外包企业ISO27001信息安全管理的实践探索
自从商务部推出服务外包“千百十工程”之后,在政府政策的大力扶持之下,国内外包产业发展的如火如荼,为了能够承接更多高端服务,满足客户的要求,商务部同时鼓励外包企业通过国际认证以获得更好的竞争力和良好的企业形象。ISO27001信息安全管理体系(ISMS)认证在此背景下,在外包公司得到了比较广泛的认可。越来越多的外包公司已经实施、或者计划实施ISO27001认证。为了更好地理解外包企业信息安全的需要,首先简要分析一下服务外包业务的特点,当然,由于信息安全是本文的发力点,仅仅分析列出与信息安全相关的业务特点:
1. 知识密集型,对人才的要求很好
外包服务属于知识型密集产业,很多业务都需要从业人员有相关的培训教育经历和丰富的实践经验,与制造业有很大区别。因此外包需要的人力资源要求就高,而外包业务恰恰依赖的就是人。
2. 外包成果无形化,难以量化评估
外包最终的成果多数并非是实物化产品,而是一种服务,这就难以将成果量化进行评估,但是在某些方面也存在一些公认的评价体系,如软件外包领域内CMMI国际认证,这是对软件外包接包商能力的一种评价指标。另外,在考量接包方在客户信息保密等方面,国际国内客户基本都已经认同ISO27001信息安全管理体系(ISMS)认证,这是接包方在信息安全能力方面的评价框架。
3. 很大程度上依赖互联网和通信技术
目前国内外包业务大多数是离岸外包,双方合作关系的确立以及业务的发展必须依赖互联网和通信技术。对于互联网和通信技术的过分依赖使得服务外包又具有了一种新的风险,通信网络的中断将导致业务的中断。(安信达咨询www.isocsr.com)
服务外包企业的信息安全建设在政府政策的鼓励以及客户的要求的下,信息安全管控水平不断提高,ISO27001信息安全管理体系(ISMS)认证在外包企业也是强劲发展,尽管到目前为止,通过认证的企业的绝对数不大,但是发展很快,而对于这些数据贡献,绝大部分是来自服务外包企业。尽管如此,但是服务外包企业对信息安全管理还是存在着较多误区,主要几点归纳如下。
1. 信息安全认识误区
尽管国内的外包行业有将近10年度发展历史,但是大的外包公司还不多,外包业务主要还是集中在软件外包,而软件外包的客户主要是做日韩企业。日韩客户一般对信息安全的要求都比较高,国内外包企业这么多年在与客户打交道时,在客户的要求,不断提高企业自身的信息安全控制水平,但是在外包企业信息安全建设的过程中,出现了这样或那样的对信息安全建设的误区,其中的原因有迫于客户的压力来提升企业信息安全管理水平,主动性要求不高,企业自身在信息安全方面的积累也不多,另外也有一些外包企业急功近利,为了迎合客户的要求而仅仅做做表面文章。
(1) 安全防御的重点是来自外部的攻击
由于媒体的报道以及一些安全产品厂商为了自身业务的需要而做的一些错误的引导,导致外包企业,甚至其他行业的公司都认为企业所面临的威胁主要是来自外界。各类安全威胁中,企业最重视哪3类?据《信息周刊》的调查来看,病毒和蠕虫,间谍软件,垃圾邮件3类威胁一直高居榜首。但是依据此3类威胁部署的企业信息安全方案将仅限于信息安全产品的老三样—防病毒、防火墙和IDS的老路上。实际上,企业内部数据安全的危害性正在日益上升,如未经授权的雇员对文件或数据的访问、带有公司数据的可移动设备遗失或失窃等,恶意员工故意破坏信息系统甚至泄漏企业机密等,但是这一点还没有引起企业足够的重视。
信息技术市场调研公司高德纳公司(Gartner)早些时候曾进行信息安全事件的调查,发现有70%以上的事故是企业内部所导致的。其实我们仔细想想并平时多留言一下自己身边的事情,我们不难发现,容量很大、携带方便的便携式的移动设备,比如U盘、手机、iPod等用在存取数据时经常在不知不觉中,就充当了病毒的传播者。更可怕的是,小巧且读写快速很快的U盘能在短短几秒钟之内把企业和核心机密拷走而不被人发现。
对于服务外包企业来说,由于人员的高素质,特别是对于IT服务外包的企业,大多数员工都具有良好的IT知识和技能,利用IT系统做出不利于公司的欺诈和泄密事件,可能将更隐蔽和轻车熟路。这对于外包公司来说,无疑是个很大的威胁。
外包企业应该首先要提高认识,把信息安全防御的重点从外部防御转向内部教育和防范。加强对员工的信息安全意识教育,培训员工具备基本的安全技能。另外,从数据保密的角度上来,对于重要机密信息,应做好加密的技术措施。
(2) 好的信息安全就是不出安全事故
以是否发生安全事故作为企业信息安全工作好坏的衡量标准,使得信息安全工作限于十分被动的位置,这主要体现在两个方面,一方面是对企业领导来说,特别是这些服务外包公司而言,由于很多公司的业务发展也没几年,而且也没有成为外部威胁主动攻击的对象,这不像银行系统,因此发生足以引起领导层重视的信息安全事件不多,有些企业甚至没有,所以,企业领导就盲目的认为公司当前信息安全防范工作已经足够,无须再投入更多的人力和物力来加强企业的信息安全建设;另外一个方面是对企业内部直接负责维护信息安全的IT部门来说,他们将面临着巨大的压力,因为谁又能保证百分百不出安全事故呢?
其实,之所以这么认为,是没有正确认识的信息安全。世上万事万物不是绝对的,信息安全的处理应该遵循风险管理的原则和方法。安全事件的发生与否也应该以风险的方式来处理。对于某个可能发生的安全事件,分析导致其发生的根本原因,发生的可能性以及可能造成的后果,再判断将要采取的应对措施的有效性以及成本,根据企业风险的可接受水平,做出合理的风险处置方案。
(3) 头疼医头就足够了
企业安全管理过于分散也是不容忽视的问题。信息安全在国内的发展以及市场上也不乏优良的安全技术,但其部署往往是“头痛医头,脚痛医脚”,彼此间不能妥善协作,这不但会造成资源浪费,还会在安全部署上留下漏洞。这种技术产品上处理问题的方式给企业对信息安全问题的解决的认识带来如此的偏见。在信息安全管理方面,也是同样存在同样的问题。
针对这个问题,提高认识当然是当务之急,但是要落实变成可执行的制度和流程,那么外包企业需要制定整体信息安全战略、业务持续及灾难恢复战略和计划、配置架构的标准和流程以及致力于知识产权和信息保护的政策和流程,并执行定期的穿透测试、威胁和弱点评估及风险评估。
