24周年

財(cái)稅實(shí)務(wù) 高薪就業(yè) 學(xué)歷教育
APP下載
APP下載新用戶掃碼下載
立享專屬優(yōu)惠

安卓版本:8.7.20 蘋果版本:8.7.20

開發(fā)者:北京正保會(huì)計(jì)科技有限公司

應(yīng)用涉及權(quán)限:查看權(quán)限>

APP隱私政策:查看政策>

HD版本上線:點(diǎn)擊下載>

信息安全外包的風(fēng)險(xiǎn)

來源: 李銘 編輯: 2010/09/21 15:23:26  字體:

  論文摘要:文章首先分析了信息安全外包存在的風(fēng)險(xiǎn),根據(jù)風(fēng)險(xiǎn)提出信息安全外包的管理框架,并以此框架為基礎(chǔ)詳細(xì)探討了信息安全外包風(fēng)險(xiǎn)與管理的具體實(shí)施。文章以期時(shí)信息安全外包的風(fēng)險(xiǎn)進(jìn)行控制,并獲得與外包商合作的最大收益。

  1 信息安全外包的風(fēng)險(xiǎn)

  1.1信任風(fēng)險(xiǎn)

  企業(yè)是否能與信息安全服務(wù)的外包商建立良好的工作和信任關(guān)系,仍是決定時(shí)候?qū)踩?wù)外包的一個(gè)重要因素。因?yàn)樾畔踩耐獍炭梢栽L問到企業(yè)的敏感信息,并全面了解其企業(yè)和系統(tǒng)的安全狀況,而這些重要的信息如果被有意或無意地對(duì)公眾散播出去,則會(huì)對(duì)企業(yè)造成巨大的損害。并且,如若企業(yè)無法信任外包商,不對(duì)外包商提供一些關(guān)鍵信息的話,則會(huì)造成外包商在運(yùn)作過程中的信息不完全,從而導(dǎo)致某些環(huán)節(jié)的失效,這也會(huì)對(duì)服務(wù)質(zhì)量造成影響。因此,信任是雙方合作的基礎(chǔ),也是很大程度上風(fēng)險(xiǎn)規(guī)避的重點(diǎn)內(nèi)容。

  1.2依賴風(fēng)險(xiǎn)

  企業(yè)很容易對(duì)某個(gè)信息安全服務(wù)的外包商產(chǎn)生依賴性,并受其商業(yè)變化、商業(yè)伙伴和其他企業(yè)的影響,恰當(dāng)?shù)娘L(fēng)險(xiǎn)緩釋方法是將安全服務(wù)外包給多個(gè)服務(wù)外包商,但相應(yīng)地會(huì)加大支出并造成管理上的困難,企業(yè)將失去三種靈活性:第一種是短期靈活性,即企業(yè)重組資源的能力以及在經(jīng)營環(huán)境發(fā)生變化時(shí)的應(yīng)變能力;第二種是適應(yīng)能力,即在短期到中期的事件范圍內(nèi)所需的靈活性,這是一種以新的方式處理變革而再造業(yè)務(wù)流程和戰(zhàn)略的能力,再造能力即包括了信息技術(shù);第三種靈活性就是進(jìn)化性,其本質(zhì)是中期到長期的靈活性,它產(chǎn)生于企業(yè)改造技術(shù)基本設(shè)施以利用新技術(shù)的時(shí)期。進(jìn)化性的獲得需要對(duì)技術(shù)趨勢、商業(yè)趨勢的準(zhǔn)確預(yù)測和確保雙方建立最佳聯(lián)盟的能力。

  1.3所有權(quán)風(fēng)險(xiǎn)

