信息技術服務外包在經濟結構轉型�����、安排就業、綠色可持續發展等方面作用日益突出��。中國服務外包研究中心2013年發布的《中國服務外包發展報告》顯示����,2012年信息技術外包執行金額達到273.6億美元,占服務外包業務總量的58.8%。同時,政府部門因為技術人員少��、專業技術能力與服務外包企業人員相比存在差距�����,也迫切需要進行信息技術服務外包。
信息技術服務外包在發揮服務商專業優勢和規模優勢����,降低成本��,提高信息化質量和效率的同時�����,也引入了信息安全風險��。2012年6月發布的《國務院關于大力推進信息化發展和切實保障信息安全的若干意見》(國發〔2012〕23號)中,明確提出了要規范和加強政府部門信息技術服務外包的安全管理工作。
一����、信息技術服務外包安全問題掣肘了業務發展
政府部門信息化不斷向縱深發展�����,呈現出所建信息系統越來越多、積累的數據規模越來越龐大的態勢�����。與此相對應,政府部門需要越來越多的信息技術服務外包機構、人員以及廠商提供的產品來幫助進行信息系統的建設和運維。這樣,政府部門在信息技術服務外包中��,就有兩類可能引發安全問題的突出因素��,一是信息技術服務外包機構和人員以及服務過程中使用的產品不可靠,安全堡壘就容易從內部攻破;二是政府部門如果對外包機構和人員管理不善����,發生安全問題也同樣在所難免�����。
信息技術服務外包機構的人員利用掌握政府信息系統和數據的便利��,為自己謀取利益,在信息技術服務外包安全事件中較為突出�����。如2011年上海市衛生局外包公司的張某利用開發維護出生系統數據庫的便利����,非法下載了約14萬條新生兒出生信息并出售獲利����。2009年深圳福彩中心外包公司的程某通過自編木馬軟件入侵福彩中心銷售系統�����,惡意篡改中獎數據并偽造3305萬大獎。
信息技術服務外包企業主動泄露數據的情況也較為常見����。根據棱鏡門”事件批露的情況,微軟、Google、Yahoo����、Facebook����、PalTalk�����、YouTube����、Skype、AOL、Apple(建議統一中文或英文表述)等為美國國家安全局提供大量視頻、語音����、圖片����、郵件����、文件等電子數據�����。
信息技術服務外包信息安全問題還表現在信息技術服務外包供應鏈環節上。根據愛德華·斯諾登(Edward Snowden)提供的文件����,曝光 棱鏡門”事件的《衛報》記者格倫·格林沃爾德(Glenn Greenwald)在自己的新書中透露,NSA經常會收到或攔截美國廠商的路由器��、服務器以及其他網絡設備,會在設備中植入‘后門監控工具’��,重新打包并打上工廠的密封封條����,繼續運輸,出口給國際客戶����。
政府部門因信息技術服務外包管理不善導致出現信息安全問題的情況更為常見��。根據北京市對政府部門信息技術服務外包的調研和歷年檢查的結果來看��,導致管理不善的突出因素表現在三個方面����,一是對外包安全不夠重視��,重建設輕運維����、重建設輕安全思想仍較普遍��,運維和信息安全保障資金申請較困難;二是對外包機構和人員的管理跟不上,缺乏可靠的外包機構和人員選擇、服務過程評估��、服務成果交付驗證以及外包機構和人員績效考評的技術手段和標準����,在外包機構和駐場人員多����、政府部門信息化人員少的情況下��,難以有效管理外包機構和人員;三是政府部門人員少,專業能力不足�����,嚴重依賴外包機構和人員����,重要數據�����、管理口令等多為外包服務商及其人員所掌握�����,難以掌握管理的主動權��。
在信息技術服務外包中發生的眾多安全問題�����,嚴重影響了政府部門信息技術服務外包的決策����,在包與不包��、包給誰�����、怎樣包中作著艱難的選擇��。
二��、信息技術服務外包安全管理工作不斷推進
我國政府在大力推動信息技術服務外包產業發展的同時�����,不斷加強服務外包的信息安全管理�����。
一是信息技術服務外包安全管理法規標準不斷完善�����。法律法規層面�����,出臺了《中華人民共和國計算機信息系統安全保護條例》(國務院令147號)����、《中華人民共和國保守國家秘密法》(主席令第28號)等一系列法律法規�����,對信息安全等級保護����、信息安全保密等進行規范�����;政策方面,《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發〔2003〕27 號)為服務外包使用單位和提供商建立信息安全保障體系提供了全面指導�����,《國務院關于大力推進信息化發展和切實保障信息安全的若干意見》(國發〔2012〕23號)再次突出落實信息安全等級保護����,完善信息安全認證認可體系����,強調嚴格政府信息技術服務外包的安全管理����。《加強政府部門信息技術外包服務安全管理》(工信部2011年第21號公告)、《關于境內企業承接服務外包業務信息保護的若干規定》(商務部令2009 年第13號)等圍繞信息技術服務外包安全管理提出了具體要求��。各省市加強了信息安全法律法規體系的建設����,如陜西省出臺了《陜西省個人信息安全保護規范》,廣州市出臺了《廣州市服務外包信息安全保護實施辦法》�����,北京市發布了《關于做好信息技術服務外包信息安全管理的通知》�����、《北京市黨政機關信息技術外包服務機構申請信息安全管理體系認證安全審查程序》��、《北京市電子政務與重要行業信息安全服務能力評定條件(2013年版)》等��。標準層面,《信息安全技術 政府部門信息技術服務外包信息安全管理規范》等信息技術服務外包相關國家標準正在制定中。
