信息安全—IT服務外包的雙刃劍
IT服務外包是不少企業都會遇到的業務,信息安全又是一個企業重要的安全內容,當這兩者放在一起,又會有怎樣的化學反應呢?今天中訊科技就跟大家一起分享一篇關于信息安全—IT服務外包的雙刃劍的文章。
市場需求促生IT服務外包的快速發展
在強調企業核心競爭力的今天,IT服務外包作為長期戰略成本管理的新興工具逐漸被越來越多的企業所采用。服務外包的實質是企業和服務商之間一種“委托-代理”關系。企業進行資源整合,將有限的資源集中到最能反映企業優勢的領域,從而更好地構筑競爭優勢,以此獲得可持續發展的能力。同時,將其他環節外包給相應的服務商,以實現“成本控制”和“管理效益”的有效兼顧。
隨著企業業務發展過程中,信息系統所涉及的內容越來越多、結構越來越龐大,企業信息化再也不僅僅是IT部門自己的事情,企業在信息化建設和管理期間迎來了嚴峻的考驗。在多重壓力之下,許多企業認為IT部門最重要的工作是確保信息和流程的順暢,而傾向于將服務器、存儲系統、網絡等基礎設施、應用系統、非核心系統外包給服務商負責維護。
IT服務外包的風險
在企業尋求IT外包時,面臨一系列的管控和運營風險,特別是在信息安全風險方面!
外包是一柄雙刃劍,其好處是可以向企業灌輸技術與人才,幫助企業擺脫繁瑣的IT業務,有效的外包能讓公司更好的專注于核心業務。但是如果處理不好,反而會變成一場噩夢和致命的災難。
IT外包服務要成為一種商品,就必須形成一套規范和標準,以約束買賣雙方。目前國內IT外包服務領域既無統一規范也無公認標準,對于如何評估、簽合同、質量控制和定價等都是潛在的風險。此外,IT外包還面臨著 IT管理的復雜性、軟件缺失、知識產權以及IT外包服務提供商自身能否健康成長等風險。
信息安全是IT服務外包中的“關鍵詞”
企業在IT服務外包中面臨最大和最重要的挑戰是——如何確保在進行外包服務時,確保企業信息、數據安全性,如何建立起有效的信息安全管控框架,以符合企業信息安全要求!
以下是企業建立信息安全體系必須參考的評估標準和遵從的原則:
1、企業內部信息安全管控過程是否可持續監管和優化
在信息防泄漏的“戰爭”中,相比于躲在暗處的泄密者和安全威脅,站在明處的企業顯然略失先機。因此,良好的信息防泄體系的前提就是要時刻掌握企業動態,做到要有的放矢。很重要的一點是要實現內部操作的“可視化”,以隨時監測整個信息系統的安全狀況,做到迅速反應,甚至還能預測到潛在的風險,化被動防御為積極防御。
2、企業信息安全體系設計需進行全局評估和建設,規避疏漏和風險
在企業中,有時候可能是一個小小的系統漏洞就可能毀滅幾百萬投資的努力,或者一個無意的非法補丁行為就讓企業蒙受損失。因此,在解決安全問題之時,不能僅僅依賴透明加密等技術手段,而是需要站在一個更高的戰略角度來通盤考慮。如果缺乏一個整體的分析視角,可能會因為忽視或者低估某個安全攻擊的真正威脅,而使得采取的安全措施無法解決真正的問題。所以,在實際的防泄漏建設中,必須從整體上來評估企業的信息安全狀況,運用統一的平臺來進行風險和安全管理,檢測出內部問題,從而描繪出整個企業當前安全情況的更清晰和更準確的圖景,采取針對性的防護措施,最大限度降低企業的安全風險。
3、安全和防護等級措施
企業在構建立體化、全方位的整體信息防泄體系時并不是一刀切,不分輕重地在全公司范圍內采取相同的策略,這樣雖然看似達到了最為安全的效果,但對業務造成的巨大影響,以及因此產生的高額成本,對企業來說,都是巨大的負擔。
對信息安全來說,威脅和風險往往和高價值的信息資產聯系在一起,安全保護工作也就應該輕重有別,將重點放在高價值的信息資產上。在安全建設過程中,對涉密程度高的部門或崗位進行力度大的防御,對涉密程度低的部門采取相應的安全防御。同時衡量提升安全性可能帶來的業務操作上的麻煩、企業安全成本等問題,是企業必須要做的事情。
4、科學可行的安全策略和必要的技術手段實現動態性防護
動態性的信息泄露防護,對于目前泄密手段日益增多的企業來說,非常重要。企業需要建立一個動態性的安全防護,前瞻性地發現安全威脅,并通過對技術或管理上的策略進行及時調整更新,防范潛在的安全風險。
5、信息安全體系必須便于使用和維護
如今,市場上五花八門的信息防泄漏產品讓企業眼花繚亂,企業期望這種“強強組合”能給企業套上萬無一失的金鐘罩,但實際上企業不僅要付出較高的成本,并增加了技術的復雜性,還容易導致產品軟件沖突等問題。目前,能夠提供整體解決方案的單一安全產品成為優良選擇,能夠幫助企業建立統一的安全管理平臺,無論是對企業安全邊界防護,到內部使用都做了整體、全面的考慮,而且簡化了日常的操作與管理,降低系統的資源占用,避免了軟件沖突等多種問題。
如果企業的信息防泄漏建設符合以上6條檢測標準,那么該企業已經建立了一個完善的整體信息防泄漏體系,機密信息也得到了最大化的保護,實現了“成本、效率、安全”三者的最佳平衡,這也是近年來被大家認可的“整體信息防泄漏”理念的核心。
在提供IT服務外包的過程中,信息安全管理始終是重點問題之一。企業和IT服務供應商應一同參照ISO/IEC27001標準內容不斷完善對IT服務外包的安全管理,確保能為企業和組織的信息安全管理提供可靠保障。
文章節選自:51CTO,天璣