浅谈外包企业信息安全管理误区本文编者：北京谷安天下科技有限公司网址：www.gooann.com地址：北京市海淀区中关村南大街2号数码大厦A座806电话：010-51626887（北京）021-51379800（上海）0755-82024056（深圳）0991-6999166（新疆）手机：13581709033www.gooann.com1浅谈外包企业信息安全管理误区作者：陈岌谷安天下咨询经理自从商务部推出服务外包“千百十工程”之后，在政府政策的大力扶持之下，国内外包产业发展的如火如荼，为了能够承接更多高端服务，满足客户的要求，商务部同时鼓励外包企业通过国际认证以获得更好的竞争力和良好的企业形象。ISO27001信息安全管理体系（ISMS）认证在此背景下，在外包公司得到了比较广泛的认可。越来越多的外包公司已经实施、或者计划实施ISO27001认证，本人作为信息安全管理体系（ISMS）的咨询顾问，在广泛接触这些外包公司，以及企业各级人员后，总的一个感觉就是很多外包企业对信息安全管理存在一些或这或那不正确的认识，这种认识将阻碍企业建立有效的、合规的信息安全管理体系（ISMS），阻碍企业信息安全工作的良性发展，甚至可能将阻碍企业业务发展。本文将主要阐述外包企业信息安全管理的误区，以及针对这些误区的对策。为了更好地理解外包企业信息安全的需要，我将首先简要分析一下服务外包业务的特点。当然，由于信息安全是本文的发力点，仅仅分析列出与信息安全相关的业务特点：1.知识密集型，对人才的要求很好外包服务属于知识型密集产业，很多业务都需要从业人员有相关的培训教育经历和丰富的实践经验，与制造业有很大区别。因此外包需要的人力资源要求就高，而外包业务恰恰依赖的就是人。2.外包成果无形化，难以量化评估外包最终的成果多数并非是实物化产品，而是一种服务，这就难以将成果量化进行评估，但是在某些方面也存在一些公认的评价体系，如软件外包领域内CMMI国际认证，这是对软件外包接包商能力的一种评价指标。另外，在考量接包方在客户信息保密等方面，国际国内客户基本都已经认同ISO27001信息安全管理体系（ISMS）认证，这是接包方在信息安全能力方面的评价框架。3.很大程度上依赖互联网和通信技术目前国内外包业务大多数是离岸外包，双方合作关系的确立以及业务的发展必须依赖互联网和通信技术。对于互联网和通信技术的过分依赖使得服务外包又具有了一种新的风险，通信网络的中断将导致业务的中断。服务外包企业的信息安全建设在政府政策的鼓励以及客户的要求下，信息安全管控水平www.gooann.com2不断提高，ISO27001信息安全管理体系（ISMS）认证在外包企业也是强劲发展，尽管到目前为止，通过认证的企业的绝对数量不大，但是发展很快，从下图我们可以看出：数据来源于ISMSInternationalUserGroup而对于这些数据贡献，绝大部分是来自服务外包企业。尽管如此，但是服务外包企业对信息安全管理还是存在着较多误区，主要几点归纳如下。1.信息安全认识误区尽管国内的外包行业有将近10年发展历史，但是大的外包公司还不多，外包业务主要还是集中在软件外包，而软件外包的客户主要是做日韩企业。日韩客户一般对信息安全的要求都比较高，国内外包企业这么多年在与客户打交道时，在客户的要求，不断提高企业自身的信息安全控制水平，但是在外包企业信息安全建设的过程中，出现了这样或那样的对信息安全建设的误区，其中的原因有迫于客户的压力来提升企业信息安全管理水平，主动性要求不高，企业自身在信息安全方面的积累也不多，另外也有一些外包企业急功近利，为了迎合客户的要求而仅仅做做表面文章。(1)安全防御的重点是来自外部的攻击由于媒体的报道以及一些安全产品厂商为了自身业务的需要而做的一些错误的引导，导致外包企业，甚至其他行业的公司都认为企业所面临的威胁主要是来自外界。各类安全威胁中，企业最重视哪3类？据《信息周刊》的调查来看，病毒和蠕虫、间谍软件、垃圾邮件3类威胁一直高居榜首。但是依据此3类威胁部署的企业信息安全方案将仅限于信息安全产品的老三样——防病毒、防火墙和IDS的老路上。实际上，企业内部数据安全的危害性正在日益上升，如未经授权的雇员对文件或数据的访问、带有公司数据的可移动设备遗失或失窃等，www.gooann.com3恶意员工故意破坏信息系统甚至泄漏企业机密等，但是这一点还没有引起企业足够的重视。信息技术市场调研公司高德纳公司(Gartner)早些