中小企業安全外包管理與控制研究

[摘 要] 安全外包是近年來國外興起的一種服務形式，根據安全服務市場中出現的問題，分析成因，從企業自身定位、外包流程規范、安全服務商選擇、服務內容管理、與外包商關系管理等方面構造安全服務框架，提出安全外包服務管理措施。

[關鍵詞] 安全外包 中小企業 管理與控制

安全外包是近年來國外興起的一種服務形式，CISCO等很多國際安全企業目前都已經把安全外包服務作為其業務的重點來發展，并且實現了大量的盈利。據有關資料報道，2005年全球安全外包服務市場銷售額達到了50億美元左右，預計到2009年將達到80億美元，來自中型和小型企業組織的收入比例分別為30%和21%左右。我國中小企業約有1100萬家，占到了企業總數的99％以上。權威調研機構的信息安全調查報告顯示：針對中小企業的安全事件持續攀升，盡管在這方面的投入不斷增多，但情況依然難以令人樂觀。安全問題成了各行各業的一個熱門話題。對企業來說，如何管理安全性問題不僅和業務有關，企業的聲譽、信任度以及內部穩定性都與安全有關。在電子商務環境下，對中、小企業來說，“安全”的含義遠不是企業網站是否遭受病毒、黑客的侵入那么簡單，它還必須包括網站內的信息、數據庫資料、在線交易等是否安全。然而，并不是所有的企業都有實力和精力安排專職人員做好本企業的信息安全建設，基于成本和技術考慮，安全外包成為更多企業明智的選擇。

一、安全外包服務中存在的問題

從成本技術考慮，中小企業有強烈的外包欲望，但目前安全外包市場缺乏主導廠商，提供低端服務的小公司較多，提供的服務質量參差不齊。各廠商往往打出各種“技術牌、概念牌、成功案例牌”，令企業眼花繚亂、真偽難辨。企業在評估和選擇外包服務方面沒有成熟的方法，難以做出正確的抉擇。分析目前安全外包市場，存在的主要問題有以下幾點：

1.擔心信息泄漏。企業擔心安全服務公司接觸企業的關鍵業務數據，尤其是交易數據，容易發生信息泄密。

2.相關的法律法規不健全，不能有效地管理企業和安全服務外包方的契約關系。在沒有法律約束的情況下，外包維護管理質量處于失控狀態，安全外包費用增加。

3.外包服務商良莠不齊，導致企業面對眾多的安全產品不知道如何合理選擇，不知道如何選擇服務商。

4.很多企業用戶在把安全外包出去后，不知道如何正確管理和控制，以及怎樣維護和管理與外包商的關系。

5.中小企業的網絡或設備的使用人員的技術水平相對較低，很難與外包商提供的技術人員開展溝通，以至于使服務的有效程度打了折扣。

二、問題分析

企業對外包的需求非常急迫，外包市場前景廣闊。國外廠商看準了我國安全潛在龐大市場，加緊攻城掠地。來自IDC的調查顯示，思科、網屏、安氏、冠群等著名外資網絡安全廠商等均已進入中國市場。面對國外公司緊逼的態勢，國內企業早在一兩年前就提出以服務促發展的概念，但提供何種服務、如何提供、服務的質量標準是什么等問題仍困擾服務商。從前面出現的問題表象看，原因由以下幾個方面造成的：

1.企業外包決策盲目。很多企業想做外包時沒有考慮是否一定要外包，盲目跟風，外包哪些內容不清楚，安全目標定位不明確，擔心目標定位低，加上服務縮水，不能滿足需求，會人為地把服務需求提得很高，于是造成支出費用增加。

2.缺乏可信任的第三方中介機構。因為沒有可信任的第三方，缺失三種角色：一是認證，安全服務商的資質、財務情況的認證；二是監督，對安全服務商進行監督，企業的關鍵信息泄漏，安全服務商必須受到處罰；三是中介，供需撮合的作用，彌補外包服務商與企業溝通不足。

3.缺乏面向整個服務過程的管理框架。安全外包服務是一個以了解用戶需求開始，以解決安全隱患，并獲得反饋，不斷改進的循環往復的動態過程。Meta數據顯示，僅有58%外包安全服務的企業會通過責任、流程、安全標準和未達到合同要求時的罰金等對其合作伙伴進行適當的控制，因此需要規范服務框架。

4.缺乏服務商選擇、關系管理機制。不同品牌的安全服務商提供的產品質量、服務、風險無法簡單比較，在選擇時應從品牌、服務、產品質量、存在的風險等方面綜合考慮。

三、安全外包的管理與控制

1.安全外包決策

在考慮外包時一定要考慮選擇外包后能否解決本企業的安全問題，是否會產生企業無法控制的問題？從企業的內部環境考慮，需要外包的企業一般具有如下特點:(1)布局分散廣，支持響應要求較高;(2)發展速度較快的成長型企業;(3)對信息化要求高;(4)對信息化成本控制嚴格;(5)注重核心競爭力得企業。

