IT服务外包(IT Outsourcing)简单的说就是组织将全部或部分IT系统的维护与管理工作包给专业性公司,由专业性服务公司按照双方签订的服务协议(SLA)内容完成相关服务的业务模式或服务过程,正如美国著名的管理学者杜洛克曾预言:“在十年至十五年之内,任何企业中仅做后台支持而不创造营业额的工作都应该外包出去。” "Do what you do best and outsource the rest!"已经成为一种不可逆转的趋势。而IT服务由于其业务形态的复杂性和专业性特点又十分适合进行外包,在IT服务外包方面很多公司都进行了有益的尝试而且也取得了很好的效果。包括:柯达、SONY等。
东软作为一家国内最大的软件企业,随着业务的发展和人员规模的扩大,其对IT服务的要求也发生了很大的变化。为适应这种变化,东软根据自身业务特点和IT系统情况,也采用了对部分IT服务进行外包的方式。这样做体现了以下几点好处:
- 优化配置,保证组织专注于核心业务:将IT服务这种专业服务外包给专门的公司,由其提供专业的人员和服务过程,使得组织可以将精力集中在主营业务的发展上来;
- 降低组织的成本:通过IT服务外包,可以最大限度地利用IT服务资源,避免了组织IT部门普遍存在的资源浪费和资源不足的问题;
- 专业的服务和响应能力:组织业务对IT服务需求的快速变化以及IT技术本身的快速发展,导致了组织需要以最 快的速度引入新的IT服务。如果由组织自己的IT服务部门实施,需要进行人员培训,系统开发和调试等一系列活动,时间漫长,对组织IT人员的专业要求较高。而由专业的IT服务公司来实施,则可以利用这些公司在IT服务方面技术与人才的优势。大大缩短了新IT服务导入的时间。同时,IT服务公司的专业服务技术也提高了组织IT服务的质量,确保了IT系统的可用性。
东软的国际客户尤其是日本和欧美客户对东软信息安全管理提出了越来越高的要求。客户的安全需求要求我们在进行IT服务外包时必须把信息安全管理放在首位,东软在对IT服务外包的安全管理方面主要是贯彻一种基于风险的管理方法。针对IT服务外包中的安全管理进行了系统的思考和有益的尝试,主要包括以下几方面的内容:
- 外包基础和简单重复的服务:考虑到信息安全管理问题,东软在进行IT服务外包时只是对基础服务进行外包,即将IT系统日常的硬件与软件维护、Helpdesk呼叫中心、信息系统的编码等活动外包,而对于IT系统的规划与管理、核心应用系统(如ERP、CRM)的设计与维护仍然由自己的IT部门承担。这样避免了IT服务人员接触组织的核心系统信息,降低了IT服务外包对IT系统敏感部分带来的安全风险。
- 选择有信息安全管理资质的服务方:由于IT服务过程中,IT系统服务人员必然会接触到公司的系统设备甚至是内容,如何选择一家可靠安全的IT服务外包供应商也是在进行IT服务外包前必须考虑的重要方面。东软选择了一家已经建立起完善的信息安全管理体系,并通过了BSI安全认证审核的IT服务外包的供应商。该供应商是一家专门从事IT服务外包的企业,拥有很多有影响的大客户。确定IT服务外包供应商后,根据服务内容签订责任明确的服务合同,在服务合同中详细阐明双方在服务提供过程中对信息安全的责任就显得十分关键。
- 强化日常服务的安全管理:信息安全管理的要求应该体现在IT服务日常管理的各个方面,主要包括:日常活动规范的建立;服务变更控制;服务人员管理;安全事件处理;业务持续管理;知识产权保护和监控与审核等内容。
1) 日常活动规范的建立:针对服务协议中明确的服务内容,建立规范的服务流程是开展IT服务活动的基础。东软信息规划与管理部门根据双方签订的服务协议,与供应商IT服务主管人员一起建立了一套完整的服务规范。服务规范中对服务过程中的安全风险均采取了适当的控制措施,确保了服务活动满足东软信息安全管理策略的要求。
2) 服务变更控制:东软要求供应商在调整其服务流程和变更服务技术前必须事前进行沟通,在东软评估变更的影响并确认采取了响应控制措施后才能进行服务过程的变更。
3) 服务人员管理:服务人员是IT服务活动的直接执行者。为确保服务人员能够满足要求,东软明确规定了IT服务人员的能力要求和标准。确保只有技术能力强,认真负责的服务人员才能进入服务项目组。同时,对服务人员筛选、培训和变动也提出了具体要求。
4) 安全事件管理:发生安全事件后,双方人员的协调和互动将直接影响对事件处理的结果。在服务过程中发生和发现的信息安全事件必须第一时间上报东软信息规划与管理部门,在东软信息规划与管理部门的组织下完成对安全事件的处理。
5) 业务持续管理:由于东软核心网络和系统硬件均托管给了IT服务供应商进行日常维护。IT服务供应商是否具备满足组织业务需求的业务持续管理能力成为保证东软信息系统业务持续的关键。在东软整个业务持续管理的框架下,对IT服务供应商的业务持续管理能力提出了明确的要求,在服务协议中进行了明确的定义。同时,针对具体服务系统双方共同制定了相应的灾难恢复计划。
6) 知识产权保护:桌面服务中如何保护组织以及相关方的知识智力产权也是需要在进行IT服务外包过程中管理和控制的重要内容。东软对供应商在软件安装和服务过程中工具的使用过程都明确规定了对软件许可证的跟踪与管理要求,确保服务活动满足对知识产权保护的要求。
7) 监控与审核:为确保IT服务供应商能够履行相关责任,东软以双方签订的服务协议为依据制定了对服务方服务活动的监控与审核方法,包括工程师现场服务行为、人员与事件管理等各个环节。通过日常监控检查发现存在的问题并及时解决。同时,建立了与服务供应商每周例会制度,及时沟通和解决服务过程中双方发现的问题。
总之,IT服务外包中的信息安全管理一直是东软关注的重点问题之一。我们将参照ISO/IEC27001标准内容不断完善对IT服务外包的安全管理,确保组织的信息安全管理能力不会因为IT服务外包而降低。
