信息技術(shù)服務(wù)外包在發(fā)揮服務(wù)商專業(yè)優(yōu)勢和規(guī)模優(yōu)勢,降低成本����,提高信息化質(zhì)量和效率的同時(shí)�,也引入了信息安全風(fēng)險(xiǎn)����。2012年6月發(fā)布的《國務(wù)院關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見》(國發(fā)〔2012〕23號)中����,明確提出了要規(guī)范和加強(qiáng)政府部門信息技術(shù)服務(wù)外包的安全管理工作����。
劉海峰
北京信息安全測評中心 主任
信息技術(shù)服務(wù)外包在經(jīng)濟(jì)結(jié)構(gòu)轉(zhuǎn)型、安排就業(yè)�����、綠色可持續(xù)發(fā)展等方面作用日益突出�����。中國服務(wù)外包研究中心2013年發(fā)布的《中國服務(wù)外包發(fā)展報(bào)告》顯示,2012年信息技術(shù)外包執(zhí)行金額達(dá)到273.6億美元��,占服務(wù)外包業(yè)務(wù)總量的58.8%��。政府部門因?yàn)榧夹g(shù)人員少����、專業(yè)技術(shù)能力與服務(wù)外包企業(yè)人員相比存在差距�����,也迫切需要進(jìn)行信息技術(shù)服務(wù)外包。
一�����、信息技術(shù)服務(wù)外包安全問題掣肘了業(yè)務(wù)發(fā)展
政府部門需要越來越多的信息技術(shù)服務(wù)外包機(jī)構(gòu)���、人員以及廠商提供的產(chǎn)品來幫助進(jìn)行信息系統(tǒng)的建設(shè)和運(yùn)維�����。這樣,政府部門在信息技術(shù)服務(wù)外包中���,就有兩類可能引發(fā)安全問題的突出因素�����,一是信息技術(shù)服務(wù)外包機(jī)構(gòu)和人員以及服務(wù)過程中使用的產(chǎn)品不可靠���,安全堡壘就容易從內(nèi)部攻破;二是政府部門如果對外包機(jī)構(gòu)和人員管理不善,發(fā)生安全問題也同樣在所難免��。
信息技術(shù)服務(wù)外包企業(yè)主動(dòng)泄露數(shù)據(jù)的情況也較為常見����。根據(jù)“棱鏡門”事件批露的情況��,微軟、Google、Yahoo�����、Facebook�����、PalTalk、YouTube�����、Skype�、AOL、Apple(建議統(tǒng)一中文或英文表述)等為美國國家安全局提供大量視頻�����、語音、圖片����、郵件�、文件等電子數(shù)據(jù)�����。
信息技術(shù)服務(wù)外包機(jī)構(gòu)的人員利用掌握政府信息系統(tǒng)和數(shù)據(jù)的便利,為自己謀取利益,在信息技術(shù)服務(wù)外包安全事件中較為突出。如2011年上海市衛(wèi)生局外包公司的張某利用開發(fā)維護(hù)出生系統(tǒng)數(shù)據(jù)庫的便利���,非法下載了約14萬條新生兒出生信息并出售獲利����。2009年深圳福彩中心外包公司的程某通過自編木馬軟件入侵福彩中心銷售系統(tǒng)�����,惡意篡改中獎(jiǎng)數(shù)據(jù)并偽造3305萬大獎(jiǎng)。
信息技術(shù)服務(wù)外包信息安全問題還表現(xiàn)在信息技術(shù)服務(wù)外包供應(yīng)鏈環(huán)節(jié)上。根據(jù)愛德華·斯諾登(Edward Snowden)提供的文件�,曝光
“棱鏡門”事件的《衛(wèi)報(bào)》記者格倫·格林沃爾德(Glenn
Greenwald)在自己的新書中透露���,NSA經(jīng)常會收到或攔截美國廠商的路由器、服務(wù)器以及其他網(wǎng)絡(luò)設(shè)備�����,會在設(shè)備中植入‘后門監(jiān)控工具’,重新打包并打上工廠的密封封條����,繼續(xù)運(yùn)輸�,出口給國際客戶��。
