外包企業在信息安全管理中易犯的一些誤區
以下的文章主要向大家講述的是外包企業在信息安全管理中的一些誤區,自從商務部推出服務外包“大氣勢工程”之后,在政府政策的大力扶持之下,國內外包產業發展的如雨后春竹,為了能夠承接更多高端服務。
滿足客戶的要求,商務部同時鼓勵外包企業通過國際認證以獲得更好的競爭力和良好的企業形象。
比特網專家特稿:自從商務部推出服務外包“千百十工程”之后,在政府政策的大力扶持之下,國內外包產業發展的如火如荼,為了能夠承接更多高端服務,滿足客戶的要求,商務部同時鼓勵外包企業通過國際認證以獲得更好的競爭力和良好的企業形象。
ISO27001信息安全管理體系(ISMS)認證在此背景下,在外包公司得到了比較廣泛的認可。越來越多的外包公司已經實施、或者計劃實施ISO27001認證,本人作為信息安全管理體系(ISMS)的咨詢顧問,在廣泛接觸這些外包公司,以及與企業各級人員后,總的一個感覺就是很多外包企業對信息安全管理存在或這或那不正確的認識,這種認識將阻礙企業建立有效的、合規的信息安全管理體系(ISMS),阻礙企業信息安全工作的良性發展,甚至可能將阻礙企業業務發展。本文將主要闡述外包企業信息安全管理的誤區,以及針對這些的誤區的對策。
為了更好地理解外包企業信息安全的需要,我將首先簡要分析一下服務外包業務的特點,當然,由于信息安全是本文的發力點,僅僅分析列出與信息安全相關的業務特點:
1. 知識密集型,對人才的要求很好
外包服務屬于知識型密集產業,很多業務都需要從業人員有相關的培訓教育經歷和豐富的實踐經驗,與制造業有很大區別。因此外包需要的人力資源要求就高,而外包業務恰恰依賴的就是人。
2. 外包成果無形化,難以量化評估
外包最終的成果多數并非是實物化產品,而是一種服務,這就難以將成果量化進行評估,但是在某些方面也存在一些公認的評價體系,如軟件外包領域內CMMI國際認證,這是對軟件外包接包商能力的一種評價指標。另外,在考量接包方在客戶信息保密等方面,國際國內客戶基本都已經認同ISO27001信息安全管理體系(ISMS)認證,這是接包方在信息安全能力方面的評價框架。
3. 很大程度上依賴互聯網和通信技術
目前國內外包業務大多數是離岸外包,雙方合作關系的確立以及業務的發展必須依賴互聯網和通信技術。對于互聯網和通信技術的過分依賴使得服務外包又具有了一種新的風險,通信網絡的中斷將導致業務的中斷。
服務外包企業的信息安全建設在政府政策的鼓勵以及客戶的要求的下,信息安全管控水平不斷提高,ISO27001信息安全管理體系(ISMS)認證在外包企業也是強勁發展,盡管到目前為止,通過認證的企業的絕對數不大,但是發展很快,從下圖我們可以看出:
數據來源于ISMS International User Group
而對于這些數據貢獻,絕大部分是來自服務外包企業。盡管如此,但是服務外包企業對信息安全管理還是存在著較多誤區,主要幾點歸納如下。
1. 信息安全認識誤區
盡管國內的外包行業有將近10年度發展歷史,但是大的外包公司還不多,外包業務主要還是集中在軟件外包,而軟件外包的客戶主要是做日韓企業。日韓客戶一般對信息安全的要求都比較高,國內外包企業這么多年在與客戶打交道時,在客戶的要求,不斷提高企業自身的信息安全控制水平,但是在外包企業信息安全建設的過程中,出現了這樣或那樣的對信息安全建設的誤區,其中的原因有迫于客戶的壓力來提升企業信息安全管理水平,主動性要求不高,企業自身在信息安全方面的積累也不多,另外也有一些外包企業急功近利,為了迎合客戶的要求而僅僅做做表面文章。
(1) 安全防御的重點是來自外部的攻擊
