一、背景
政府机构和国有企事业单位为加快提升电子政务、电子商务等信息化服务水平,迫切需要借助和依靠社会力量来共同促进其IT业务发展。互联网+、大数据、云计算、移动应用、物联网、智慧城市、密码技术等IT技术应用多元化发展,呈爆发式增长趋势,发展速度和建设运营能力提升等因素,促使IT外包正在成为新的热门话题。
IT外包是指,客户将原本由自身承担的IT科技活动委托给第三方进行处理。由于责任关系、信任关系、风险关系的变化,客户除了关注IT外包的目标实现、进度、质量、成本控制外,还需要更多地关注安全风险。一旦出现外包中断、交付问题、信息泄露、重大安全事件等,将造成(特别是政府部门和大型企事业单位)声誉受损、财务受损,严重的可能导致社会混乱,甚至危害国家安全。因此,研究并做好IT外包及其安全管理控制,是开展IT外包工作的一项非常重要的工作。
二、国内外IT外包及安全管理标准
基于此,我们有必要研究和借鉴国际国内IT外包及安全标准的研究成果,结合政策、法规、市场、技术和实际应用情况,做好IT外包安全管理。其中,ISO 37500(外包指南)、ISO 27036-3(供应商关系的信息安全-ICT供应链安全指南)、NIST SP800-161(美国联邦信息系统和机构供应链风险管理实践)、GB/T 32926(政府部门信息技术服务外包信息安全管理规范)等,可为IT外包安全管理提供极有价值的指引。
1、ISO 37500外包指南
ISO 37500是国际标准化组织(ISO)制定的外包指南(Guidance on outsourcing),基于客户与供应商共同利益,阐述了外包模型、外包治理框架、外包战略(策略)分析、外包的启动与选择、外包准备工作的过渡(移交)、外包执行与价值交付。ISO 37500以外包治理为核心,通过对外包生命周期中四个阶段、34个主要活动及关键工程要素、相应的输入输出等内容的描述,全面阐述了外包相关的考虑因素和指导,并提供了外包风险清单,是制定IT外包安全管理的重要参考依据。
图1:外包管理模型
2、ISO 27036-3供应商关系的信息安全-ICT供应链安全指南
ISO 27036是国际标准化组织(ISO)制定的“供应商关系的信息安全(Information security for supplier relationships),由四部分组成:ISO 27036-1(概述和概念),ISO 27036-2(要求),ISO 27036-3(ICT供应链安全指南),ISO 27036-4(云服务安全指南)。其中,ISO 27036-3表述了供应链安全的关键概念和实践,重点围绕供应链生命周期的四个过程(协议过程、项目使能过程、项目过程、技术过程),阐述了25个具体过程及150个活动,用以保障供应链过程的安全,适用于供应链(外包)过程的安全管理。
图2:供应商关系的信息安全–ICT供应链安全框架
3、NIST SP800-161美国联邦信息系统和机构的供应链风险管理实践
NIST SP800-161是美国国家标准与技术研究院(NIST)制定的标准,指导美国联邦机构识别、评估、选择、实施ICT供应链风险管理过程,通过一系列控制措施来管理ICT供应链风险。NIST SP800-161将ICT供应链风险从组织层、业务层、信息系统层等多层面,按“框架-评估-响应-监控”为风险管理模型,确定目标要求,识别风险,以控制措施来响应和监控风险。该标准基于NIST SP800-53以及SP800-30、35、39标准,并结合供应链的特点,制定了19个簇(Family)和129个控制措施,可完整地管控供应链安全风险。
图3:ICT供应链风险管理框架
4、GB/T 32926政府部门信息技术服务外包的信息安全管理规范
GB/T 32926是我国针对政府部门信息技术外包安全管理的推荐国家标准,目前处于报批阶段,即将正式发布。GB/T 32926与ISO 37500框架基本一致,是一个适合我国国情的实用标准,其安全控制措施采用了ISO27001的要求和ISO27001的具体实践,并和NIST SP800—53相一致。该标准从综述、规划准备、机构人员选择、运行监督、基本控制等方面,阐述了信息技术外包安全管理的基本要求,对政府部门IT外包具有实用的指导价值。
图4:政府部门信息技术服务外包的信息安全管理规范(内容框架)
三、开展IT外包安全管理工作的思路
为更好开展IT外包安全管理工作,需要遵循国家法律和政策,参照国家标准、国际标准以及行业最佳实践,结合自身实际情况,制定外包安全管理策略和措施。
1、依据法律法规、政策标准、行业规定,因地制宜,确定IT外包的方法论;
2、建立IT外包的治理机构(管理机构和职责), 制定外包安全管理策略和制度;
3、评估和管理外包风险,挑选合格的外包服务机构和人员,制定外包合同安全条款;
4、实施中,做好环境和资源准备,控制风险,做好监督检查,按合同完成验收交付;
5、对售后服务进行跟踪检查,及时发现、控制和解决风险,保障业务安全和连续性;
6、持续优化IT外包管理、控制措施和监督检查工作。
IT外包无论是外包(Outsourcing)、供应链(Supply Chain)还是供应商关系(Supplier relationship),都有大致相同和的阐述。对于客户和供应商,如何做好IT外包,如何管理和控制IT外包带来的安全风险,保障业务快速、安全、持续发展,是业界需要深入研究和实践的课题。我们希望,研究机构、IT服务供应商、客户三方携手共同努力,深化理论研究和实践应用,不断提升我国IT外包安全管理水平,促进IT业务整体健康发展。
