[摘 要] 安全外包是近年來國外興起的一種服務(wù)形式，根據(jù)安全服務(wù)市場中出現(xiàn)的問題，分析成因，從企業(yè)自身定位、外包流程規(guī)范、安全服務(wù)商選擇、服務(wù)內(nèi)容管理、與外包商關(guān)系管理等方面構(gòu)造安全服務(wù)框架，提出安全外包服務(wù)管理措施。

[關(guān)鍵詞] 安全外包 中小企業(yè) 管理與控制

安全外包是近年來國外興起的一種服務(wù)形式，CISCO等很多國際安全企業(yè)目前都已經(jīng)把安全外包服務(wù)作為其業(yè)務(wù)的重點(diǎn)來發(fā)展，并且實(shí)現(xiàn)了大量的盈利。據(jù)有關(guān)資料報道，2005年全球安全外包服務(wù)市場銷售額達(dá)到了50億美元左右，預(yù)計到2009年將達(dá)到80億美元，來自中型和小型企業(yè)組織的收入比例分別為30%和21%左右。我國中小企業(yè)約有1100萬家，占到了企業(yè)總數(shù)的99％以上。權(quán)威調(diào)研機(jī)構(gòu)的信息安全調(diào)查報告顯示：針對中小企業(yè)的安全事件持續(xù)攀升，盡管在這方面的投入不斷增多，但情況依然難以令人樂觀。安全問題成了各行各業(yè)的一個熱門話題。對企業(yè)來說，如何管理安全性問題不僅和業(yè)務(wù)有關(guān)，企業(yè)的聲譽(yù)、信任度以及內(nèi)部穩(wěn)定性都與安全有關(guān)。在電子商務(wù)環(huán)境下，對中、小企業(yè)來說，“安全”的含義遠(yuǎn)不是企業(yè)網(wǎng)站是否遭受病毒、黑客的侵入那么簡單，它還必須包括網(wǎng)站內(nèi)的信息、數(shù)據(jù)庫資料、在線交易等是否安全。然而，并不是所有的企業(yè)都有實(shí)力和精力安排專職人員做好本企業(yè)的信息安全建設(shè)，基于成本和技術(shù)考慮，安全外包成為更多企業(yè)明智的選擇。

一、安全外包服務(wù)中存在的問題

從成本技術(shù)考慮，中小企業(yè)有強(qiáng)烈的外包欲望，但目前安全外包市場缺乏主導(dǎo)廠商，提供低端服務(wù)的小公司較多，提供的服務(wù)質(zhì)量參差不齊。各廠商往往打出各種“技術(shù)牌、概念牌、成功案例牌”，令企業(yè)眼花繚亂、真?zhèn)坞y辨。企業(yè)在評估和選擇外包服務(wù)方面沒有成熟的方法，難以做出正確的抉擇。分析目前安全外包市場，存在的主要問題有以下幾點(diǎn)：

1.擔(dān)心信息泄漏。企業(yè)擔(dān)心安全服務(wù)公司接觸企業(yè)的關(guān)鍵業(yè)務(wù)數(shù)據(jù)，尤其是交易數(shù)據(jù)，容易發(fā)生信息泄密。

2.相關(guān)的法律法規(guī)不健全，不能有效地管理企業(yè)和安全服務(wù)外包方的契約關(guān)系。在沒有法律約束的情況下，外包維護(hù)管理質(zhì)量處于失控狀態(tài)，安全外包費(fèi)用增加。

3.外包服務(wù)商良莠不齊，導(dǎo)致企業(yè)面對眾多的安全產(chǎn)品不知道如何合理選擇，不知道如何選擇服務(wù)商。

4.很多企業(yè)用戶在把安全外包出去后，不知道如何正確管理和控制，以及怎樣維護(hù)和管理與外包商的關(guān)系。

5.中小企業(yè)的網(wǎng)絡(luò)或設(shè)備的使用人員的技術(shù)水平相對較低，很難與外包商提供的技術(shù)人員開展溝通，以至于使服務(wù)的有效程度打了折扣。

二、問題分析

企業(yè)對外包的需求非常急迫，外包市場前景廣闊。國外廠商看準(zhǔn)了我國安全潛在龐大市場，加緊攻城掠地。來自IDC的調(diào)查顯示，思科、網(wǎng)屏、安氏、冠群等著名外資網(wǎng)絡(luò)安全廠商等均已進(jìn)入中國市場。面對國外公司緊逼的態(tài)勢，國內(nèi)企業(yè)早在一兩年前就提出以服務(wù)促發(fā)展的概念，但提供何種服務(wù)、如何提供、服務(wù)的質(zhì)量標(biāo)準(zhǔn)是什么等問題仍困擾服務(wù)商。從前面出現(xiàn)的問題表象看，原因由以下幾個方面造成的：