  不管外包商提供服務(wù)的范圍如何,企業(yè)都對(duì)基礎(chǔ)設(shè)施的安全操作和關(guān)鍵資產(chǎn)的保護(hù)持有所有權(quán)和責(zé)任。企業(yè)必須確定服務(wù)外包商有足夠的能力承擔(dān)職責(zé),并且其服務(wù)級(jí)別協(xié)議條款支持這一職責(zé)的履行。正確的風(fēng)險(xiǎn)緩釋方法是讓包括員工和管理的各個(gè)級(jí)別的相關(guān)人員意識(shí)到,應(yīng)該將信息安全作為其首要責(zé)任,并進(jìn)行安全培訓(xùn)課程,增強(qiáng)常規(guī)企業(yè)的安全意識(shí)。

  1.4共享環(huán)境風(fēng)臉

  信息安全服務(wù)的外包商使用的向多個(gè)企業(yè)提供服務(wù)的操作環(huán)境要比單獨(dú)的機(jī)構(gòu)內(nèi)部環(huán)境將包含更多的風(fēng)險(xiǎn),因?yàn)楣蚕淼牟僮鳝h(huán)境將支持在多企業(yè)之間共享數(shù)據(jù)傳輸(如公共網(wǎng)絡(luò))或處理(如通用服務(wù)器),這將會(huì)增加一個(gè)企業(yè)訪問另一企業(yè)敏感信息的可能性。這對(duì)企業(yè)而言也是一種風(fēng)險(xiǎn)。

  1.5實(shí)施過程風(fēng)險(xiǎn)

  啟動(dòng)一個(gè)可管理的安全服務(wù)關(guān)系可能引起企業(yè)到服務(wù)外包商,或者一個(gè)服務(wù)外包商到另一個(gè)外包商之間的人員、過程、硬件、軟件或其他資產(chǎn)的復(fù)雜過渡,這一切都可能引起新的風(fēng)險(xiǎn)。企業(yè)應(yīng)該要求外包商說明其高級(jí)實(shí)施計(jì)劃,并注明完成日期和所用時(shí)間。這樣在某種程度上就對(duì)實(shí)施過程中風(fēng)險(xiǎn)的時(shí)間期限做出了限制。

  1.6合作關(guān)系失敗將導(dǎo)致的風(fēng)險(xiǎn)

  如果企業(yè)和服務(wù)商的合作關(guān)系失敗,企業(yè)將面臨極大的風(fēng)險(xiǎn)。合作關(guān)系失敗帶來的經(jīng)濟(jì)損失、時(shí)間損失都是不言而喻的,而這種合作關(guān)系的失敗歸根究底來自于企業(yè)和服務(wù)外包商之間的服務(wù)計(jì)劃不夠充分完善以及溝通與交流不夠頻繁。這種合作關(guān)系在任何階段都有可能失敗,如同其他商業(yè)關(guān)系一樣,它需要給予足夠的重視、關(guān)注,同時(shí)還需要合作關(guān)系雙方進(jìn)行頻繁的溝通。

  2 信息安全外包的管理框架

  要進(jìn)行成功的信息安全外包活動(dòng),就要建立起一個(gè)完善的管理框架,這對(duì)于企業(yè)實(shí)施和管理外包活動(dòng),協(xié)調(diào)與外包商的關(guān)系,最大可能降低外包風(fēng)險(xiǎn),從而達(dá)到外包的目的是十分重要的。信息安全外包的管理框架的內(nèi)容分為幾個(gè)主體部分,分別包括企業(yè)協(xié)同信息安全的外包商確定企業(yè)的信息安全的方針以及信息安全外包的安全標(biāo)準(zhǔn),然后是對(duì)企業(yè)遭受的風(fēng)險(xiǎn)進(jìn)行系統(tǒng)的評(píng)估.并根據(jù)方針和風(fēng)險(xiǎn)程度.決定風(fēng)險(xiǎn)管理的內(nèi)容并確定信息安全外包的流程。之后,雙方共同制定適合企業(yè)的信息安全外包的控制方法,協(xié)調(diào)優(yōu)化企業(yè)的信息安全相關(guān)部門的企業(yè)結(jié)構(gòu),同時(shí)加強(qiáng)管理與外包商的關(guān)系。

