劉海峰

北京信息安全測評中心主任

在信息技術(shù)服務(wù)外包中發(fā)生的眾多安全問題，嚴(yán)重影響了政府部門信息技術(shù)服務(wù)外包的決策，在包與不包、包給誰、怎樣包中作著艱難的選擇。

信息技術(shù)服務(wù)外包在經(jīng)濟結(jié)構(gòu)轉(zhuǎn)型、安排就業(yè)、綠色可持續(xù)發(fā)展等方面作用日益突出。中國服務(wù)外包研究中心2013年發(fā)布的《中國服務(wù)外包發(fā)展報告》顯示，2012年信息技術(shù)外包執(zhí)行金額達(dá)到273.6億美元，占服務(wù)外包業(yè)務(wù)總量的58.8%。同時，政府部門因為人員少、專業(yè)技術(shù)能力與服務(wù)外包企業(yè)人員相比存在差距，也迫切需要進行信息技術(shù)服務(wù)外包。信息技術(shù)服務(wù)外包在發(fā)揮服務(wù)商專業(yè)優(yōu)勢和規(guī)模優(yōu)勢、降低成本、提高信息化質(zhì)量和效率的同時，也引入了信息安全風(fēng)險。

一、信息技術(shù)服務(wù)外包安全問題掣肘了業(yè)務(wù)發(fā)展

政府部門信息化不斷向縱深發(fā)展，呈現(xiàn)出所建信息系統(tǒng)越來越多、積累的數(shù)據(jù)規(guī)模越來越龐大的態(tài)勢。與此相對應(yīng)，政府部門需要越來越多的信息技術(shù)服務(wù)外包機構(gòu)和人員以及廠商提供的產(chǎn)品來幫助進行信息系統(tǒng)的建設(shè)和運維。這樣，政府部門在信息技術(shù)服務(wù)外包中，就有兩類突出因素極易產(chǎn)生安全問題，一是信息技術(shù)服務(wù)外包機構(gòu)和人員以及服務(wù)過程中使用的產(chǎn)品不可靠，安全堡壘就容易從內(nèi)部攻破；二是政府部門如果對外包機構(gòu)和人員管理不善，發(fā)生安全問題也同樣在所難免。

信息技術(shù)服務(wù)外包機構(gòu)的人員利用掌握政府信息系統(tǒng)和數(shù)據(jù)的便利，為自己謀取利益，在信息技術(shù)服務(wù)外包安全事件中非常突出。如2011年上海市衛(wèi)生局外包公司的張某利用開發(fā)維護出生系統(tǒng)數(shù)據(jù)庫的便利，非法下載了約14萬條新生兒出生信息并出售獲利。2009年深圳福彩中心外包公司的程某通過自編木馬軟件入侵福彩中心銷售系統(tǒng)，惡意篡改中獎數(shù)據(jù)并偽造3305萬大獎。

信息技術(shù)服務(wù)外包企業(yè)主動泄露數(shù)據(jù)的情況也較為常見。根據(jù)棱鏡門批露的資料，微軟、Google、Yahoo、Facebook、PalTalk、YouTube、Skype、AOL、Apple等為美國國家安全局提供視頻、語音、圖片、郵件、文件等數(shù)據(jù)。

信息技術(shù)服務(wù)外包信息安全問題還表現(xiàn)在信息技術(shù)服務(wù)外包供應(yīng)鏈環(huán)節(jié)上。根據(jù)愛德華·斯諾登(Edward Snowden)提供的文件，曝光美國國家安全局（NSA）“棱鏡門”的《衛(wèi)報》記者格倫·格林沃爾德(Glenn Greenwald），在自己的新書中透露，NSA經(jīng)常會收到或攔截美國廠商的路由器、服務(wù)器以及其他網(wǎng)絡(luò)設(shè)備，會在設(shè)備中植入“后門監(jiān)控工具”，重新打包并打上工廠的密封封條，繼續(xù)運輸，出口給國際客戶。

政府部門因信息技術(shù)服務(wù)外包管理不善導(dǎo)致出現(xiàn)信息安全問題的情況更為常見。根據(jù)北京市對政府部門信息技術(shù)服務(wù)外包的調(diào)研和歷年檢查的結(jié)果來看，導(dǎo)致管理不善的突出因素表現(xiàn)在三個方面，一是對外包安全不夠重視，重建設(shè)輕運維、重建設(shè)輕安全思想仍較普遍，運維和信息安全保障資金申請較困難；二是對外包機構(gòu)和人員的管理跟不上。缺乏可靠的外包機構(gòu)和人員選擇、服務(wù)過程評估、服務(wù)成果交付驗證以及外包機構(gòu)和人員績效考評的技術(shù)手段和標(biāo)準(zhǔn)，在外包機構(gòu)和駐場人員多、政府部門信息化人員少的情況下，難以有效管理外包機構(gòu)和人員；三是政府部門人員少，專業(yè)業(yè)務(wù)能力不足，嚴(yán)重依賴外包機構(gòu)和人員，重要數(shù)據(jù)、管理口令等多為外包服務(wù)商及其人員所掌握，難以掌握管理的主動權(quán)。

