论文部分内容阅读
[摘 要] 安全外包是近年来国外兴起的一种服务形式,根据安全服务市场中出现的问题,分析成因,从企业自身定位、外包流程规范、安全服务商选择、服务内容管理、与外包商关系管理等方面构造安全服务框架,提出安全外包服务管理措施。
[关键词] 安全外包 中小企业 管理与控制
安全外包是近年来国外兴起的一种服务形式,CISCO等很多国际安全企业目前都已经把安全外包服务作为其业务的重点来发展,并且实现了大量的盈利。据有关资料报道,2005年全球安全外包服务市场销售额达到了50亿美元左右,预计到2009年将达到80亿美元,来自中型和小型企业组织的收入比例分别为30%和21%左右。我国中小企业约有1100万家,占到了企业总数的99%以上。权威调研机构的信息安全调查报告显示:针对中小企业的安全事件持续攀升,尽管在这方面的投入不断增多,但情况依然难以令人乐观。安全问题成了各行各业的一个热门话题。对企业来说,如何管理安全性问题不仅和业务有关,企业的声誉、信任度以及内部稳定性都与安全有关。在电子商务环境下,对中、小企业来说,“安全”的含义远不是企业网站是否遭受病毒、黑客的侵入那么简单,它还必须包括网站内的信息、数据库资料、在线交易等是否安全。然而,并不是所有的企业都有实力和精力安排专职人员做好本企业的信息安全建设,基于成本和技术考虑,安全外包成为更多企业明智的选择。
一、安全外包服务中存在的问题
从成本技术考虑,中小企业有强烈的外包欲望,但目前安全外包市场缺乏主导厂商,提供低端服务的小公司较多,提供的服务质量参差不齐。各厂商往往打出各种“技术牌、概念牌、成功案例牌”,令企业眼花缭乱、真伪难辨。企业在评估和选择外包服务方面没有成熟的方法,难以做出正确的抉择。分析目前安全外包市场,存在的主要问题有以下几点:
1.担心信息泄漏。企业担心安全服务公司接触企业的关键业务数据,尤其是交易数据,容易发生信息泄密。
2.相关的法律法规不健全,不能有效地管理企业和安全服务外包方的契约关系。在没有法律约束的情况下,外包维护管理质量处于失控状态,安全外包费用增加。
3.外包服务商良莠不齐,导致企业面对众多的安全产品不知道如何合理选择,不知道如何选择服务商。
4.很多企业用户在把安全外包出去后,不知道如何正确管理和控制,以及怎样维护和管理与外包商的关系。
5.中小企业的网络或设备的使用人员的技术水平相对较低,很难与外包商提供的技术人员开展沟通,以至于使服务的有效程度打了折扣。
二、问题分析
企业对外包的需求非常急迫,外包市场前景广阔。国外厂商看准了我国安全潜在庞大市场,加紧攻城掠地。来自IDC的调查显示,思科、网屏、安氏、冠群等著名外资网络安全厂商等均已进入中国市场。面对国外公司紧逼的态势,国内企业早在一两年前就提出以服务促发展的概念,但提供何种服务、如何提供、服务的质量标准是什么等问题仍困扰服务商。从前面出现的问题表象看,原因由以下几个方面造成的:
1.企业外包决策盲目。很多企业想做外包时没有考虑是否一定要外包,盲目跟风,外包哪些内容不清楚,安全目标定位不明确,担心目标定位低,加上服务缩水,不能满足需求,会人为地把服务需求提得很高,于是造成支出费用增加。
2.缺乏可信任的第三方中介机构。因为没有可信任的第三方,缺失三种角色:一是认证,安全服务商的资质、财务情况的认证;二是监督,对安全服务商进行监督,企业的关键信息泄漏,安全服务商必须受到处罚;三是中介,供需撮合的作用,弥补外包服务商与企业沟通不足。
3.缺乏面向整个服务过程的管理框架。安全外包服务是一个以了解用户需求开始,以解决安全隐患,并获得反馈,不断改进的循环往复的动态过程。Meta数据显示,仅有58%外包安全服务的企业会通过责任、流程、安全标准和未达到合同要求时的罚金等对其合作伙伴进行适当的控制,因此需要规范服务框架。
4.缺乏服务商选择、关系管理机制。不同品牌的安全服务商提供的产品质量、服务、风险无法简单比较,在选择时应从品牌、服务、产品质量、存在的风险等方面综合考虑。
三、安全外包的管理与控制
1.安全外包决策