  3 信息安全外包風(fēng)險(xiǎn)管理的實(shí)施

  3.1制定信息安全方針

  信息安全方針在很多時(shí)候又稱為信息安全策略,信息安全方針指的是在一個(gè)企業(yè)內(nèi),指導(dǎo)如何對(duì)資產(chǎn),包括敏感性信息進(jìn)行管理、保護(hù)和分配的指導(dǎo)或者指示。信息安全的方針定義應(yīng)該包括:(1)信息安全的定義,定義的內(nèi)容包括信息安全的總體目標(biāo)、信息安全具體包括的范圍以及信息安全對(duì)信息共享的重要性;(2)管理層的目的的相關(guān)闡述;(3)信息安全的原則和標(biāo)準(zhǔn)的簡要說明,以及遵守這些原則和標(biāo)準(zhǔn)對(duì)企業(yè)的重要性;(4)信息安全管理的總體性責(zé)任的定義。在信息安全方針的部分只需要對(duì)企業(yè)的各個(gè)部門的安全職能給出概括性的定義,而具體的信息安全保護(hù)的責(zé)任細(xì)節(jié)將留至服務(wù)標(biāo)準(zhǔn)的部分來闡明。

  3.2選擇信息安全管理的標(biāo)準(zhǔn)

  信息安全管理體系標(biāo)準(zhǔn)BS7799與信息安全管理標(biāo)準(zhǔn)IS013335是目前通用的信息安全管理的標(biāo)準(zhǔn):

  (1)BS7799:BS7799標(biāo)準(zhǔn)是由英國標(biāo)準(zhǔn)協(xié)會(huì)指定的信息安全管理標(biāo)準(zhǔn),是國際上具有代表性的信息安全管理體系標(biāo)準(zhǔn),標(biāo)準(zhǔn)包括如下兩部分:BS7799-1;1999《信息安全管理實(shí)施細(xì)則》;BS7799-2:1999((信息安全管理體系規(guī)范》。

  (2)IS013335:IS013335《IT安全管理方針》主要是給出如何有效地實(shí)施IT安全管理的建議和指南。該標(biāo)準(zhǔn)目前分為5個(gè)部分,分別是信息技術(shù)安全的概念和模型部分;信息技術(shù)安全的管理和計(jì)劃部分;信息技術(shù)安全的技術(shù)管理部分;防護(hù)和選擇部分以及外部連接的防護(hù)部分。

  3.3確定信息安全外包的流程

  企業(yè)要根據(jù)企業(yè)的商業(yè)特性、地理位置、資產(chǎn)和技術(shù)來對(duì)信息安全外包的范圍進(jìn)行界定。界定的時(shí)候需要考慮如下兩個(gè)方面:(1)需要保護(hù)的信息系統(tǒng)、資產(chǎn)、技術(shù);(2)實(shí)物場所(地理位置、部門等)。信息安全的外包商應(yīng)該根據(jù)企業(yè)的信息安全方針和所要求的安全程度,識(shí)別所有需要管理和控制的風(fēng)險(xiǎn)的內(nèi)容。企業(yè)需要協(xié)同信息安全的外包商選擇一個(gè)適合其安全要求的風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理方案,然后進(jìn)行合乎規(guī)范的評(píng)估,識(shí)別目前面臨的風(fēng)險(xiǎn)。企業(yè)可以定期的選擇對(duì)服務(wù)外包商的站點(diǎn)和服務(wù)進(jìn)行獨(dú)立評(píng)估,或者在年度檢查中進(jìn)行評(píng)估。選擇和使用的獨(dú)立評(píng)估的方案要雙方都要能夠接受。在達(dá)成書面一致后,外包商授予企業(yè)獨(dú)立評(píng)估方評(píng)估權(quán)限,并具體指出評(píng)估者不能泄露外包商或客戶的任何敏感信息。給外包商提供關(guān)于檢查范圍的進(jìn)一步消息和細(xì)節(jié),以減少任何對(duì)可用性,服務(wù)程度,客戶滿意度等的影響。在評(píng)估執(zhí)行后的一段特殊時(shí)間內(nèi),與外包商共享結(jié)果二互相討論并決定是否需要解決方案和/或開發(fā)計(jì)劃程序以應(yīng)對(duì)由評(píng)估顯示的任何變化。評(píng)估所需要的相關(guān)材料和文檔在控制過程中都應(yīng)該予以建立和保存,企業(yè)將這些文檔作為評(píng)估的重要工具,對(duì)外包商的服務(wù)績效進(jìn)行考核。評(píng)估結(jié)束后,對(duì)事件解決方案和優(yōu)先級(jí)的檢查都將記錄在相應(yīng)的文件中,以便今后雙方在服務(wù)和信息安全管理上進(jìn)行改進(jìn)。