在信息技術(shù)服務(wù)外包中發(fā)生的眾多安全問題，嚴(yán)重影響了政府部門信息技術(shù)服務(wù)外包的決策，在包與不包、包給誰、怎樣包中作著艱難的選擇。

二、信息技術(shù)服務(wù)外包安全管理工作不斷推進

我國政府在大力推動信息技術(shù)服務(wù)外包產(chǎn)業(yè)發(fā)展的同時，不斷加強服務(wù)外包的信息安全管理。

一是信息技術(shù)服務(wù)外包安全管理法規(guī)標(biāo)準(zhǔn)不斷完善。法律法規(guī)層面，出臺了有關(guān)法律法規(guī)，為服務(wù)外包使用單位和提供商建立信息安全保障體系提供了全面指導(dǎo)，突出落實信息安全等級保護，完善信息安全認(rèn)證認(rèn)可體系，強調(diào)嚴(yán)格政府信息技術(shù)服務(wù)外包的安全管理，同時也提出了具體要求，各省市都加強了信息安全法律法規(guī)體系的建設(shè)。另外，一些標(biāo)準(zhǔn)層面的相關(guān)國家標(biāo)準(zhǔn)也正在制定中。

二是信息技術(shù)服務(wù)外包安全管理關(guān)鍵措施逐步落實。這些關(guān)鍵措施包括建立信息技術(shù)服務(wù)企業(yè)和人員資質(zhì)資格評定體系、認(rèn)證認(rèn)可體系，推動信息安全管理體系、運維外包服務(wù)體系等管理體系建設(shè)，推動信息技術(shù)服務(wù)外包安全的績效考核等。

在信息安全服務(wù)企業(yè)資質(zhì)評定方面，北京市走在了前列。北京信息安全測評中心根據(jù)授權(quán)，按照信息安全服務(wù)企業(yè)能力評定條件要求，對服務(wù)人員通過考試進行能力認(rèn)定，對企業(yè)通過評審進行資質(zhì)認(rèn)定。截至2014年8月，已經(jīng)有9家企業(yè)通過北京市信息安全服務(wù)審查評定考核，619個信息安全服務(wù)（高級）工程師服務(wù)于北京市電子政務(wù)各個重要領(lǐng)域，為北京市電子政務(wù)保駕護航。

在信息技術(shù)服務(wù)和人員資格認(rèn)證認(rèn)可方面，工業(yè)和信息化部建立計算機信息系統(tǒng)集成資質(zhì)管理制度，并與人力資源部和社會保障部開展信息系統(tǒng)項目管理師等人員資格認(rèn)定制度；國家保密局建立了涉及國家秘密的計算機信息系統(tǒng)集成資質(zhì)管理制度，對企業(yè)和人員進行資質(zhì)和資格管理工作；中國信息安全認(rèn)證中心開展了安全應(yīng)急處理服務(wù)資質(zhì)、信息安全風(fēng)險評估服務(wù)資質(zhì)、信息系統(tǒng)安全集成服務(wù)資質(zhì)等安全服務(wù)資質(zhì)的認(rèn)證；中國信息安全測評中心開展了信息安全工程類、信息安全災(zāi)難恢復(fù)類、安全運營維護類等安全服務(wù)資質(zhì)的認(rèn)證，并開展注冊信息安全專業(yè)人員（CISP）、注冊信息安全員（CISM）等人員資質(zhì)認(rèn)定。

在信息安全管理體系等方面，《關(guān)于加強信息安全管理體系認(rèn)證安全管理的通知》及配套的政策文件強化了對信息安全管理體系認(rèn)證的管理，要求為政府部門提供信息技術(shù)外包服務(wù)的機構(gòu)申請信息安全管理體系認(rèn)證時，若認(rèn)證范圍涉及政府信息，須經(jīng)工業(yè)和信息化主管部門同意。截止2014年8月底共有12家企業(yè)通過北京市的信息安全管理體系認(rèn)證安全審查，并全部備案，審查工作規(guī)避了這些企業(yè)的認(rèn)證過程間接泄露政府重要敏感信息的安全風(fēng)險。

在信息技術(shù)服務(wù)外包安全的績效考核方面，2009年出臺《關(guān)于印發(fā)〈政府信息安全檢查方法〉的通知》，對信息技術(shù)服務(wù)安全檢查和績效考核進行了規(guī)范，自2009年以來，國家和地方政府每年都把信息技術(shù)服務(wù)外包安全作為重要檢查內(nèi)容和績效考核內(nèi)容。

