信息安全外包

信息安全外包是指客戶將全部或部分信息安全工作指定專業性公司完成的服務模式。

信息安全外包的優勢：

安全公司擁有專業的安全團隊，擁有通暢的信息渠道，擁有廣泛可靠的廠商支持，而更多的專業技術領域的技術力量，更能全面保障信息安全。

安全公司對每一個公司都有一套信息保障方案，24×7的服務時間，合理的操作流程，規範的安全策略，積極的應對方案都將保證信息安全服務的及時性、可靠性。

相比較而言，安全公司提供的信息安全服務收費並不比聘用專職人員高，而往往是既給客戶提供高質量的服務，又給客戶節約了信息安全保障成本。

企業是否能與信息安全服務的外包商建立良好的工作和信任關係，仍是決定時候將安全服務外包的一個重要因素。因為信息安全的外包商可以訪問到企業的敏感信息，並全面了解其企業和系統的安全狀況，而這些重要的信息如果被有意或無意地對公眾散播出去，則會對企業造成巨大的損害。並且，如若企業無法信任外包商，不對外包商提供一些關鍵信息的話，則會造成外包商在運作過程中的信息不完全，從而導致某些環節的失效，這也會對服務質量造成影響。因此，信任是雙方合作的基礎，也是很大程度上風險規避的重點內容。

企業很容易對某個信息安全服務的外包商產生依賴性，並受其商業變化、商業夥伴和其他企業的影響，恰當的風險緩釋方法是將安全服務外包給多個服務外包商，但相應地會加大支出並造成管理上的困難，企業將失去三種靈活性:第一種是短期靈活性，即企業重組資源的能力以及在經營環境發生變化時的應變能力;第二種是適應能力，即在短期到中期的事件範圍內所需的靈活性，這是一種以新的方式處理變革而再造業務流程和戰略的能力，再造能力即包括了信息技術;第三種靈活性就是進化性，其本質是中期到長期的靈活性，它產生於企業改造技術基本設施以利用新技術的時期。進化性的獲得需要對技術趨勢、商業趨勢的準確預測和確保雙方建立最佳聯盟的能力。

不管外包商提供服務的範圍如何，企業都對基礎設施的安全操作和關鍵資產的保護持有所有權和責任。企業必須確定服務外包商有足夠的能力承擔職責，並且其服務級別協定條款支持這一職責的履行。正確的風險緩釋方法是讓包括員工和管理的各個級別的相關人員意識到，應該將信息安全作為其首要責任，並進行安全培訓課程，增強常規企業的安全意識。

信息安全服務的外包商使用的向多個企業提供服務的操作環境要比單獨的機構內部環境將包含更多的風險，因為共享的操作環境將支持在多企業之間共享數據傳輸(如公共網路)或處理(如通用伺服器)，這將會增加一個企業訪問另一企業敏感信息的可能性。這對企業而言也是一種風險。

啟動一個可管理的安全服務關係可能引起企業到服務外包商，或者一個服務外包商到另一個外包商之間的人員、過程、硬體、軟體或其他資產的複雜過渡，這一切都可能引起新的風險。企業應該要求外包商說明其高級實施計畫，並註明完成日期和所用時間。這樣在某種程度上就對實施過程中風險的時間期限做出了限制。