論文關鍵詞:資訊保安 外包 風險 管理
論文摘要:文章首先分析了資訊保安外包存在的風險,根據風險提出資訊保安外包的管理框架,並以此框架為基礎詳細探討了資訊保安外包風險與管理的具體實施。文章以期時資訊保安外包的風險進行控制,並獲得與外包商合作的最大收益。
1資訊保安外包的風險
1.1信任風險
企業是否能與資訊保安服務的外包商建立良好的工作和信任關係,仍是決定時候將安全服務外包的一個重要因素。因為資訊保安的外包商可以訪問到企業的敏感資訊,並全面瞭解其企業和系統的安全狀況,而這些重要的資訊如果被有意或無意地對公眾散播出去,則會對企業造成巨大的損害。並且,如若企業無法信任外包商,不對外包商提供一些關鍵資訊的話,則會造成外包商在運作過程中的資訊不完全,從而導致某些環節的失效,這也會對服務質量造成影響。因此,信任是雙方合作的基礎,也是很大程度上風險規避的重點內容。
1.2依賴風險
企業很容易對某個資訊保安服務的外包商產生依賴性,並受其商業變化、商業夥伴和其他企業的影響,恰當的風險緩釋方法是將安全服務外包給多個服務外包商,但相應地會加大支出並造成管理上的困難,企業將失去三種靈活性:第一種是短期靈活性,即企業重組資源的能力以及在經營環境發生變化時的應變能力;第二種是適應能力,即在短期到中期的事件範圍內所需的靈活性,這是一種以新的方式處理變革而再造業務流程和戰略的能力,再造能力即包括了資訊技術;第三種靈活性就是進化性,其本質是中期到長期的靈活性,它產生於企業改造技術基本設施以利用新技術的時期。進化性的獲得需要對技術趨勢、商業趨勢的準確預測和確保雙方建立最佳聯盟的能力。
1.3所有權風險
不管外包商提供服務的範圍如何,企業都對基礎設施的安全操作和關鍵資產的保護持有所有權和責任。企業必須確定服務外包商有足夠的能力承擔職責,並且其服務級別協議條款支援這一職責的履行。正確的風險緩釋方法是讓包括員工和管理的各個級別的相關人員意識到,應該將資訊保安作為其首要責任,並進行安全培訓課程,增強常規企業的安全意識。
1.4共享環境風臉
資訊保安服務的外包商使用的向多個企業提供服務的操作環境要比單獨的機構內部環境將包含更多的風險,因為共享的操作環境將支援在多企業之間共享資料傳輸(如公共網路)或處理(如通用伺服器),這將會增加一個企業訪問另一企業敏感資訊的可能性。這對企業而言也是一種風險。
1.5實施過程風險
啟動一個可管理的安全服務關係可能引起企業到服務外包商,或者一個服務外包商到另一個外包商之間的人員、過程、硬體、軟體或其他資產的複雜過渡,這一切都可能引起新的風險。企業應該要求外包商說明其高階實施計劃,並註明完成日期和所用時間。這樣在某種程度上就對實施過程中風險的時間期限做出了限制。
1.6合作關係失敗將導致的風險
如果企業和服務商的合作關係失敗,企業將面臨極大的風險。合作關係失敗帶來的經濟損失、時間損失都是不言而喻的,而這種合作關係的失敗歸根究底來自於企業和服務外包商之間的服務計劃不夠充分完善以及溝通與交流不夠頻繁。這種合作關係在任何階段都有可能失敗,如同其他商業關係一樣,它需要給予足夠的重視、關注,同時還需要合作關係雙方進行頻繁的溝通。
2資訊保安外包的管理框架