二是信息技術服務外包安全管理關鍵措施逐步落實。包括建立信息技術服務企業和人員資質資格評定體系、認證認可體系��,推動信息安全管理體系����、運維外包服務體系等體系建設,推動信息技術服務外包安全的績效考核等�����。
在信息安全服務企業資質評定方面��,北京市走在了前列��。北京信息安全測評中心根據授權��,按照信息安全服務企業能力評定條件要求����,對服務人員通過考試進行能力認定�����,對企業通過評審進行資質認定�����。截至2014年8月�����,已經有9家企業通過北京市信息安全服務審查評定考核��,619個信息安全服務(高級)工程師服務于北京市電子政務各個重要領域�����,為北京市電子政務保駕護航�����。
在信息技術服務和人員資格認證認可方面��,工業和信息化部建立計算機信息系統集成資質管理制度����,并與人力資源部和社會保障部開展信息系統項目管理師等人員資格認定制度;國家保密局建立了涉及國家秘密的計算機信息系統集成資質管理制度����,對企業和人員進行資質和資格管理工作����;中國信息安全認證中心開展了安全應急處理服務資質����、信息安全風險評估服務資質��、信息系統安全集成服務資質等安全服務資質的認證����;中國信息安全測評中心開展了信息安全工程類��、信息安全災難恢復類�����、安全運營維護類等安全服務資質的認證��,并開展注冊信息安全專業人員(CISP)��、注冊信息安全員(CISM)等人員資質認定��。
在信息安全管理體系等方面�����,《關于加強信息安全管理體系認證安全管理的通知》及配套的政策文件強化了對信息安全管理體系認證的管理����,要求為政府部門提供信息技術外包服務的機構申請信息安全管理體系認證時,若認證范圍涉及政府信息,須經工業和信息化主管部門同意�����。截止2014年8月底共有12家企業通過北京市的信息安全管理體系認證安全審查,并全部備案����,審查工作規避了這些企業的認證過程間接泄露政府重要敏感信息的安全風險。
在信息技術服務外包安全的績效考核方面��,2009年出臺《關于印發〈政府信息安全檢查方法〉的通知》��,對信息技術服務安全檢查和績效考核進行了規范��,自2009年以來����,國家和地方政府每年都把信息技術服務外包安全作為重要檢查內容和績效考核內容����。
三是信息技術服務外包安全管理基礎設施不斷建立��。國家商務部建立了中國服務外包研究中心�����,開通了中國服務外包網”、國家軟件與信息服務外包公共支撐平臺”等網站,為大力宣傳信息技術服務外包安全管理政策法規提供了平臺��;國家質監局成立了中國信息安全認證中心,開展對信息安全服務的認證�����,為政府部門選擇適合自己安全需求的服務外包機構提供了有力的支撐��。
盡管我國圍繞政府部門信息技術服務外包安全管理已經做了大量工作,但仍跟不上信息技術服務外包安全形勢發展的需要��,提高信息技術服務外包安全����,要著眼于頂層設計,做到外包服務使用者�����、提供者����、監管者各方齊心保障�����,做到外包服務從選擇到中止/終止的全生命周期保障����,做到從人員����、采購的產品到供應鏈等全方位縱深保障��。
三��、如何提高政府部門信息技術服務外包安全管理水平值得深思
要全面提升信息技術服務外包安全管理水平,是一個漸進的過程,不可能一蹴而就。在目前這個階段,應該抓住哪些重點工作����,做到以點帶面��,綱舉目張�����,個人認為��,亟需做好以下三方面工作:
一是建立信息技術服務外包企業的審查認證制度,把好服務事前關��。建立信息技術服務外包企業的審查認證制度����,有利于通過專業技術力量為政府部門把好前門�����。審查認證要滿足服務外包市場快速發展的需要�����,兼顧不同層次的信息技術服務外包需求��,在國家主管部門的統籌下�����,充分發揮地方和行業在信息技術服務外包企業安全管理審查的積極性和創造性����。同時����,要充分發揮第三方檢測認證機構在技術方面的支撐作用,鼓勵第三方檢測認證機構建立配套的服務人員認證制度以及運維服務體系和信息安全管理體系等體系認證制度����。審查認證及配套制度的建立��,有利于政府部門選擇信得過的�����、能力合適的外包企業。
二是建立持證上崗機制、安全監理機制和服務分離機制,把好服務事中關。推行安全持證上崗制度��,提高政府部門人員的安全業務能力和管理水平;推動信息技術服務外包的安全監理機制,由信息技術服務外包安全監理企業協助政府部門對其他信息技術服務外包企業實行監督管理,保證服務安全規范執行����;推動信息系統使用����、建設、運維��、安全管理等服務分離����,形成信息技術服務外包企業的相互合作和相互制約的機制��,避免特定企業權限過大�����。通過這些強練內功和制約平衡制度的建立��,可以有效提升政府部門對服務外包機構和人員的安全管理水平。
三是建立外包機構和人員信用制度和政府部門績效考核制度����,把好服務事后關。把安全納入全國征信系統�����,由信息安全主管機構建立外包機構和人員安全信用評價制度����,由使用外包服務的政府部門對信息技術服務外包機構和人員進行安全信用評價��。發揮國家和地方信息安全主管機構的積極性,由信息安全主管機構開展政府部門信息技術服務外包安全的績效考核��。通過從服務提供方和服務使用方兩個方面加強事后監管�����,為外包服務效果把關。
通過上述機制的建立�����,將使得外包機構和人員以及使用外包服務的政府部門不能����、不敢和不愿因信息技術服務外包發生信息安全事件�����。