由于媒體的報道以及一些安全產品廠商為了自身業務的需要而做的一些錯誤的引導,導致外包企業,甚至其他行業的公司都認為企業所面臨的威脅主要是來自外界。各類安全威脅中,企業最重視哪3類?據《信息周刊》的調查來看,病毒和蠕蟲,間諜軟件,垃圾郵件3類威脅一直高居榜首。但是依據此3類威脅部署的企業信息安全方案將僅限于信息安全產品的老三樣—防病毒、防火墻和IDS的老路上。實際上,企業內部數據安全的危害性正在日益上升,如未經授權的雇員對文件或數據的訪問、帶有公司數據的可移動設備遺失或失竊等,惡意員工故意破壞信息系統甚至泄漏企業機密等,但是這一點還沒有引起企業足夠的重視。#p#
信息技術市場調研公司高德納公司(Gartner)早些時候曾進行信息安全事件的調查,發現有70%以上的事故是企業內部所導致的。其實我們仔細想想并平時多留言一下自己身邊的事情,我們不難發現,容量很大、攜帶方便的便攜式的移動設備,比如U盤、手機、iPod等用在存取數據時經常在不知不覺中,就充當了病毒的傳播者。更可怕的是,小巧且讀寫快速很快的U盤能在短短幾秒鐘之內把企業和核心機密拷走而不被人發現。
對于服務外包企業來說,由于人員的高素質,特別是對于IT服務外包的企業,大多數員工都具有良好的IT知識和技能,利用IT系統做出不利于公司的欺詐和泄密事件,可能將更隱蔽和輕車熟路。這對于外包公司來說,無疑是個很大的威脅。
針對這個問題,我想外包企業應該首先要提高認識,把信息安全防御的重點從外部防御轉向內部教育和防范。加強對員工的信息安全意識教育,培訓員工具備基本的安全技能。另外,從數據保密的角度上來,對于重要機密信息,應做好加密的技術措施。
(2) 好的信息安全就是不出安全事故
以是否發生安全事故作為企業信息安全工作好壞的衡量標準,使得信息安全工作限于十分被動的位置,這主要體現在兩個方面,一方面是對企業領導來說,特別是這些服務外包公司而言,由于很多公司的業務發展也沒幾年,而且也沒有成為外部威脅主動攻擊的對象,這不像銀行系統,因此發生足以引起領導層重視的信息安全事件不多,有些企業甚至沒有。所以,企業領導就盲目的認為公司當前信息安全防范工作已經足夠,無須再投入更多的人力和物力來加強企業的信息安全建設;另外一個方面是對企業內部直接負責維護信息安全的IT部門來說,他們將面臨著巨大的壓力,因為誰又能保證百分百不出安全事故呢?
其實,之所以這么認為,是沒有正確認識的信息安全。世上萬事萬物不是絕對的,信息安全的處理應該遵循風險管理的原則和方法。安全事件的發生與否也應該以風險的方式來處理。對于某個可能發生的安全事件,分析導致其發生的根本原因,發生的可能性以及可能造成的后果,再判斷將要采取的應對措施的有效性以及成本,根據企業風險的可接受水平,做出合理的風險處置方案。
(3) 頭疼醫頭就足夠了
企業安全管理過于分散也是不容忽視的問題。信息安全在國內的發展以及市場上也不乏優良的安全技術,但其部署往往是“頭痛醫頭,腳痛醫腳”,彼此間不能妥善協作,這不但會造成資源浪費,還會在安全部署上留下漏洞。這種技術產品上處理問題的方式給企業對信息安全問題的解決的認識帶來如此的偏見。在信息安全管理方面,也是同樣存在同樣的問題。
針對這個問題,提高認識當然是當務之急,但是要落實變成可執行的制度和流程,那么外包企業需要制定整體信息安全戰略、業務持續及災難恢復戰略和計劃、配置架構的標準和流程以及致力于知識產權和信息保護的政策和流程,并執行定期的穿透測試、威脅和弱點評估及風險評估。
2. ISO27001認證是面子工程
企業通過ISO27001認證予以相應的補貼是政府鼓勵企業通過企業獲得國際認證,這是提升國內服務外包企業整體形象的有力途徑,也是企業獲得更多的外包業務的有力條件之一。但是ISO27001信息安全管理體系(ISMS)認證當前在某些企業成了名副其實的面子工程。對于標準認證這點,可能是很多從事國際國內認證標準的專業人士心頭的痛,ISO9001質量體系認證在國內的情況就是一個例子。