  3.4制定信息安全外包服務(wù)的控制規(guī)則

  依照信息安全外包服務(wù)的控制規(guī)則,主要分為三部分內(nèi)容:第一部分定義了服務(wù)規(guī)則的框架,主要闡明信息安全服務(wù)要如何執(zhí)行,執(zhí)行的通用標(biāo)準(zhǔn)和量度,服務(wù)外包商以及各方的任務(wù)和職責(zé);第二部分是信息安全服務(wù)的相關(guān)要求,這個(gè)部分具體分為高層服務(wù)需求;服務(wù)可用性;服務(wù)體系結(jié)構(gòu);服務(wù)硬件和服務(wù)軟件;服務(wù)度量;服務(wù)級(jí)別;報(bào)告要求,服務(wù)范圍等方面的內(nèi)容;第三部分是安全要求,包括安全策略、程序和規(guī)章制度;連續(xù)計(jì)劃;可操作性和災(zāi)難恢復(fù);物理安全;數(shù)據(jù)控制;鑒定和認(rèn)證;訪問控制;軟件完整性;安全資產(chǎn)配置;備份;監(jiān)控和審計(jì);事故管理等內(nèi)容。

  3.5信息安全外包的企業(yè)結(jié)構(gòu)管理具體的優(yōu)化方案如下:

  (1)首席安全官:CSO是公司的高層安全執(zhí)行者,他需要直接向高層執(zhí)行者進(jìn)行工作匯報(bào),主要包括:首席執(zhí)行官、首席運(yùn)營官、首席財(cái)務(wù)官、主要管理部門的領(lǐng)導(dǎo)、首席法律顧問。CSO需要監(jiān)督和協(xié)調(diào)各項(xiàng)安全措施在公司的執(zhí)行情況,并確定安全工作的標(biāo)準(zhǔn)和主動(dòng)性,包括信息技術(shù)、人力資源、通信、法律、設(shè)備管理等部門。

  (2)安全小組:安全小組的人員組成包括信息安全外包商的專業(yè)人員以及客戶企業(yè)的內(nèi)部IT人員和信息安全專員。這個(gè)小組的任務(wù)主要是依照信息安全服務(wù)的外包商與企業(yè)簽訂的服務(wù)控制規(guī)則來進(jìn)行信息安全的技術(shù)性服務(wù)。

  (3)管理委員會(huì):這是信息安全服務(wù)外包商和客戶雙方高層解決問題的機(jī)構(gòu)。組成人員包括雙方的首席執(zhí)行官,客戶企業(yè)的CIO和CSO,外包商的項(xiàng)目經(jīng)理等相關(guān)的高層決策人員。這個(gè)委員會(huì)每年召開一次會(huì)議,負(fù)責(zé)審核年度的服務(wù)水平、企業(yè)的適應(yīng)性、評(píng)估結(jié)果、關(guān)系變化等內(nèi)容。

