信息安全外包的风险

   论文关键词:信息安全　外包　风险　管理
　　论文摘要:文章首先分析了信息安全外包存在的风险，根据风险提出信息安全外包的管理框架，并以此框架为基础详细探讨了信息安全外包风险与管理的具体实施。文章以期时信息安全外包的风险进行控制，并获得与外包商合作的最大收益。
　　1信息安全外包的风险
　　1.1信任风险
    企业是否能与信息安全服务的外包商建立良好的工作和信任关系，仍是决定时候将安全服务外包的一个重要因素。因为信息安全的外包商可以访问到企业的敏感信息，并全面了解其企业和系统的安全状况，而这些重要的信息如果被有意或无意地对公众散播出去，则会对企业造成巨大的损害。并且，如若企业无法信任外包商，不对外包商提供一些关键信息的话，则会造成外包商在运作过程中的信息不完全，从而导致某些环节的失效，这也会对服务质量造成影响。因此，信任是双方合作的基础，也是很大程度上风险规避的重点内容。
　　1.2依赖风险
    企业很容易对某个信息安全服务的外包商产生依赖性，并受其商业变化、商业伙伴和其他企业的影响，恰当的风险缓释方法是将安全服务外包给多个服务外包商，但相应地会加大支出并造成管理上的困难，企业将失去三种灵活性:第一种是短期灵活性，即企业重组资源的能力以及在经营环境发生变化时的应变能力;第二种是适应能力，即在短期到中期的事件范围内所需的灵活性，这是一种以新的方式处理变革而再造业务流程和战略的能力，再造能力即包括了信息技术;第三种灵活性就是进化性，其本质是中期到长期的灵活性，它产生于企业改造技术基本设施以利用新技术的时期。进化性的获得需要对技术趋势、商业趋势的准确预测和确保双方建立最佳联盟的能力。
　　1.3所有权风险
    不管外包商提供服务的范围如何，企业都对基础设施的安全操作和关键资产的保护持有所有权和责任。企业必须确定服务外包商有足够的能力承担职责，并且其服务级别协议条款支持这一职责的履行。正确的风险缓释方法是让包括员工和管理的各个级别的相关人员意识到，应该将信息安全作为其首要责任，并进行安全培训课程，增强常规企业的安全意识。
　　1.4共享环境风脸
    信息安全服务的外包商使用的向多个企业提供服务的操作环境要比单独的机构内部环境将包含更多的风险，因为共享的操作环境将支持在多企业之间共享数据传输(如公共网络)或处理(如通用服务器)，这将会增加一个企业访问另一企业敏感信息的可能性。这对企业而言也是一种风险。
　　1.5实施过程风险
    启动一个可管理的安全服务关系可能引起企业到服务外包商，或者一个服务外包商到另一个外包商之间的人员、过程、硬件、软件或其他资产的复杂过渡，这一切都可能引起新的风险。企业应该要求外包商说明其高级实施计划，并注明完成日期和所用时间。这样在某种程度上就对实施过程中风险的时间期限做出了限制。
　　1.6合作关系失败将导致的风险
    如果企业和服务商的合作关系失败，企业将面临极大的风险。合作关系失败带来的经济损失、时间损失都是不言而喻的，而这种合作关系的失败归根究底来自于企业和服务外包商之间的服务计划不够充分完善以及沟通与交流不够频繁。这种合作关系在任何阶段都有可能失败，如同其他商业关系一样，它需要给予足够的重视、关注，同时还需要合作关系双方进行频繁的沟通。
　　2信息安全外包的管理框架