中小企业安全外包管理和控制研究.docVIP

中小企业安全外包管理与控制研究 　　[摘 要] 安全外包是近年来国外兴起的一种服务形式,根据安全服务市场中出现的问题，分析成因，从企业自身定位、外包流程规范、安全服务商选择、服务内容管理、与外包商关系管理等方面构造安全服务框架，提出安全外包服务管理措施。 　　[关键词] 安全外包 中小企业 管理与控制 　　 　　安全外包是近年来国外兴起的一种服务形式，CISCO等很多国际安全企业目前都已经把安全外包服务作为其业务的重点来发展，并且实现了大量的盈利。据有关资料报道，2005年全球安全外包服务市场销售额达到了50亿美元左右，预计到2009年将达到80亿美元，来自中型和小型企业组织的收入比例分别为30%和21%左右。我国中小企业约有1100万家，占到了企业总数的99％以上。权威调研机构的信息安全调查报告显示：针对中小企业的安全事件持续攀升，尽管在这方面的投入不断增多，但情况依然难以令人乐观。安全问题成了各行各业的一个热门话题。对企业来说，如何管理安全性问题不仅和业务有关，企业的声誉、信任度以及内部稳定性都与安全有关。在电子商务环境下，对中、小企业来说，“安全”的含义远不是企业网站是否遭受病毒、黑客的侵入那么简单，它还必须包括网站内的信息、数据库资料、在线交易等是否安全。然而，并不是所有的企业都有实力和精力安排专职人员做好本企业的信息安全建设，基于成本和技术考虑，安全外包成为更多企业明智的选择。 　　一、安全外包服务中存在的问题 　　从成本技术考虑，中小企业有强烈的外包欲望，但目前安全外包市场缺乏主导厂商，提供低端服务的小公司较多，提供的服务质量参差不齐。各厂商往往打出各种“技术牌、概念牌、成功案例牌”，令企业眼花缭乱、真伪难辨。企业在评估和选择外包服务方面没有成熟的方法，难以做出正确的抉择。分析目前安全外包市场，存在的主要问题有以下几点： 　　1.担心信息泄漏。企业担心安全服务公司接触企业的关键业务数据，尤其是交易数据，容易发生信息泄密。 　　2.相关的法律法规不健全，不能有效地管理企业和安全服务外包方的契约关系。在没有法律约束的情况下，外包维护管理质量处于失控状态，安全外包费用增加。 　　3.外包服务商良莠不齐，导致企业面对众多的安全产品不知道如何合理选择，不知道如何选择服务商。 　　4.很多企业用户在把安全外包出去后，不知道如何正确管理和控制，以及怎样维护和管理与外包商的关系。 　　5.中小企业的网络或设备的使用人员的技术水平相对较低，很难与外包商提供的技术人员开展沟通，以至于使服务的有效程度打了折扣。 　　二、问题分析 　　企业对外包的需求非常急迫,外包市场前景广阔。国外厂商看准了我国安全潜在庞大市场，加紧攻城掠地。来自IDC的调查显示，思科、网屏、安氏、冠群等著名外资网络安全厂商等均已进入中国市场。面对国外公司紧逼的态势，国内企业早在一两年前就提出以服务促发展的概念，但提供何种服务、如何提供、服务的质量标准是什么等问题仍困扰服务商。从前面出现的问题表象看，原因由以下几个方面造成的： 　　1.企业外包决策盲目。很多企业想做外包时没有考虑是否一定要外包，盲目跟风，外包哪些内容不清楚，安全目标定位不明确，担心目标定位低，加上服务缩水，不能满足需求，会人为地把服务需求提得很高，于是造成支出费用增加。 　　2.缺乏可信任的第三方中介机构。因为没有可信任的第三方，缺失三种角色：一是认证，安全服务商的资质、财务情况的认证；二是监督，对安全服务商进行监督，企业的关键信息泄漏，安全服务商必须受到处罚；三是中介，供需撮合的作用，弥补外包服务商与企业沟通不足。 　　3.缺乏面向整个服务过程的管理框架。安全外包服务是一个以了解用户需求开始，以解决安全隐患，并获得反馈，不断改进的循环往复的动态过程。Meta数据显示，仅有58%外包安全服务的企业会通过责任、流程、安全标准和未达到合同要求时的罚金等对其合作伙伴进行适当的控制，因此需要规范服务框架。 　　4.缺乏服务商选择、关系管理机制。不同品牌的安全服务商提供的产品质量、服务、风险无法简单比较，在选择时应从品牌、服务、产品质量、存在的风险等方面综合考虑。 　　三、安全外包的管理与控制 　　1.安全外包决策 　　在考虑外包时一定要考虑选择外包后能否解决本企业的安全问题，是否会产生企业无法控制的问题？从企业的内部环境考虑，需要外包的企业一般具有如下特点:(1)布局分散广，支持响应要求较高;(2)发展速度较快的成长型企业;(3)对信息化要求高;(4)对信息化成本控制严格;(5)注重核心竞争力得企业。 　　企业布局分散，安全管理难度高，自己维护成本高，外包可以提高服务水平；发展速度快的企业要使安全与企业发展同步，在技术人员的培训上需要耗费的资金比较多，外包给专业的公司