根據(jù)北京市對政府部門信息技術(shù)服務(wù)外包的調(diào)研和歷年檢查的結(jié)果來看,導(dǎo)致管理不善的突出因素表現(xiàn)在三個(gè)方面,一是對外包安全不夠重視����,重建設(shè)輕運(yùn)維、重建設(shè)輕安全思想仍較普遍,運(yùn)維和信息安全保障資金申請較困難;二是對外包機(jī)構(gòu)和人員的管理跟不上���,缺乏可靠的外包機(jī)構(gòu)和人員選擇����、服務(wù)過程評估�����、服務(wù)成果交付驗(yàn)證以及外包機(jī)構(gòu)和人員績效考評的技術(shù)手段和標(biāo)準(zhǔn),在外包機(jī)構(gòu)和駐場人員多�����、政府部門信息化人員少的情況下���,難以有效管理外包機(jī)構(gòu)和人員;三是政府部門人員少����,專業(yè)能力不足�,嚴(yán)重依賴外包機(jī)構(gòu)和人員�����,重要數(shù)據(jù)�����、管理口令等多為外包服務(wù)商及其人員所掌握,難以掌握管理的主動(dòng)權(quán)���。
二�、信息技術(shù)服務(wù)外包安全管理工作不斷推進(jìn)
我國政府在大力推動(dòng)信息技術(shù)服務(wù)外包產(chǎn)業(yè)發(fā)展的同時(shí)�����,不斷加強(qiáng)服務(wù)外包的信息安全管理���。
一是信息技術(shù)服務(wù)外包安全管理法規(guī)標(biāo)準(zhǔn)不斷完善�。法律法規(guī)層面����,出臺了《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》(國務(wù)院令147號)、《中華人民共和國保守國家秘密法》(主席令第28號)等一系列法律法規(guī)����,對信息安全等級保護(hù)、信息安全保密等進(jìn)行規(guī)范;政策方面�����,《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》(中辦發(fā)〔2003〕27
號)為服務(wù)外包使用單位和提供商建立信息安全保障體系提供了全面指導(dǎo)�,《國務(wù)院關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見》(國發(fā)〔2012〕23號)再次突出落實(shí)信息安全等級保護(hù),完善信息安全認(rèn)證認(rèn)可體系,強(qiáng)調(diào)嚴(yán)格政府信息技術(shù)服務(wù)外包的安全管理���?!都訌?qiáng)政府部門信息技術(shù)外包服務(wù)安全管理》(工信部2011年第21號公告)���、《關(guān)于境內(nèi)企業(yè)承接服務(wù)外包業(yè)務(wù)信息保護(hù)的若干規(guī)定》(商務(wù)部令2009
年第13號)等圍繞信息技術(shù)服務(wù)外包安全管理提出了具體要求��。各省市加強(qiáng)了信息安全法律法規(guī)體系的建設(shè)���,如陜西省出臺了《陜西省個(gè)人信息安全保護(hù)規(guī)范》,廣州市出臺了《廣州市服務(wù)外包信息安全保護(hù)實(shí)施辦法》���,北京市發(fā)布了《關(guān)于做好信息技術(shù)服務(wù)外包信息安全管理的通知》�����、《北京市黨政機(jī)關(guān)信息技術(shù)外包服務(wù)機(jī)構(gòu)申請信息安全管理體系認(rèn)證安全審查程序》�、《北京市電子政務(wù)與重要行業(yè)信息安全服務(wù)能力評定條件(2013年版)》等����。標(biāo)準(zhǔn)層面����,《信息安全技術(shù)
政府部門信息技術(shù)服務(wù)外包信息安全管理規(guī)范》等信息技術(shù)服務(wù)外包相關(guān)國家標(biāo)準(zhǔn)正在制定中�。
二是信息技術(shù)服務(wù)外包安全管理關(guān)鍵措施逐步落實(shí)�。包括建立信息技術(shù)服務(wù)企業(yè)和人員資質(zhì)資格評定體系、認(rèn)證認(rèn)可體系��,推動(dòng)信息安全管理體系�、運(yùn)維外包服務(wù)體系等體系建設(shè),推動(dòng)信息技術(shù)服務(wù)外包安全的績效考核等�。