1.企業(yè)外包決策盲目。很多企業(yè)想做外包時沒有考慮是否一定要外包，盲目跟風(fēng)，外包哪些內(nèi)容不清楚，安全目標(biāo)定位不明確，擔(dān)心目標(biāo)定位低，加上服務(wù)縮水，不能滿足需求，會人為地把服務(wù)需求提得很高，于是造成支出費(fèi)用增加。

2.缺乏可信任的第三方中介機(jī)構(gòu)。因?yàn)闆]有可信任的第三方，缺失三種角色：一是認(rèn)證，安全服務(wù)商的資質(zhì)、財務(wù)情況的認(rèn)證；二是監(jiān)督，對安全服務(wù)商進(jìn)行監(jiān)督，企業(yè)的關(guān)鍵信息泄漏，安全服務(wù)商必須受到處罰；三是中介，供需撮合的作用，彌補(bǔ)外包服務(wù)商與企業(yè)溝通不足。

3.缺乏面向整個服務(wù)過程的管理框架。安全外包服務(wù)是一個以了解用戶需求開始，以解決安全隱患，并獲得反饋，不斷改進(jìn)的循環(huán)往復(fù)的動態(tài)過程。Meta數(shù)據(jù)顯示，僅有58%外包安全服務(wù)的企業(yè)會通過責(zé)任、流程、安全標(biāo)準(zhǔn)和未達(dá)到合同要求時的罰金等對其合作伙伴進(jìn)行適當(dāng)?shù)目刂?，因此需要?guī)范服務(wù)框架。

4.缺乏服務(wù)商選擇、關(guān)系管理機(jī)制。不同品牌的安全服務(wù)商提供的產(chǎn)品質(zhì)量、服務(wù)、風(fēng)險無法簡單比較，在選擇時應(yīng)從品牌、服務(wù)、產(chǎn)品質(zhì)量、存在的風(fēng)險等方面綜合考慮。

三、安全外包的管理與控制

1.安全外包決策

在考慮外包時一定要考慮選擇外包后能否解決本企業(yè)的安全問題，是否會產(chǎn)生企業(yè)無法控制的問題？從企業(yè)的內(nèi)部環(huán)境考慮，需要外包的企業(yè)一般具有如下特點(diǎn):(1)布局分散廣，支持響應(yīng)要求較高;(2)發(fā)展速度較快的成長型企業(yè);(3)對信息化要求高;(4)對信息化成本控制嚴(yán)格;(5)注重核心競爭力得企業(yè)。

企業(yè)布局分散，安全管理難度高，自己維護(hù)成本高，外包可以提高服務(wù)水平；發(fā)展速度快的企業(yè)要使安全與企業(yè)發(fā)展同步，在技術(shù)人員的培訓(xùn)上需要耗費(fèi)的資金比較多，外包給專業(yè)的公司可以節(jié)約資金；信息化要求程度高，成本控制嚴(yán)格的企業(yè)通過外包可以降低維護(hù)成本，提高服務(wù)水平，專注于核心競爭力的提高。因此在考慮是否需要外包時，先要考慮企業(yè)的性質(zhì)及內(nèi)部環(huán)境。

2.安全服務(wù)工作流程管理

為使安全外包活動能夠正常運(yùn)轉(zhuǎn)，需要執(zhí)行正確地外包步驟。安全外包的主要步驟為：定義安全需求、確定外包內(nèi)容、組成外包小組、選擇外包商、簽訂合同和外包管理。在第三方中介機(jī)構(gòu)參與下，借助于信息化平臺，安全服務(wù)流程可改進(jìn)為：

(1)企業(yè)用戶確定安全服務(wù)目標(biāo)，發(fā)布安全需求。主要確定服務(wù)目標(biāo)、范圍、服務(wù)水平，通過第三方中介平臺發(fā)布安全需求。

(2)安全服務(wù)商提出服務(wù)申請。安全服務(wù)商向第三方提交資質(zhì)證書接受認(rèn)證，通過認(rèn)證后可以向企業(yè)提交服務(wù)申請。

(3)企業(yè)接受申請。企業(yè)成立外包小組，接受服務(wù)商的申請，按照綜合因素評價服務(wù)商，給出服務(wù)商選擇建議。

(4)網(wǎng)絡(luò)安全工程師上門現(xiàn)場了解企業(yè)網(wǎng)絡(luò)安全環(huán)境， 根據(jù)企業(yè)實(shí)際情況提供初步解決方案。

