中国人民大学信息学院讲师、管理学博士 杨波
如果客户的信息得不到有效的安全保障,客户是不会冒着巨大的风险去实施IT外包的。
西方有句话:“No trust, no trade。”也就是说没有信任就没有生意。在IT外包中信任尤为重要。在IT外包中,客户需要把自己的部分或者全部的IT职能,或者与IT有关的业务流程转移到由外包服务提供商提供,这里面涉及到大量客户信息的转移。而现在信息已经成为一种重要资产,信息的转移意味着客户需要承担巨大的信息安全风险。在IT外包中保障客户数据以及客户知识产权的绝对安全是取得客户信任的首要保证。
现在,IT外包中的安全问题已经得到外包服务提供商越来越多的关注。越来越多的IT外包服务提供商已经通过或正在申请通过ISO 27001认证,通过建立标准的管理体系和运行模式来保障客户数据的绝对安全。例如华道数据、用友软件工程等企业都通过了ISO 27001认证。
三途径保障信息安全
IT外包服务提供商的安全管理机制主要包括如下几个方面:
1.建立有效的物理安全模式。大部分的外包公司都采用机场式的安全管理模式,也就是一个大堡垒中套着一个个小的堡垒,进入每一道门都需要经过安全认证,未经许可严禁入内。不同客户的数据在物理上完全隔离,相关人员进入工作区的时候不能携带任何的纸张、U盘、移动硬盘等存储设备,相关的电脑也不能带出工作区域。有些外包服务提供商甚至将服务场所设在郊区,而且建筑场所外部不悬挂任何标志。另外,外包服务提供商还允许客户进行不定期的飞行检查,以期获得客户对信息安全的信任。例如华道数据的信息安全措施获得了客户的极大信任,杨鹏总裁甚至认为,对于华道来说“参观就是生产力”。
2.建立有效的人员保密机制。外包服务提供商的公司员工通常都需要签订保密协议,用合同的机制规范相关人员的行为,一旦泄密相关人员需要支付巨额的赔偿。另外,有些公司还建立了外包服务提供人员的解密脱密机制。例如,A公司的C员工为B公司提供了IT外包服务。在项目完成之后,C员工在接下来的半年或一年解密脱密期内不允许为与B公司存在竞争关系、业务相关或相近的公司提供服务,在解密脱密期结束之后才能再次提供类似的服务。这样的保密机制也保障了客户对外包服务提供商安全机制的信任。
3.建立有效的安全管理流程。很多公司建立了有效的安全管理流程,内外网络进行了严格的隔离,内部和外部的邮件系统也进行严格的隔离。信息的访问、存储、传递都必须按照严格的安全规范进行:未经授权不得访问相关信息,未经审批不得传递相关数据。整个公司内部的信息管理严格按照规范的安全流程进行管理。取得相关的国际认证已经成为外包企业获得客户信任的有效途径。
国家层面的机制更重要
信息的安全是IT外包服务提供商获得客户信任的关键。信息安全是客户进行IT外包时面临的一个主要风险。如果客户的信息得不到有效的安全保障,客户是不会冒着风险去实施IT外包的。上面讲到的三点主要是从外包服务提供商的角度建立安全管理机制,这对于取得客户的信任是非常重要的。但是,对于中国的IT外包服务业来说,仅仅从企业的角度建立安全管理机制是远远不够的。在IT外包界还有一个说法,那就是客户在选择外包服务提供商时是“Country first, company second”,也就是先选择国家,后选择公司。国外的客户在选择中国IT外包服务提供商的时候,可能会首先考虑中国的知识产权保护体系,其次才会考虑相关外包服务提供商的安全机制。所以,对于中国的IT外包服务业来说,不仅要加强企业的安全管理机制,还需要尽快完善整个社会的知识产权保护体系。 | 
