市場需求促生IT服務外包的快速發展

在強調企業核心競爭力的今天，IT服務外包作為長期戰略成本管理的新興工具逐漸被越來越多的企業所采用。服務外包的實質是企業和服務商之間一種“委托-代理”關系。企業進行資源整合，將有限的資源集中到最能反映企業優勢的領域，從而更好地構筑競爭優勢，以此獲得可持續發展的能力。同時，將其他環節外包給相應的服務商，以實現“成本控制”和“管理效益”的有效兼顧。

隨著企業業務發展過程中，信息系統所涉及的內容越來越多、結構越來越龐大，企業信息化再也不僅僅是IT部門自己的事情，企業在信息化建設和管理期間迎來了嚴峻的考驗。在多重壓力之下，許多企業認為IT部門最重要的工作是確保信息和流程的順暢，而傾向于將服務器、存儲系統、網絡等基礎設施、應用系統、非核心系統外包給服務商負責維護。

IT服務外包的風險

在企業尋求IT外包時，面臨一系列的管控和運營風險，特別是在信息安全風險方面！

外包是一柄雙刃劍，其好處是可以向企業灌輸技術與人才，幫助企業擺脫繁瑣的IT業務，有效的外包能讓公司更好的專注于核心業務。但是如果處理不好，反而會變成一場噩夢和致命的災難。

IT外包服務要成為一種商品，就必須形成一套規范和標準，以約束買賣雙方。目前國內IT外包服務領域既無統一規范也無公認標準，對于如何評估、簽合同、質量控制和定價等都是潛在的風險。此外，IT外包還面臨著 IT管理的復雜性、軟件缺失、知識產權以及IT外包服務提供商自身能否健康成長等風險。

信息安全是IT服務外包中的“關鍵詞”

企業在IT服務外包中面臨最大和最重要的挑戰是——如何確保在進行外包服務時，確保企業信息、數據安全性，如何建立起有效的信息安全管控框架，以符合企業信息安全要求！

以下是企業建立信息安全體系必須參考的評估標準和遵從的原則：

1、企業內部信息安全管控過程是否可持續監管和優化

在信息防泄漏的“戰爭”中，相比于躲在暗處的泄密者和安全威脅，站在明處的企業顯然略失先機。因此，良好的信息防泄體系的前提就是要時刻掌握企業動態，做到要有的放矢。很重要的一點是要實現內部操作的“可視化”，以隨時監測整個信息系統的安全狀況，做到迅速反應，甚至還能預測到潛在的風險，化被動防御為積極防御。

2、企業信息安全體系設計需進行全局評估和建設，規避疏漏和風險 　

在企業中，有時候可能是一個小小的系統漏洞就可能毀滅幾百萬投資的努力，或者一個無意的非法補丁行為就讓企業蒙受損失。因此，在解決安全問題之時，不能僅僅依賴透明加密等技術手段，而是需要站在一個更高的戰略角度來通盤考慮。如果缺乏一個整體的分析視角，可能會因為忽視或者低估某個安全攻擊的真正威脅，而使得采取的安全措施無法解決真正的問題。所以，在實際的防泄漏建設中，必須從整體上來評估企業的信息安全狀況，運用統一的平臺來進行風險和安全管理，檢測出內部問題，從而描繪出整個企業當前安全情況的更清晰和更準確的圖景，采取針對性的防護措施，最大限度降低企業的安全風險。

3、安全和防護等級措施

企業在構建立體化、全方位的整體信息防泄體系時并不是一刀切，不分輕重地在全公司范圍內采取相同的策略，這樣雖然看似達到了最為安全的效果，但對業務造成的巨大影響，以及因此產生的高額成本，對企業來說，都是巨大的負擔。 　