企業布局分散，安全管理難度高，自己維護成本高，外包可以提高服務水平；發展速度快的企業要使安全與企業發展同步，在技術人員的培訓上需要耗費的資金比較多，外包給專業的公司可以節約資金；信息化要求程度高，成本控制嚴格的企業通過外包可以降低維護成本，提高服務水平，專注于核心競爭力的提高。因此在考慮是否需要外包時，先要考慮企業的性質及內部環境。

2.安全服務工作流程管理

為使安全外包活動能夠正常運轉，需要執行正確地外包步驟。安全外包的主要步驟為：定義安全需求、確定外包內容、組成外包小組、選擇外包商、簽訂合同和外包管理。在第三方中介機構參與下，借助于信息化平臺，安全服務流程可改進為：

(1)企業用戶確定安全服務目標，發布安全需求。主要確定服務目標、范圍、服務水平，通過第三方中介平臺發布安全需求。

(2)安全服務商提出服務申請。安全服務商向第三方提交資質證書接受認證，通過認證后可以向企業提交服務申請。

(3)企業接受申請。企業成立外包小組，接受服務商的申請，按照綜合因素評價服務商，給出服務商選擇建議。

(4)網絡安全工程師上門現場了解企業網絡安全環境， 根據企業實際情況提供初步解決方案。

(5)雙方借助于平臺初步協商。服務商通過平臺提交安全方案，雙方借助于平臺初步協商。

(6)雙方洽談服務協議條款及外包服務內容。第三方中介給出雙方可以洽談的內容，起到供需撮合功能。

(7)按照服務框架，簽署安全外包協議。第三方中介根據洽談的內容和安全方案給出合同框架。

(8)協議生效后，網絡安全工程師按協議規定時間及維護內容開始提供服務。

(9)每次服務結束，填寫有關文件，確認服務效果。

安全服務是一種特殊的商品，不但要滿足企業的安全功能，而且要面向企業快速反應。在第三方中介平臺參與下的服務流程符合電子商務交易的特點，能有效消除企業和服務商的洽談障礙。

3.外包服務商的選擇與管理

企業和外包商簽訂的合同一般時間比較長，合同期間安全技術、服務水平、企業環境會發生很大變化，因此要從戰略的高度，綜合考慮服務商的內部、外部因素做出決策。外部因素有：服務商的品牌、發展前景、業界地位。內部因素有：運營狀態、財務狀況、受政策影響情況。主要評價參數為：服務級別、資金、品牌、存在風險等方面，服務商分類評價如表1所示。

在上述評價參數中，首要考慮的是服務商的服務，其次是服務商的財務狀況，這決定服務商能否持久服務，服務商的產品是否受國家政策影響，是考慮風險大小的一個方面，此外還要考慮外包組織的管理、與企業的戰略目標的配合度等因素。

4.服務框架設計

安全服務協議是規范安全服務的準繩，必須有足夠的權限來保證安全工作的開展，要規定服務商不能接觸到哪些系統，對授予服務商的權限有安全感，一旦出現機密信息泄密，要有行政懲罰措施。在簽定協議時候，要對提供服務的人員有一定要求，如詳細名單，這些人的資質、背景等。否則，招標時提供的名單，在實際服務時，可能全部被換掉了，這也是需要加以控制的問題。如果這些人員變更了，要有一定的補救措施，對此企業應該進行詳細規定。服務內容及服務標準如表2所示。

在安全外包中，“控制權的喪失”是最大的風險，要避免由于安全外包而被第三方控制，在外包協商階段要制訂詳盡的服務標準、服務等級、響應能力等執行的細節，并對規則之外的事件做好約定。在第三方中介支持下的外包可以從眾多安全外包服務中挖掘管理控制規則不斷完善管理框架。

四、結束語

安全外包作為IT外包的一個最為核心的部分，正隨著IT外包的發展而不斷展開。不論從理論上還是技術上都是可行的，綜合成本和收益的角度考慮，也是經濟的。盡管在實施中還會出現這樣那樣的問題，但安全外包終會成為未來企業解決安全問題的一種趨勢。隨著第三方認證和相關的標準和立法也逐漸出臺，從更高層次去管理和規范雙方的行為，提升外包的信度和效度。信息安全外包會能突破其發展中的瓶頸，給企業和社會帶來可觀的效益。

參考文獻:

[1]張勇謙:網絡安全外包服務市場分析[D].北京:北京郵電大學.2007

[2]胡克瑾:信息安全外包的控制與管理框架的研究[D].上海:同濟大學.2006

[3]王 鶴:安全外包評估企業風險[J].中國計算機用戶，2006(12):77