  (4)咨詢委員會(huì):咨詢委員會(huì)的會(huì)議主要解決計(jì)劃性問題。如服務(wù)水平的變更,新的技術(shù)手段的應(yīng)用,服務(wù)優(yōu)先等級(jí)的更換以及服務(wù)的財(cái)政問題等,咨詢委員會(huì)的成員包括企業(yè)內(nèi)部的TI’人員和安全專員,還有財(cái)務(wù)部門、人力資源部門、業(yè)務(wù)部門的相關(guān)人員,以及外包商的具體項(xiàng)目的負(fù)責(zé)人。

  (6)安全工作組:安全工作組的人員主要負(fù)責(zé)解決信息安全中某些特定的問題,工作組的人員組成也是來自服務(wù)外包商和企業(yè)雙方。工作組與服務(wù)交換中心密切聯(lián)系,將突出的問題組建成項(xiàng)目進(jìn)行解決,并將無法解決的問題提交給咨詢委員會(huì)。

  (7)服務(wù)交換中心:服務(wù)交換中心由雙方人員組成,其中主要人員是企業(yè)內(nèi)部的各個(gè)業(yè)務(wù)部門中與信息安全相關(guān)的人員。他們負(fù)責(zé)聯(lián)絡(luò)各個(gè)業(yè)務(wù)部門,發(fā)掘出企業(yè)中潛在的信息安全的問題和漏洞,并將這些問題報(bào)告給安全工作組。

 ?。?)指令問題管理小組:這個(gè)小組的人員組成全部為企業(yè)內(nèi)部人員,包括信息安全專員以及各個(gè)業(yè)務(wù)部門的負(fù)責(zé)人。在安全小組的技術(shù)人員解決了企業(yè)中的安全性技術(shù)問題之后,或者,是當(dāng)CSO發(fā)布了關(guān)于信息安全的企業(yè)改進(jìn)方案之后,這些解決方案都將傳送給指令問題管理小組,這個(gè)小組的人員經(jīng)過學(xué)習(xí)討論后,繼而將其發(fā)布到各個(gè)業(yè)務(wù)部門。

  (9)監(jiān)督委員會(huì):這個(gè)委員會(huì)全部由企業(yè)內(nèi)部人員組成。負(fù)責(zé)對(duì)外包商的服務(wù)過程的監(jiān)督。

  3.6管理與外包商的關(guān)系

  管理好與外包商之間的關(guān)系,意味著企業(yè)應(yīng)致力于和外包商建立長期合作關(guān)系,這將有助于安全服務(wù)的外包商更多地了解企業(yè)文化,從而提供更好的服務(wù)。在管理與外包商關(guān)系的過程中,企業(yè)應(yīng)該在注重監(jiān)督與控制的同時(shí),同樣注重對(duì)外包商的激勵(lì)和協(xié)作。以建立良好的可發(fā)展的關(guān)系為關(guān)系管理的基礎(chǔ)。保持外包商行為規(guī)范的基本方法就是監(jiān)督和控制。監(jiān)督是用來觀察外包商是否在做他應(yīng)該做的事情。如果通過監(jiān)督發(fā)現(xiàn)外包商正在偏離預(yù)定的行為目標(biāo),此時(shí)就需要控制,控制就是使外包商返回到正確的軌道上去。在有了控制規(guī)則來規(guī)范外包商服務(wù)績效之后,要保持外包商和企業(yè)客戶經(jīng)常的溝通,以便能夠及時(shí)發(fā)現(xiàn)問題,進(jìn)行標(biāo)準(zhǔn)化的控制活動(dòng)。

我要糾錯(cuò)】 責(zé)任編輯:lcl
回到頂部
折疊
網(wǎng)站地圖

Copyright © 2000 - m.galtzs.cn All Rights Reserved. 北京正保會(huì)計(jì)科技有限公司 版權(quán)所有

京B2-20200959 京ICP備20012371號(hào)-7 出版物經(jīng)營許可證 京公網(wǎng)安備 11010802044457號(hào)