IT外包安全，不必因噎廢食

2013-04-18 16:14 作者：admin

眾所周知，保證IT系統的安全、穩定和可靠運行是IT部門義不容辭的職責，問題是安全、穩定和可靠永遠是相對的，得看企業IT投入和ROI。比如基礎設施和基礎應用系統雖非核心IT應用，但因應用面廣，一旦出問題影響面大。

IT外包雖能降低成本、提高服務質量等，但也面臨很多風險。首先是信息安全的風險，任何企業都有商業秘密，把IT系統尤其核心信息系統的建設、運營和維護外包給IT服務提供商后，如何保證企業的商業秘密文件不被泄露出去是一個關鍵考慮的因素。因此，在外包時CIO既要謹慎又要積極防范風險。

IT外包中的信息安全風險也是很多CIO遲遲不能邁出外包步伐的原因之一。但是也不能因噎廢食，放棄利用外包，減輕IT負擔的機會。

在最近的一次會議上，多位CIO和IT外包供應商談到了它們對IT外包安全風險的看法，并提出了規避IT外包風險的建議。

1．減少核心業務外包。根據調查，企業信息泄露的80%來自企業內部，例如來自對公司或領導不滿的員工等。公司在決定IT外包之前，必須確定外包的部分包含的公司數據量較少。例如，拉法基瑞安的CIO陳梅女士表示，拉法基將公司的電腦維修業務外包。這部分業務的工作量比較龐大，包含的信息較少。因此，外包是否會泄露公司信息取決于外包的業務內容。

2．制定外包工作進行期間的規范，例如，不得攜帶存儲設備進入工作場地等。

3．法規制約。檢查外包公司是否遵循數據隱私法案和特殊行業法規，例如薩班斯法案、HIPPA、ISO20007等。

4．技術保證。檢查外包供應商是否具備保障信息安全的技術條件。

5．公司在選擇外包供應商之初，應該首先查看外包供應商的保密政策，并在外包合同中明確保密協議和信息泄露后的責任歸屬。

IT外包的信息安全保障正在被越來越多的公司和CIO們認可。AmplitudeResearch的調查數據證明了對外包安全的認可：認為IT外包對安全有積極影響的比例至少從2009年的24%上升到了2011年的36%，而認為有負面影響的比例從2009年50%下降到了今年的36%。350位來自各公司的CIO和CTO們參與了該調查。