信息安全外包的風險
作者:李銘
評論: 更新日期:2012年09月25日
論文摘要:文章首先分析了信息安全外包存在的風險����,根據風險提出信息安全外包的管理框架�����,并以此框架為基礎詳細探討了信息安全外包風險與管理的具體實施���。文章以期時信息安全外包的風險進行控制�,并獲得與外包商合作的最大收益。?
論文關鍵詞:信息安全 外包 風險 管理
1信息安全外包的風險
1.1信任風險
??? 企業是否能與信息安全服務的外包商建立良好的工作和信任關系���,仍是決定時候將安全服務外包的一個重要因素。因為信息安全的外包商可以訪問到企業的敏感信息�����,并全面了解其企業和系統的安全狀況�����,而這些重要的信息如果被有意或無意地對公眾散播出去�,則會對企業造成巨大的損害�����。并且����,如若企業無法信任外包商�,不對外包商提供一些關鍵信息的話,則會造成外包商在運作過程中的信息不完全��,從而導致某些環節的失效�����,這也會對服務質量造成影響�。因此����,信任是雙方合作的基礎�,也是很大程度上風險規避的重點內容。
1.2依賴風險
??? 企業很容易對某個信息安全服務的外包商產生依賴性�,并受其商業變化�、商業伙伴和其他企業的影響���,恰當的風險緩釋方法是將安全服務外包給多個服務外包商�,但相應地會加大支出并造成管理上的困難,企業將失去三種靈活性:第一種是短期靈活性��,即企業重組資源的能力以及在經營環境發生變化時的應變能力;第二種是適應能力�,即在短期到中期的事件范圍內所需的靈活性,這是一種以新的方式處理變革而再造業務流程和戰略的能力�,再造能力即包括了信息技術;第三種靈活性就是進化性��,其本質是中期到長期的靈活性,它產生于企業改造技術基本設施以利用新技術的時期。進化性的獲得需要對技術趨勢�����、商業趨勢的準確預測和確保雙方建立最佳聯盟的能力。
1.3所有權風險
??? 不管外包商提供服務的范圍如何����,企業都對基礎設施的安全操作和關鍵資產的保護持有所有權和責任��。企業必須確定服務外包商有足夠的能力承擔職責,并且其服務級別協議條款支持這一職責的履行���。正確的風險緩釋方法是讓包括員工和管理的各個級別的相關人員意識到,應該將信息安全作為其首要責任�����,并進行安全培訓課程��,增強常規企業的安全意識��。
1.4共享環境風臉
??? 信息安全服務的外包商使用的向多個企業提供服務的操作環境要比單獨的機構內部環境將包含更多的風險����,因為共享的操作環境將支持在多企業之間共享數據傳輸(如公共網絡)或處理(如通用服務器),這將會增加一個企業訪問另一企業敏感信息的可能性���。這對企業而言也是一種風險。
1.5實施過程風險
??? 啟動一個可管理的安全服務關系可能引起企業到服務外包商,或者一個服務外包商到另一個外包商之間的人員�、過程��、硬件、軟件或其他資產的復雜過渡,這一切都可能引起新的風險。企業應該要求外包商說明其高級實施計劃�,并注明完成日期和所用時間�。這樣在某種程度上就對實施過程中風險的時間期限做出了限制��。
1.6合作關系失敗將導致的風險
??? 如果企業和服務商的合作關系失敗�,企業將面臨極大的風險����。合作關系失敗帶來的經濟損失、時間損失都是不言而喻的,而這種合作關系的失敗歸根究底來自于企業和服務外包商之間的服務計劃不夠充分完善以及溝通與交流不夠頻繁����。這種合作關系在任何階段都有可能失敗�����,如同其他商業關系一樣,它需要給予足夠的重視���、關注,同時還需要合作關系雙方進行頻繁的溝通���。
2信息安全外包的管理框架
??? 要進行成功的信息安全外包活動,就要建立起一個完善的管理框架,這對于企業實施和管理外包活動�����,協調與外包商的關系��,最大可能降低外包風險,從而達到外包的目的是十分重要的�。信息安全外包的管理框架的內容分為幾個主體部分�����,分別包括企業協同信息安全的外包商確定企業的信息安全的方針以及信息安全外包的安全標準,然后是對企業遭受的風險進行系統的評估.并根據方針和風險程度.決定風險管理的內容并確定信息安全外包的流程�。之后�����,雙方共同制定適合企業的信息安全外包的控制方法,協調優化企業的信息安全相關部門的企業結構�����,同時加強管理與外包商的關系����。
3信息安全外包風險管理的實施
3.1制定信息安全方針
??? 信息安全方針在很多時候又稱為信息安全策略�����,信息安全方針指的是在一個企業內,指導如何對資產,包括敏感性信息進行管理�����、保護和分配的指導或者指示�����。信息安全的方針定義應該包括:(1)信息安全的定義�,定義的內容包括信息安全的總體目標���、信息安全具體包括的范圍以及信息安全對信息共享的重要性;(2)管理層的目的的相關闡述;(3)信息安全的原則和標準的簡要說明����,以及遵守這些原則和標準對企業的重要性;(4)信息安全管理的總體性責任的定義����。在信息安全方針的部分只需要對企業的各個部門的安全職能給出概括性的定義,而具體的信息安全保護的責任細節將留至服務標準的部分來闡明����。
3.2選擇信息安全管理的標準
??? 信息安全管理體系標準BS7799與信息安全管理標準IS013335是目前通用的信息安全管理的標準:
??? (1)BS7799:BS7799標準是由英國標準協會指定的信息安全管理標準��,是國際上具有代表性的信息安全管理體系標準,標準包括如下兩部分:BS7799-1;1999《信息安全管理實施細則》;BS7799-2:1999((信息安全管理體系規范》��。
??? (2)IS013335:IS013335《IT安全管理方針》主要是給出如何有效地實施IT安全管理的建議和指南�。該標準目前分為5個部分,分別是信息技術安全的概念和模型部分;信息技術安全的管理和計劃部分;信息技術安全的技術管理部分;防護和選擇部分以及外部連接的防護部分�。