對信息安全來說，威脅和風險往往和高價值的信息資產聯系在一起，安全保護工作也就應該輕重有別，將重點放在高價值的信息資產上。在安全建設過程中，對涉密程度高的部門或崗位進行力度大的防御，對涉密程度低的部門采取相應的安全防御。同時衡量提升安全性可能帶來的業務操作上的麻煩、企業安全成本等問題，是企業必須要做的事情。 　

4、科學可行的安全策略和必要的技術手段實現動態性防護

動態性的信息泄露防護，對于目前泄密手段日益增多的企業來說，非常重要。企業需要建立一個動態性的安全防護，前瞻性地發現安全威脅，并通過對技術或管理上的策略進行及時調整更新，防范潛在的安全風險。

5、信息安全體系必須便于使用和維護

如今，市場上五花八門的信息防泄漏產品讓企業眼花繚亂，企業期望這種“強強組合”能給企業套上萬無一失的金鐘罩，但實際上企業不僅要付出較高的成本，并增加了技術的復雜性，還容易導致產品軟件沖突等問題。目前，能夠提供整體解決方案的單一安全產品成為優良選擇，能夠幫助企業建立統一的安全管理平臺，無論是對企業安全邊界防護，到內部使用都做了整體、全面的考慮，而且簡化了日常的操作與管理，降低系統的資源占用，避免了軟件沖突等多種問題。

如果企業的信息防泄漏建設符合以上6條檢測標準，那么該企業已經建立了一個完善的整體信息防泄漏體系，機密信息也得到了最大化的保護，實現了“成本、效率、安全”三者的最佳平衡，這也是近年來被大家認可的“整體信息防泄漏”理念的核心。

天璣科技是國內領先的IT服務和軟件產品工業司，在IT服務外包領域有著杰出業績。IT服務外包在近年來迅速發展，極大地滿足了企業IT管理的要求，幫助企業在“成本控制”和“管理效益”之間實現有效兼顧。但是，在IT服務外包發展的過程中，信息安全始終是不可回避的一個重要因素。如何在確保企業信息安全的前提下實現有效的IT外包，天璣科技有自己獨到之處。

天璣科技建立了高效可靠的IT外包服務信息安全管控體系

天璣科技提供的IT外包服務就是承接企業的全部或部分IT系統的維護與管理工作，按照雙方簽訂的服務協議（SLA）內容完成相關服務的業務模式或服務過程。

隨著天璣科技的客戶對信息安全管理提出了越來越高的要求，天璣科技在對IT外包服務的安全管理方面貫徹了基于風險的管理方法，在進行IT服務外包時將信息安全管理放在首位。

1、 外包基礎和簡單重復的服務：考慮到信息安全管理問題，天璣科技初期外包服務范圍主要以基礎服務外包為主，即將IT系統日常的硬件與軟件維護、Helpdesk呼叫中心、信息系統的編碼等活動外包。而對于IT系統的規劃與管理、核心應用系統（如ERP、CRM）的設計與維護仍然由企業IT部門承擔。這樣避免了IT服務人員接觸組織的核心系統信息，降低了IT服務外包對IT系統敏感部分帶來的安全風險。

2、 具備信息安全管理資質：由于IT外包服務過程中，IT服務人員必然會接觸到企業的系統設備甚至是內容，如何成為一家可靠安全的IT服務外包供應商也是在進行IT服務外包前必須考慮的重要方面。天璣科技已經建立起完善的信息安全管理體系，并通過了BSI安全認證審核，擁有很多有影響的大客戶。天璣科技根據服務內容簽訂十分關鍵。

3、 強化日常服務的安全管理：信息安全管理的要求體現在IT服務日常管理的各個方面，主要包括：日常活動規范的建立；服務變更控制；服務人員管理；安全事件處理；業務持續管理；知識產權保護和監控與審核等內容。

在提供IT服務外包的過程中，信息安全管理始終是重點問題之一。企業和IT服務供應商應一同參照ISO/IEC27001標準內容不斷完善對IT服務外包的安全管理，確保能為企業和組織的信息安全管理提供可靠保障。