在考虑外包时一定要考虑选择外包后能否解决本企业的安全问题,是否会产生企业无法控制的问题?从企业的内部环境考虑,需要外包的企业一般具有如下特点:(1)布局分散广,支持响应要求较高;(2)发展速度较快的成长型企业;(3)对信息化要求高;(4)对信息化成本控制严格;(5)注重核心竞争力得企业。
企业布局分散,安全管理难度高,自己维护成本高,外包可以提高服务水平;发展速度快的企业要使安全与企业发展同步,在技术人员的培训上需要耗费的资金比较多,外包给专业的公司可以节约资金;信息化要求程度高,成本控制严格的企业通过外包可以降低维护成本,提高服务水平,专注于核心竞争力的提高。因此在考虑是否需要外包时,先要考虑企业的性质及内部环境。
2.安全服务工作流程管理
为使安全外包活动能够正常运转,需要执行正确地外包步骤。安全外包的主要步骤为:定义安全需求、确定外包内容、组成外包小组、选择外包商、签订合同和外包管理。在第三方中介机构参与下,借助于信息化平台,安全服务流程可改进为:
(1)企业用户确定安全服务目标,发布安全需求。主要确定服务目标、范围、服务水平,通过第三方中介平台发布安全需求。
(2)安全服务商提出服务申请。安全服务商向第三方提交资质证书接受认证,通过认证后可以向企业提交服务申请。
(3)企业接受申请。企业成立外包小组,接受服务商的申请,按照综合因素评价服务商,给出服务商选择建议。
(4)网络安全工程师上门现场了解企业网络安全环境, 根据企业实际情况提供初步解决方案。
(5)双方借助于平台初步协商。服务商通过平台提交安全方案,双方借助于平台初步协商。
(6)双方洽谈服务协议条款及外包服务内容。第三方中介给出双方可以洽谈的内容,起到供需撮合功能。
(7)按照服务框架,签署安全外包协议。第三方中介根据洽谈的内容和安全方案给出合同框架。
(8)协议生效后,网络安全工程师按协议规定时间及维护内容开始提供服务。
(9)每次服务结束,填写有关文件,确认服务效果。
安全服务是一种特殊的商品,不但要满足企业的安全功能,而且要面向企业快速反应。在第三方中介平台参与下的服务流程符合电子商务交易的特点,能有效消除企业和服务商的洽谈障碍。
3.外包服务商的选择与管理
企业和外包商签订的合同一般时间比较长,合同期间安全技术、服务水平、企业环境会发生很大变化,因此要从战略的高度,综合考虑服务商的内部、外部因素做出决策。外部因素有:服务商的品牌、发展前景、业界地位。内部因素有:运营状态、财务状况、受政策影响情况。主要评价参数为:服务级别、资金、品牌、存在风险等方面,服务商分类评价如表1所示。
在上述评价参数中,首要考虑的是服务商的服务,其次是服务商的财务状况,这决定服务商能否持久服务,服务商的产品是否受国家政策影响,是考虑风险大小的一个方面,此外还要考虑外包组织的管理、与企业的战略目标的配合度等因素。
4.服务框架设计
安全服务协议是规范安全服务的准绳,必须有足够的权限来保证安全工作的开展,要规定服务商不能接触到哪些系统,对授予服务商的权限有安全感,一旦出现机密信息泄密,要有行政惩罚措施。在签定协议时候,要对提供服务的人员有一定要求,如详细名单,这些人的资质、背景等。否则,招标时提供的名单,在实际服务时,可能全部被换掉了,这也是需要加以控制的问题。如果这些人员变更了,要有一定的补救措施,对此企业应该进行详细规定。服务内容及服务标准如表2所示。
在安全外包中,“控制权的丧失”是最大的风险,要避免由于安全外包而被第三方控制,在外包协商阶段要制订详尽的服务标准、服务等级、响应能力等执行的细节,并对规则之外的事件做好约定。在第三方中介支持下的外包可以从众多安全外包服务中挖掘管理控制规则不断完善管理框架。
四、结束语
安全外包作为IT外包的一个最为核心的部分,正随着IT外包的发展而不断展开。不论从理论上还是技术上都是可行的,综合成本和收益的角度考虑,也是经济的。尽管在实施中还会出现这样那样的问题,但安全外包终会成为未来企业解决安全问题的一种趋势。随着第三方认证和相关的标准和立法也逐渐出台,从更高层次去管理和规范双方的行为,提升外包的信度和效度。信息安全外包会能突破其发展中的瓶颈,给企业和社会带来可观的效益。
参考文献:
[1]张勇谦:网络安全外包服务市场分析[D].北京:北京邮电大学.2007
[2]胡克瑾:信息安全外包的控制与管理框架的研究[D].上海:同济大学.2006
