信息安全外包风险识别与评估模型研究.pdfVIP

第 5卷 第 2期 石家庄铁道大学学报 (社会科学版) Vo1．5 No．2 2011年 6月 J0URNAL0FSHI／IAZHUANG TIEDAO UNIVERSITY(SDCIAISCIENCE) Jun．2011 文章编号 ：2095—0365(2011)02—0040—05 信息安全外包风险识别与评估模型研究 梁 志 顺 (张家 口市交通局 ，河北 张家 口 075000) 摘 要 ：针对信息安全外包的业务流程 ，运用系统理论分析，识别外包服务的关键风险因 素，提 出基于第三方认证的风险评估框架 ，构建 了评估指标体系，结合我 国风险管理政策制定 安全服务商服务风险监测规则，更好管理外包风 险。 关键词 ：信息安全外包 ；风险管理 ；风险评估 中图分类号 ：F270 文献标识码 ：A 企业为了消除安全 困扰 ，一方面加大对 IT 一 、 外包风 险成 因 员工以及企业 自身的安全培训 ，更多的企业通过 信息安全外包风险可 以定义为一切扰乱外包 寻找托管信息安全管理服务提供商 (MSSP)来进 服务运作的威胁 。 因为企业与服务商的协调 、合 行实时或定期 的安全服务 。信息安全外包服务是 作中存在着各种不确定性 ，有不确定性就有风险 以第三方的服务来完成企业 内部的信息系统相关 存在 。信息安全外包风险评估的 目的是在信息不 工作的一种全方位、系统的安全服务 。 市场调查 对称的情况下最大可能控制外包风险。 公司 YankeeGroup表示 ，到 2010年，美 国将有 图i的外包流程显示 ：企业有了安全需求 ，需 90 的企业安全通过外包来 实现 。L2国内近些年 要寻找服务商 ，服务商构建了解决方案 ，通过 向企 出现一些安全服务外包商，但提供的产 品和服务 业提供服务获利 。该流程 中，主动参与的实体有 质量 良莠不齐，行业 内尚未发展成一致 的参考模 服务商和企业 ，被动实体有解决方案、安全产品和 型和评价标准，相关的法律法规不健全，不能有效 各种服务 (安全服务商所能提供的服务包括 ：网络 地管理企业和安全服务外包方 的契约关系，外包 入侵监测以及防护 ，主机入侵 防护 ，系统漏洞评 维护管理质量处于失控状态 ，安全外包的预期差 估，补丁管理，防火墙和VPN管理，针对病毒和 强人意。l3外包服务的风险管理与可信评估成为 垃圾邮件的电子 邮件监控等)o] 企业是否选择外包 的关键。 叵H 图 1 外包服务流程 运用系统理论研究 ，可以发现如下问题 ： 过程 中产生的不确定 。 (1)流程中缺乏对外包商的服务行为监督。 (3)缺乏风险释放机制。整个过程的风险无 (2)缺乏双 向沟通机制 。外包服务过程是一