三是信息技術(shù)服務(wù)外包安全管理基礎(chǔ)設(shè)施不斷建立。國家商務(wù)部建立了中國服務(wù)外包研究中心，開通了“中國服務(wù)外包網(wǎng)”和“國家軟件與信息服務(wù)外包公共支撐平臺”等網(wǎng)站，為大力宣傳信息技術(shù)服務(wù)外包安全管理政策法規(guī)提供了平臺；國家質(zhì)監(jiān)局成立了中國信息安全認(rèn)證中心，開展對信息安全服務(wù)的認(rèn)證，為政府部門選擇適合自己安全需求的服務(wù)外包機構(gòu)提供了有力的支撐。

盡管我國圍繞政府部門信息技術(shù)服務(wù)外包安全管理已經(jīng)做了大量工作，但仍跟不上信息技術(shù)服務(wù)外包安全形勢發(fā)展的需要，提高信息技術(shù)服務(wù)外包安全，要著眼于頂層設(shè)計，做到外包服務(wù)使用者、提供者、監(jiān)管者各方齊心保障，做到外包服務(wù)從選擇到中止或終止的全生命周期保障，做到從人員、采購的產(chǎn)品到供應(yīng)鏈等全方位縱深保障。

三、如何提高政府部門信息技術(shù)服務(wù)外包安全管理水平值得深思

要全面提升信息技術(shù)服務(wù)外包安全管理水平，是一個漸進的過程，不可能一蹴而就。在目前這個階段，應(yīng)該抓住哪些重點工作，做到以點帶面，綱舉目張，我個人認(rèn)為，亟需做好如下三件工作：

一是建立信息技術(shù)服務(wù)外包企業(yè)的審查認(rèn)證制度，把好服務(wù)事前關(guān)。建立信息技術(shù)服務(wù)外包企業(yè)的審查認(rèn)證制度，有利于通過專業(yè)技術(shù)力量為政府部門把好前門。審查認(rèn)證要滿足服務(wù)外包市場快速發(fā)展的需要，兼顧不同層次的信息技術(shù)服務(wù)外包需求，在國家主管部門的統(tǒng)籌下，充分發(fā)揮地方和行業(yè)在信息技術(shù)服務(wù)外包企業(yè)安全管理審查的積極性和創(chuàng)造性。同時，要充分發(fā)揮第三方檢測認(rèn)證機構(gòu)在技術(shù)方面的支撐作用，鼓勵第三方檢測認(rèn)證機構(gòu)建立配套的服務(wù)人員認(rèn)證制度以及運維服務(wù)體系和信息安全管理體系等體系認(rèn)證制度。審查認(rèn)證及配套制度的建立，有利于政府部門選擇信得過的、能力合適的外包企業(yè)。

二是建立持證上崗機制、安全監(jiān)理機制和服務(wù)分離機制，把好服務(wù)事中關(guān)。推行安全持證上崗制度，提高政府部門人員的安全業(yè)務(wù)能力和管理水平；推動信息技術(shù)服務(wù)外包的安全監(jiān)理機制，由信息技術(shù)服務(wù)外包安全監(jiān)理企業(yè)協(xié)助政府部門對其他信息技術(shù)服務(wù)外包企業(yè)實行監(jiān)督管理，保證服務(wù)安全規(guī)范執(zhí)行；推動信息系統(tǒng)使用、建設(shè)、運維、安全管理等服務(wù)分離，形成信息技術(shù)服務(wù)外包企業(yè)的相互合作和相互制約的機制，避免特定企業(yè)權(quán)限過大。通過這些強練內(nèi)功和制約平衡制度的建立，可以有效提升政府部門對服務(wù)外包機構(gòu)和人員的安全管理水平。

三是建立外包機構(gòu)、人員信用制度和政府部門績效考核制度，把好服務(wù)事后關(guān)。把安全納入全國征信系統(tǒng)，由信息安全主管機構(gòu)建立外包機構(gòu)和人員安全信用評價制度，由使用外包服務(wù)的政府部門對信息技術(shù)服務(wù)外包機構(gòu)和人員進行安全信用評價。發(fā)揮國家和地方信息安全主管機構(gòu)的積極性，由信息安全主管機構(gòu)開展政府部門信息技術(shù)服務(wù)外包安全的績效考核。通過從服務(wù)提供方和服務(wù)使用方兩個方面加強事后監(jiān)管，為外包服務(wù)效果把關(guān)。

通過上述機制的建立，將使得外包機構(gòu)、人員以及使用外包服務(wù)的政府部門不能、不敢和不愿因信息技術(shù)服務(wù)外包發(fā)生信息安全事件。

版權(quán)聲明：本文為新華網(wǎng)思客獨家稿件，如有轉(zhuǎn)載，請注明來源于新華網(wǎng)思客。

（文章為作者獨立觀點，不代表新華網(wǎng)立場。）