[3]王 鹤:安全外包评估企业风险[J].中国计算机用户,2006(12):77
[关键词] 安全外包 中小企业 管理与控制
安全外包是近年来国外兴起的一种服务形式,CISCO等很多国际安全企业目前都已经把安全外包服务作为其业务的重点来发展,并且实现了大量的盈利。据有关资料报道,2005年全球安全外包服务市场销售额达到了50亿美元左右,预计到2009年将达到80亿美元,来自中型和小型企业组织的收入比例分别为30%和21%左右。我国中小企业约有1100万家,占到了企业总数的99%以上。权威调研机构的信息安全调查报告显示:针对中小企业的安全事件持续攀升,尽管在这方面的投入不断增多,但情况依然难以令人乐观。安全问题成了各行各业的一个热门话题。对企业来说,如何管理安全性问题不仅和业务有关,企业的声誉、信任度以及内部稳定性都与安全有关。在电子商务环境下,对中、小企业来说,“安全”的含义远不是企业网站是否遭受病毒、黑客的侵入那么简单,它还必须包括网站内的信息、数据库资料、在线交易等是否安全。然而,并不是所有的企业都有实力和精力安排专职人员做好本企业的信息安全建设,基于成本和技术考虑,安全外包成为更多企业明智的选择。
一、安全外包服务中存在的问题
从成本技术考虑,中小企业有强烈的外包欲望,但目前安全外包市场缺乏主导厂商,提供低端服务的小公司较多,提供的服务质量参差不齐。各厂商往往打出各种“技术牌、概念牌、成功案例牌”,令企业眼花缭乱、真伪难辨。企业在评估和选择外包服务方面没有成熟的方法,难以做出正确的抉择。分析目前安全外包市场,存在的主要问题有以下几点:
1.担心信息泄漏。企业担心安全服务公司接触企业的关键业务数据,尤其是交易数据,容易发生信息泄密。
2.相关的法律法规不健全,不能有效地管理企业和安全服务外包方的契约关系。在没有法律约束的情况下,外包维护管理质量处于失控状态,安全外包费用增加。
3.外包服务商良莠不齐,导致企业面对众多的安全产品不知道如何合理选择,不知道如何选择服务商。
4.很多企业用户在把安全外包出去后,不知道如何正确管理和控制,以及怎样维护和管理与外包商的关系。
5.中小企业的网络或设备的使用人员的技术水平相对较低,很难与外包商提供的技术人员开展沟通,以至于使服务的有效程度打了折扣。
二、问题分析
企业对外包的需求非常急迫,外包市场前景广阔。国外厂商看准了我国安全潜在庞大市场,加紧攻城掠地。来自IDC的调查显示,思科、网屏、安氏、冠群等著名外资网络安全厂商等均已进入中国市场。面对国外公司紧逼的态势,国内企业早在一两年前就提出以服务促发展的概念,但提供何种服务、如何提供、服务的质量标准是什么等问题仍困扰服务商。从前面出现的问题表象看,原因由以下几个方面造成的:
1.企业外包决策盲目。很多企业想做外包时没有考虑是否一定要外包,盲目跟风,外包哪些内容不清楚,安全目标定位不明确,担心目标定位低,加上服务缩水,不能满足需求,会人为地把服务需求提得很高,于是造成支出费用增加。
2.缺乏可信任的第三方中介机构。因为没有可信任的第三方,缺失三种角色:一是认证,安全服务商的资质、财务情况的认证;二是监督,对安全服务商进行监督,企业的关键信息泄漏,安全服务商必须受到处罚;三是中介,供需撮合的作用,弥补外包服务商与企业沟通不足。
3.缺乏面向整个服务过程的管理框架。安全外包服务是一个以了解用户需求开始,以解决安全隐患,并获得反馈,不断改进的循环往复的动态过程。Meta数据显示,仅有58%外包安全服务的企业会通过责任、流程、安全标准和未达到合同要求时的罚金等对其合作伙伴进行适当的控制,因此需要规范服务框架。
4.缺乏服务商选择、关系管理机制。不同品牌的安全服务商提供的产品质量、服务、风险无法简单比较,在选择时应从品牌、服务、产品质量、存在的风险等方面综合考虑。
三、安全外包的管理与控制
1.安全外包决策
在考虑外包时一定要考虑选择外包后能否解决本企业的安全问题,是否会产生企业无法控制的问题?从企业的内部环境考虑,需要外包的企业一般具有如下特点:(1)布局分散广,支持响应要求较高;(2)发展速度较快的成长型企业;(3)对信息化要求高;(4)对信息化成本控制严格;(5)注重核心竞争力得企业。