在信息技術(shù)服務(wù)和人員資格認(rèn)證認(rèn)可方面,工業(yè)和信息化部建立計(jì)算機(jī)信息系統(tǒng)集成資質(zhì)管理制度�,并與人力資源部和社會保障部開展信息系統(tǒng)項(xiàng)目管理師等人員資格認(rèn)定制度;國家保密局建立了涉及國家秘密的計(jì)算機(jī)信息系統(tǒng)集成資質(zhì)管理制度,對企業(yè)和人員進(jìn)行資質(zhì)和資格管理工作;中國信息安全認(rèn)證中心開展了安全應(yīng)急處理服務(wù)資質(zhì)���、信息安全風(fēng)險(xiǎn)評估服務(wù)資質(zhì)�、信息系統(tǒng)安全集成服務(wù)資質(zhì)等安全服務(wù)資質(zhì)的認(rèn)證;中國信息安全測評中心開展了信息安全工程類��、信息安全災(zāi)難恢復(fù)類��、安全運(yùn)營維護(hù)類等安全服務(wù)資質(zhì)的認(rèn)證�����,并開展注冊信息安全專業(yè)人員(CISP)��、注冊信息安全員(CISM)等人員資質(zhì)認(rèn)定。
在信息安全服務(wù)企業(yè)資質(zhì)評定方面�,北京市走在了前列。北京信息安全測評中心根據(jù)授權(quán)�,按照信息安全服務(wù)企業(yè)能力評定條件要求,對服務(wù)人員通過考試進(jìn)行能力認(rèn)定�,對企業(yè)通過評審進(jìn)行資質(zhì)認(rèn)定。截至2014年8月��,已經(jīng)有9家企業(yè)通過北京市信息安全服務(wù)審查評定考核���,619個(gè)信息安全服務(wù)(高級)工程師服務(wù)于北京市電子政務(wù)各個(gè)重要領(lǐng)域�����,為北京市電子政務(wù)保駕護(hù)航�。
在信息安全管理體系等方面���,《關(guān)于加強(qiáng)信息安全管理體系認(rèn)證安全管理的通知》及配套的政策文件強(qiáng)化了對信息安全管理體系認(rèn)證的管理�����,要求為政府部門提供信息技術(shù)外包服務(wù)的機(jī)構(gòu)申請信息安全管理體系認(rèn)證時(shí),若認(rèn)證范圍涉及政府信息,須經(jīng)工業(yè)和信息化主管部門同意��。
截止2014年8月底共有12家企業(yè)通過北京市的信息安全管理體系認(rèn)證安全審查�����,并全部備案��,審查工作規(guī)避了這些企業(yè)的認(rèn)證過程間接泄露政府重要敏感信息的安全風(fēng)險(xiǎn)�����。在信息技術(shù)服務(wù)外包安全的績效考核方面��,2009年出臺《關(guān)于印發(fā)〈政府信息安全檢查方法〉的通知》����,對信息技術(shù)服務(wù)安全檢查和績效考核進(jìn)行了規(guī)范���,自2009年以來���,國家和地方政府每年都把信息技術(shù)服務(wù)外包安全作為重要檢查內(nèi)容和績效考核內(nèi)容。
三是信息技術(shù)服務(wù)外包安全管理基礎(chǔ)設(shè)施不斷建立���。國家商務(wù)部建立了中國服務(wù)外包研究中心�����,開通了“中國服務(wù)外包網(wǎng)”(//chinasourcing.mofcom.gov.cn)��、“國家軟件與信息服務(wù)外包公共支撐平臺”(//www.china-sourcing.org.cn/)等網(wǎng)站�����,為大力宣傳信息技術(shù)服務(wù)外包安全管理政策法規(guī)提供了平臺;國家質(zhì)監(jiān)局成立了中國信息安全認(rèn)證中心���,開展對信息安全服務(wù)的認(rèn)證�,為政府部門選擇適合自己安全需求的服務(wù)外包機(jī)構(gòu)提供了有力的支撐�����。
盡管我國圍繞政府部門信息技術(shù)服務(wù)外包安全管理已經(jīng)做了大量工作�����,但仍跟不上信息技術(shù)服務(wù)外包安全形勢發(fā)展的需要�����,提高信息技術(shù)服務(wù)外包安全��,要著眼于頂層設(shè)計(jì)����,做到外包服務(wù)使用者����、提供者���、監(jiān)管者各方齊心保障,做到外包服務(wù)從選擇到中止/終止的全生命周期保障��,做到從人員���、采購的產(chǎn)品到供應(yīng)鏈等全方位縱深保障�。
