一、背景
?
政府機構和國有企事業單位為加快提升電子政務、電子商務等信息化服務水平,迫切需要借助和依靠社會力量來共同促進其IT業務發展。互聯網+、大數據、云計算、移動應用、物聯網、智慧城市、密碼技術等IT技術應用多元化發展,呈爆發式增長趨勢,發展速度和建設運營能力提升等因素,促使IT外包正在成為新的熱門話題。
?
IT外包是指,客戶將原本由自身承擔的IT科技活動委托給第三方進行處理。由于責任關系、信任關系、風險關系的變化,客戶除了關注IT外包的目標實現、進度、質量、成本控制外,還需要更多地關注安全風險。一旦出現外包中斷、交付問題、信息泄露、重大安全事件等,將造成(特別是政府部門和大型企事業單位)聲譽受損、財務受損,嚴重的可能導致社會混亂,甚至危害國家安全。因此,研究并做好IT外包及其安全管理控制,是開展IT外包工作的一項非常重要的工作。
?
二、國內外IT外包及安全管理標準
?
基于此,我們有必要研究和借鑒國際國內IT外包及安全標準的研究成果,結合政策、法規、市場、技術和實際應用情況,做好IT外包安全管理。其中,ISO 37500(外包指南)、ISO 27036-3(供應商關系的信息安全-ICT供應鏈安全指南)、NIST SP800-161(美國聯邦信息系統和機構供應鏈風險管理實踐)、GB/T 32926(政府部門信息技術服務外包信息安全管理規范)等,可為IT外包安全管理提供極有價值的指引。
?
1、ISO 37500外包指南
?
ISO 37500是國際標準化組織(ISO)制定的外包指南(Guidance on outsourcing),基于客戶與供應商共同利益,闡述了外包模型、外包治理框架、外包戰略(策略)分析、外包的啟動與選擇、外包準備工作的過渡(移交)、外包執行與價值交付。ISO 37500以外包治理為核心,通過對外包生命周期中四個階段、34個主要活動及關鍵工程要素、相應的輸入輸出等內容的描述,全面闡述了外包相關的考慮因素和指導,并提供了外包風險清單,是制定IT外包安全管理的重要參考依據。
?
?
圖1:外包管理模型
?
2、ISO 27036-3供應商關系的信息安全-ICT供應鏈安全指南
?
ISO 27036是國際標準化組織(ISO)制定的“供應商關系的信息安全(Information security for supplier relationships),由四部分組成:ISO 27036-1(概述和概念),ISO 27036-2(要求),ISO 27036-3(ICT供應鏈安全指南),ISO 27036-4(云服務安全指南)。其中,ISO 27036-3表述了供應鏈安全的關鍵概念和實踐,重點圍繞供應鏈生命周期的四個過程(協議過程、項目使能過程、項目過程、技術過程),闡述了25個具體過程及150個活動,用以保障供應鏈過程的安全,適用于供應鏈(外包)過程的安全管理。
?
圖2:供應商關系的信息安全–ICT供應鏈安全框架?
?
3、NIST SP800-161美國聯邦信息系統和機構的供應鏈風險管理實踐
?
NIST SP800-161是美國國家標準與技術研究院(NIST)制定的標準,指導美國聯邦機構識別、評估、選擇、實施ICT供應鏈風險管理過程,通過一系列控制措施來管理ICT供應鏈風險。NIST SP800-161將ICT供應鏈風險從組織層、業務層、信息系統層等多層面,按“框架-評估-響應-監控”為風險管理模型,確定目標要求,識別風險,以控制措施來響應和監控風險。該標準基于NIST SP800-53以及SP800-30、35、39標準,并結合供應鏈的特點,制定了19個簇(Family)和129個控制措施,可完整地管控供應鏈安全風險。
?
圖3:ICT供應鏈風險管理框架
?
4、GB/T 32926政府部門信息技術服務外包的信息安全管理規范
?
GB/T 32926是我國針對政府部門信息技術外包安全管理的推薦國家標準,目前處于報批階段,即將正式發布。GB/T 32926與ISO 37500框架基本一致,是一個適合我國國情的實用標準,其安全控制措施采用了ISO27001的要求和ISO27001的具體實踐,并和NIST SP800—53相一致。該標準從綜述、規劃準備、機構人員選擇、運行監督、基本控制等方面,闡述了信息技術外包安全管理的基本要求,對政府部門IT外包具有實用的指導價值。
?
?圖4:政府部門信息技術服務外包的信息安全管理規范(內容框架)
?
三、開展IT外包安全管理工作的思路
?
為更好開展IT外包安全管理工作,需要遵循國家法律和政策,參照國家標準、國際標準以及行業最佳實踐,結合自身實際情況,制定外包安全管理策略和措施。
?
1、依據法律法規、政策標準、行業規定,因地制宜,確定IT外包的方法論;?
2、建立IT外包的治理機構(管理機構和職責), 制定外包安全管理策略和制度;
3、評估和管理外包風險,挑選合格的外包服務機構和人員,制定外包合同安全條款;
4、實施中,做好環境和資源準備,控制風險,做好監督檢查,按合同完成驗收交付;
5、對售后服務進行跟蹤檢查,及時發現、控制和解決風險,保障業務安全和連續性;
6、持續優化IT外包管理、控制措施和監督檢查工作。
?
IT外包無論是外包(Outsourcing)、供應鏈(Supply Chain)還是供應商關系(Supplier relationship),都有大致相同和的闡述。對于客戶和供應商,如何做好IT外包,如何管理和控制IT外包帶來的安全風險,保障業務快速、安全、持續發展,是業界需要深入研究和實踐的課題。我們希望,研究機構、IT服務供應商、客戶三方攜手共同努力,深化理論研究和實踐應用,不斷提升我國IT外包安全管理水平,促進IT業務整體健康發展。
?