

  企業要根據企業的商業特性、地理位置、資產和技術來對信息安全外包的範圍進行界定。界定的時候需要考慮如下兩個方面:(1)需要保護的信息系統、資產、技術;(2)實物場所(地理位置、部門等)。信息安全的外包商應該根據企業的信息安全方針和所要求的安全程度,識別所有需要管理和控制的風險的內容。企業需要協同信息安全的外包商選擇一個適合其安全要求的風險評估風險管理方案,然後進行合乎規範的評估,識別目前面臨的風險。企業可以定期的選擇對服務外包商的站點和服務進行獨立評估,或者在年度檢查中進行評估。選擇和使用的獨立評估的方案要雙方都要能夠接受。在達成書面一致後,外包商授予企業獨立評估方評估許可權,並具體指出評估者不能泄露外包商或客戶的任何敏感信息。給外包商提供關於檢查範圍的進一步消息和細節,以減少任何對可用性,服務程度,客戶滿意度等的影響。在評估執行後的一段特殊時間內,與外包商共用結果二互相討論並決定是否需要解決方案和/或開發計劃程式以應對由評估顯示的任何變化。評估所需要的相關材料和文檔在控制過程中都應該予以建立和保存,企業將這些文檔作為評估的重要工具,對外包商的服務績效進行考核。評估結束後,對事件解決方案和優先順序的檢查都將記錄在相應的文件中,以便今後雙方在服務和信息安全管理上進行改進。

  制定信息安全外包服務的控制規則

  依照信息安全外包服務的控制規則,主要分為三部分內容:第一部分定義了服務規則的框架,主要闡明信息安全服務要如何執行,執行的通用標準和量度,服務外包商以及各方的任務和職責;第二部分是信息安全服務的相關要求,這個部分具體分為高層服務需求;服務可用性;服務體繫結構;服務硬體和服務軟體;服務度量;服務級別;報告要求,服務範圍等方面的內容;第三部分是安全要求,包括安全策略、程式和規章制度;連續計劃;可操作性和災難恢復;物理安全;數據控制;鑒定和認證;訪問控制;軟體完整性;安全資產配置;備份;監控和審計;事故管理等內容。

   信息安全外包的企業結構管理具體的優化方案如下:

  (1)首席安全官:CSO是公司的高層安全執行者,他需要直接向高層執行者進行工作彙報,主要包括:首席執行官、首席運營官首席財務官、主要管理部門的領導、首席法律顧問。CSO需要監督和協調各項安全措施在公司的執行情況,並確定安全工作的標準和主動性,包括信息技術、人力資源、通信、法律、設備管理等部門。

  (2)安全小組:安全小組的人員組成包括信息安全外包商的專業人員以及客戶企業的內部IT人員和信息安全專員。這個小組的任務主要是依照信息安全服務的外包商與企業簽訂的服務控制規則來進行信息安全的技術性服務

  (3)管理委員會:這是信息安全服務外包商和客戶雙方高層解決問題的機構。組成人員包括雙方的首席執行官,客戶企業的CIO和CSO,外包商的項目經理等相關的高層決策人員。這個委員會每年召開一次會議,負責審核年度的服務水平、企業的適應性、評估結果、關係變化等內容。

  (4)咨詢委員會: 咨詢委員會的會議主要解決計劃性問題。如服務水平的變更,新的技術手段的應用,服務優先等級的更換以及服務的財政問題等,咨詢委員會的成員包括企業內部的 TI’人員和安全專員,還有財務部門、人力資源部門、業務部門的相關人員,以及外包商的具體項目的負責人。

  (6)安全工作組:安全工作組的人員主要負責解決信息安全中某些特定的問題,工作組的人員組成也是來自服務外包商和企業雙方。工作組與服務交換中心密切聯繫,將突出的問題組建成項目進行解決,並將無法解決的問題提交給咨詢委員會。

  (7)服務交換中心:服務交換中心由雙方人員組成,其中主要人員是企業內部的各個業務部門中與信息安全相關的人員。他們負責聯絡各個業務部門,發掘出企業中潛在的信息安全的問題和漏洞,並將這些問題報告給安全工作組。

  (8)指令問題管理小組:這個小組的人員組成全部為企業內部人員,包括信息安全專員以及各個業務部門的負責人。在安全小組的技術人員解決了企業中的安全性技術問題之後,或者,是當CSO發佈了關於信息安全的企業改進方案之後,這些解決方案都將傳送給指令問題管理小組,這個小組的人員經過學習討論後,繼而將其發佈到各個業務部門。

  (9)監督委員會:這個委員會全部由企業內部人員組成。負責對外包商的服務過程的監督。

  管理與外包商的關係

  管理好與外包商之間的關係,意味著企業應致力於和外包商建立長期合作關係,這將有助於安全服務的外包商更多地瞭解企業文化,從而提供更好的服務。在管理與外包商關係的過程中,企業應該在註重監督與控制的同時,同樣註重對外包商的激勵協作。以建立良好的可發展的關係為關係管理的基礎。保持外包商行為規範的基本方法就是監督和控制。監督是用來觀察外包商是否在做他應該做的事情。如果通過監督發現外包商正在偏離預定的行為目標,此時就需要控制,控制就是使外包商返回到正確的軌道上去。在有了控制規則來規範外包商服務績效之後,要保持外包商和企業客戶經常的溝通,以便能夠及時發現問題,進行標準化控制活動

參考文獻

  1. 1.0 1.1 1.2 李銘.信息安全外包的風險與管理.統計與決策.2008年第11期
 
本條目對我有幫助0
MBA智库APP

扫一扫,下载MBA智库APP

分享到:
  如果您認為本條目還有待完善,需要補充新內容或修改錯誤內容,請編輯條目投訴舉報

本条目由以下用户参与贡献

Zxe,Dan,鲈鱼,Yixi,HEHE林,KAER,连晓雾,Lin,寒曦,Tracy,Mis铭,刘维燎.

評論(共0條)

提示:評論內容為網友針對條目"信息安全外包"展開的討論,與本站觀點立場無關。

發表評論請文明上網,理性發言並遵守有關規定。

打开APP

以上内容根据网友推荐自动排序生成

下载APP

闽公网安备 35020302032707号