企业布局分散,安全管理难度高,自己维护成本高,外包可以提高服务水平;发展速度快的企业要使安全与企业发展同步,在技术人员的培训上需要耗费的资金比较多,外包给专业的公司可以节约资金;信息化要求程度高,成本控制严格的企业通过外包可以降低维护成本,提高服务水平,专注于核心竞争力的提高。因此在考虑是否需要外包时,先要考虑企业的性质及内部环境。
2.安全服务工作流程管理
为使安全外包活动能够正常运转,需要执行正确地外包步骤。安全外包的主要步骤为:定义安全需求、确定外包内容、组成外包小组、选择外包商、签订合同和外包管理。在第三方中介机构参与下,借助于信息化平台,安全服务流程可改进为:
(1)企业用户确定安全服务目标,发布安全需求。主要确定服务目标、范围、服务水平,通过第三方中介平台发布安全需求。
(2)安全服务商提出服务申请。安全服务商向第三方提交资质证书接受认证,通过认证后可以向企业提交服务申请。
(3)企业接受申请。企业成立外包小组,接受服务商的申请,按照综合因素评价服务商,给出服务商选择建议。
(4)网络安全工程师上门现场了解企业网络安全环境, 根据企业实际情况提供初步解决方案。
(5)双方借助于平台初步协商。服务商通过平台提交安全方案,双方借助于平台初步协商。
(6)双方洽谈服务协议条款及外包服务内容。第三方中介给出双方可以洽谈的内容,起到供需撮合功能。
(7)按照服务框架,签署安全外包协议。第三方中介根据洽谈的内容和安全方案给出合同框架。
(8)协议生效后,网络安全工程师按协议规定时间及维护内容开始提供服务。
(9)每次服务结束,填写有关文件,确认服务效果。
安全服务是一种特殊的商品,不但要满足企业的安全功能,而且要面向企业快速反应。在第三方中介平台参与下的服务流程符合电子商务交易的特点,能有效消除企业和服务商的洽谈障碍。
3.外包服务商的选择与管理
企业和外包商签订的合同一般时间比较长,合同期间安全技术、服务水平、企业环境会发生很大变化,因此要从战略的高度,综合考虑服务商的内部、外部因素做出决策。外部因素有:服务商的品牌、发展前景、业界地位。内部因素有:运营状态、财务状况、受政策影响情况。主要评价参数为:服务级别、资金、品牌、存在风险等方面,服务商分类评价如表1所示。
在上述评价参数中,首要考虑的是服务商的服务,其次是服务商的财务状况,这决定服务商能否持久服务,服务商的产品是否受国家政策影响,是考虑风险大小的一个方面,此外还要考虑外包组织的管理、与企业的战略目标的配合度等因素。
4.服务框架设计
安全服务协议是规范安全服务的准绳,必须有足够的权限来保证安全工作的开展,要规定服务商不能接触到哪些系统,对授予服务商的权限有安全感,一旦出现机密信息泄密,要有行政惩罚措施。在签定协议时候,要对提供服务的人员有一定要求,如详细名单,这些人的资质、背景等。否则,招标时提供的名单,在实际服务时,可能全部被换掉了,这也是需要加以控制的问题。如果这些人员变更了,要有一定的补救措施,对此企业应该进行详细规定。服务内容及服务标准如表2所示。
在安全外包中,“控制权的丧失”是最大的风险,要避免由于安全外包而被第三方控制,在外包协商阶段要制订详尽的服务标准、服务等级、响应能力等执行的细节,并对规则之外的事件做好约定。在第三方中介支持下的外包可以从众多安全外包服务中挖掘管理控制规则不断完善管理框架。
四、结束语
安全外包作为IT外包的一个最为核心的部分,正随着IT外包的发展而不断展开。不论从理论上还是技术上都是可行的,综合成本和收益的角度考虑,也是经济的。尽管在实施中还会出现这样那样的问题,但安全外包终会成为未来企业解决安全问题的一种趋势。随着第三方认证和相关的标准和立法也逐渐出台,从更高层次去管理和规范双方的行为,提升外包的信度和效度。信息安全外包会能突破其发展中的瓶颈,给企业和社会带来可观的效益。
参考文献:
[1]张勇谦:网络安全外包服务市场分析[D].北京:北京邮电大学.2007
[2]胡克瑾:信息安全外包的控制与管理框架的研究[D].上海:同济大学.2006
[3]王 鹤:安全外包评估企业风险[J].中国计算机用户,2006(12):77