三�����、如何提高政府部門信息技術(shù)服務(wù)外包安全管理水平值得深思
要全面提升信息技術(shù)服務(wù)外包安全管理水平�,應(yīng)該抓住哪些重點(diǎn)工作,亟需做好以下三方面工作:
一是建立信息技術(shù)服務(wù)外包企業(yè)的審查認(rèn)證制度���,把好服務(wù)事前關(guān)���。建立信息技術(shù)服務(wù)外包企業(yè)的審查認(rèn)證制度���,有利于通過專業(yè)技術(shù)力量為政府部門把好前門。審查認(rèn)證要滿足服務(wù)外包市場快速發(fā)展的需要�����,兼顧不同層次的信息技術(shù)服務(wù)外包需求�,在國家主管部門的統(tǒng)籌下,充分發(fā)揮地方和行業(yè)在信息技術(shù)服務(wù)外包企業(yè)安全管理審查的積極性和創(chuàng)造性�。審查認(rèn)證及配套制度的建立,有利于政府部門選擇信得過的�、能力合適的外包企業(yè)。要充分發(fā)揮第三方檢測認(rèn)證機(jī)構(gòu)在技術(shù)方面的支撐作用��,鼓勵(lì)第三方檢測認(rèn)證機(jī)構(gòu)建立配套的服務(wù)人員認(rèn)證制度以及運(yùn)維服務(wù)體系和信息安全管理體系等體系認(rèn)證制度���。
二是建立持證上崗機(jī)制����、安全監(jiān)理機(jī)制和服務(wù)分離機(jī)制�����,把好服務(wù)事中關(guān)。通過這些強(qiáng)練內(nèi)功和制約平衡制度的建立����,可以有效提升政府部門對服務(wù)外包機(jī)構(gòu)和人員的安全管理水平。推行安全持證上崗制度�����,提高政府部門人員的安全業(yè)務(wù)能力和管理水平;推動(dòng)信息技術(shù)服務(wù)外包的安全監(jiān)理機(jī)制����,由信息技術(shù)服務(wù)外包安全監(jiān)理企業(yè)協(xié)助政府部門對其他信息技術(shù)服務(wù)外包企業(yè)實(shí)行監(jiān)督管理�,保證服務(wù)安全規(guī)范執(zhí)行;推動(dòng)信息系統(tǒng)使用、建設(shè)��、運(yùn)維�����、安全管理等服務(wù)分離��,形成信息技術(shù)服務(wù)外包企業(yè)的相互合作和相互制約的機(jī)制���,避免特定企業(yè)權(quán)限過大�。
三是建立外包機(jī)構(gòu)和人員信用制度和政府部門績效考核制度,把好服務(wù)事后關(guān)�。通過從服務(wù)提供方和服務(wù)使用方兩個(gè)方面加強(qiáng)事后監(jiān)管,為外包服務(wù)效果把關(guān)�����。把安全納入全國征信系統(tǒng)���,由信息安全主管機(jī)構(gòu)建立外包機(jī)構(gòu)和人員安全信用評價(jià)制度���,由使用外包服務(wù)的政府部門對信息技術(shù)服務(wù)外包機(jī)構(gòu)和人員進(jìn)行安全信用評價(jià)。發(fā)揮國家和地方信息安全主管機(jī)構(gòu)的積極性����,由信息安全主管機(jī)構(gòu)開展政府部門信息技術(shù)服務(wù)外包安全的績效考核。
通過上述機(jī)制的建立�,將使得外包機(jī)構(gòu)和人員以及使用外包服務(wù)的政府部門不能、不敢和不愿因信息技術(shù)服務(wù)外包發(fā)生信息安全事件���。
為更好的為公眾說明安全知識的重要性�����,本站引用了部分來源于網(wǎng)絡(luò)的圖片插圖�����,無任何商業(yè)性目的�。適用于《信息網(wǎng)絡(luò)傳播權(quán)保護(hù)條例》第六條“為介紹、評論某一作品或者說明某一問題���,在向公眾提供的作品中適當(dāng)引用已經(jīng)發(fā)表的作品”之規(guī)定���。如果權(quán)利人認(rèn)為受到影響,請與我方聯(lián)系��,我方核實(shí)后立即刪除�����。