(5)雙方借助于平臺初步協(xié)商。服務(wù)商通過平臺提交安全方案，雙方借助于平臺初步協(xié)商。

(6)雙方洽談服務(wù)協(xié)議條款及外包服務(wù)內(nèi)容。第三方中介給出雙方可以洽談的內(nèi)容，起到供需撮合功能。

(7)按照服務(wù)框架，簽署安全外包協(xié)議。第三方中介根據(jù)洽談的內(nèi)容和安全方案給出合同框架。

(8)協(xié)議生效后，網(wǎng)絡(luò)安全工程師按協(xié)議規(guī)定時間及維護(hù)內(nèi)容開始提供服務(wù)。

(9)每次服務(wù)結(jié)束，填寫有關(guān)文件，確認(rèn)服務(wù)效果。

安全服務(wù)是一種特殊的商品，不但要滿足企業(yè)的安全功能，而且要面向企業(yè)快速反應(yīng)。在第三方中介平臺參與下的服務(wù)流程符合電子商務(wù)交易的特點(diǎn)，能有效消除企業(yè)和服務(wù)商的洽談?wù)系K。

3.外包服務(wù)商的選擇與管理

企業(yè)和外包商簽訂的合同一般時間比較長，合同期間安全技術(shù)、服務(wù)水平、企業(yè)環(huán)境會發(fā)生很大變化，因此要從戰(zhàn)略的高度，綜合考慮服務(wù)商的內(nèi)部、外部因素做出決策。外部因素有：服務(wù)商的品牌、發(fā)展前景、業(yè)界地位。內(nèi)部因素有：運(yùn)營狀態(tài)、財務(wù)狀況、受政策影響情況。主要評價參數(shù)為：服務(wù)級別、資金、品牌、存在風(fēng)險等方面，服務(wù)商分類評價如表1所示。

在上述評價參數(shù)中，首要考慮的是服務(wù)商的服務(wù)，其次是服務(wù)商的財務(wù)狀況，這決定服務(wù)商能否持久服務(wù)，服務(wù)商的產(chǎn)品是否受國家政策影響，是考慮風(fēng)險大小的一個方面，此外還要考慮外包組織的管理、與企業(yè)的戰(zhàn)略目標(biāo)的配合度等因素。

4.服務(wù)框架設(shè)計

安全服務(wù)協(xié)議是規(guī)范安全服務(wù)的準(zhǔn)繩，必須有足夠的權(quán)限來保證安全工作的開展，要規(guī)定服務(wù)商不能接觸到哪些系統(tǒng)，對授予服務(wù)商的權(quán)限有安全感，一旦出現(xiàn)機(jī)密信息泄密，要有行政懲罰措施。在簽定協(xié)議時候，要對提供服務(wù)的人員有一定要求，如詳細(xì)名單，這些人的資質(zhì)、背景等。否則，招標(biāo)時提供的名單，在實(shí)際服務(wù)時，可能全部被換掉了，這也是需要加以控制的問題。如果這些人員變更了，要有一定的補(bǔ)救措施，對此企業(yè)應(yīng)該進(jìn)行詳細(xì)規(guī)定。服務(wù)內(nèi)容及服務(wù)標(biāo)準(zhǔn)如表2所示。

在安全外包中，“控制權(quán)的喪失”是最大的風(fēng)險，要避免由于安全外包而被第三方控制，在外包協(xié)商階段要制訂詳盡的服務(wù)標(biāo)準(zhǔn)、服務(wù)等級、響應(yīng)能力等執(zhí)行的細(xì)節(jié)，并對規(guī)則之外的事件做好約定。在第三方中介支持下的外包可以從眾多安全外包服務(wù)中挖掘管理控制規(guī)則不斷完善管理框架。

四、結(jié)束語

安全外包作為IT外包的一個最為核心的部分，正隨著IT外包的發(fā)展而不斷展開。不論從理論上還是技術(shù)上都是可行的，綜合成本和收益的角度考慮，也是經(jīng)濟(jì)的。盡管在實(shí)施中還會出現(xiàn)這樣那樣的問題，但安全外包終會成為未來企業(yè)解決安全問題的一種趨勢。隨著第三方認(rèn)證和相關(guān)的標(biāo)準(zhǔn)和立法也逐漸出臺，從更高層次去管理和規(guī)范雙方的行為，提升外包的信度和效度。信息安全外包會能突破其發(fā)展中的瓶頸，給企業(yè)和社會帶來可觀的效益。

參考文獻(xiàn):

[1]張勇謙:網(wǎng)絡(luò)安全外包服務(wù)市場分析[D].北京:北京郵電大學(xué).2007

[2]胡克瑾:信息安全外包的控制與管理框架的研究[D].上海:同濟(jì)大學(xué).2006

[3]王 鶴:安全外包評估企業(yè)風(fēng)險[J].中國計算機(jī)用戶，2006(12):77