對國際標準認證認識的誤區無疑將影響認證產業的健康發展,同時也讓企業對國際標準的作用產生的懷疑甚至輕視。造成這種局面,體制、文化等方面因素在此我就不多做分析,這本身比較復雜,也不是本文的出發點,我想還是從管理體系標準自身的特點來看,目前當前國際上大部分的管理體系標準都源自于英國標準,而這些管理體系的核心思想是PDCA(Plan,Do,Check ,Act)的流程方法,PDCA模型本質是改進模型而不是狀態模型,認證公司給企業頒發ISO27001認證證書的最低標準是該企業是否已經建立了PDCA的改進體制以及相配套的制度和流程,而不是這家企業的信息安全防范水平已經達到了某個等級。這不同于給學生授予優秀學生稱號是以該學生德智體達到某個要求,而不是該學生相比自己的過去有進步就行了。
PDCA循環又名戴明環,威廉.愛德華.戴明上個世紀五十年代提出的,主要為解決問題的過程提供一個簡便易行的方法。1950年,戴明到日本擔任產業界的講師及顧問,其間大力推廣企業在持續改善的過程中運用PDCA循環,這個方法重塑了日本產業制度,塑造了風靡世界的日本企業管理模式。
對于認證的這個誤區,我們把眼光投到我們的鄰國日本就明白我們真的錯了。PDCA方法在日本的成功,我們完全有理由相信,PDCA是企業服務質量持續改善的良好方法。
3. 對“信息安全”管理體系認識不足
信息安全管理體系(ISMS)遵循流程的方法,這與其他管理體系,比如在國內廣泛實施的質量管理體系是一致的,都是按照PDCA的大的流程來運轉和維護管理體系。而對于外包公司來說,由于企業沒有復雜的IT應用系統和龐大的復雜網絡設施,另外一個也是從成本考慮到角度,一般情況下企業的IT人員的配備不足,技術力量有限。
特別是對于軟件外包公司來說,為了軟件開發的需要,在建立信息安全管理體系(ISMS)之前很多軟件企業通過CMMI的認證來提升企業軟件開發的能力,以獲得發包企業對其開發能力的認可,因此,這些公司都由質量管理部按照CMMI的要求監控和審核軟件開發質量,人力資源相對比較充足,因此,企業從整合管理體系節約成本的角度出發,信息安全管理體系(ISMS)也是由質量管理部推動、管理與維護。
這本來也無可厚非,每個企業都有自身的管理水平,人員技能等或這或那的問題,外包企業也是如此。殊不知,信息安全管理體系(ISMS)其管理的對象是企業的信息安全風險,而信息安全風險有其專業特性,應該由企業內部IT條線的專業人員負責識別、評價和采取對應的控制措施。質量管理部盡管在體系維護方面經驗比較多,但是缺乏的就是對信息系統,網絡設備的技術特性的了解。
正確對待這個問題的辦法應該是在綜合考慮外包公司現有情況下,質量管理部履行信息安全管理體系(ISMS)的管理工作,制定和頒布信息安全策略,而IT 部門執行信息安全策略,IT部門識別和評價信息安全風險,并提出對應控制措施以及解決方案,質量管理負責審核方案。
大力發展服務外包產業,加速我國產品結構升級,完成從“世界工廠”到“世界服務”的華麗轉變,這是我國產業發展的大局,而對于國內的服務外包公司來說,如何更好適應這個大勢,使企業具有更強競爭力,必要途徑之一是在信息安全管理方面,服務外包企業要切實正確認識信息安全,切實提升企業的信息安全管理水平。
作者簡介:
谷安天下公司高級顧問,CISA(ISACA);CISSP(ISC2);ISO27001 LA(DNV);ITIL Foundation(OGC), 7年信息安全領域研究與從業經驗,主要從事信息安全實施規劃、信息安全風險評估、信息安全管理體系建立和實施、等級保護等方面工作,具備豐富的信息安全管理咨詢與IT審計實踐經驗。目前主要專業領域集中于IT風險管理與控制、信息安全等方面,曾服務的主要客戶有:中國電信、工商銀行、用友軟件、北京NTT DATA、太平洋保險等。長期從事CISSP等信息安全培訓工作。
【編輯推薦】
