谷安天下对ISO27001在日企外包行业的实践探讨（二）

哪呢

ISO27001在日企外包行业的实践探讨（二）

谷安天下——您身边的IT风险管理专家

2.
ISMS（信息安全管理体系）如何从业务需求出发

企业从事信息安全的人员在业务部门往往不怎么受欢迎，因为在业务部门的眼中，信息安全捆绑了业务发展的手脚，降低了工作的效率。这是误解呢还是事实呢？显然，对于信息安全从业人员来说，无疑伤了他们的积极性，信息安全的目的不但没有达到，反而逆其道而行之。归其原因，主要是信息安全控制与业务需求脱钩；

外包公司的主要业务是承接了客户业务链中的某个环节业务，而外包公司所提供的这些服务的失败可能会影响到发包公司整个业务。比如软件外包，这可能会涉及到某些具有知识产权的技术，也可能会涉及到客户数据的机密，也有可能会涉及到某些商业秘密等；那么ISMS如何满足业务需求呢？

1)
分析业务驱动

业务驱动是指在信息安全方面业务开展的需求，软件外包公司的业务驱动主要包括以下方面：

ü
发包方与接包方之间在信息安全方面要建立广泛的信任，必须要引入信任的第三方；

ü
发包企业往往是跨国或者高科技企业，其自身对信息安全要求很高；

ü
提供一个安全的开发环境，开发团队使用的信息系统不至于遭受外包恶意软件的攻击而不能正常工作；

ü
互联网的环境，软件系统面临更多的威胁，需要开发出安全的软件（软件功能健壮，不存在严重的安全漏洞）；

ü
保障客户信息的机密性；

ü
保持邮件系统7×24小时正常运行，与客户保持良好信息沟通；

ü
保持网络通畅，保证开发团队（发包方与接包方）能够正常协同开发；

ü
维护客户知识产权；

ü
保障与开发系统相关的一切设计文档、源代码的机密性；

ü
保持开发团队的相对稳定性；

ü
出差人员能够通过安全的方式访问企业内部信息；

2)
明确业务属性

业务属性是指那些企业想要保护或者支持的事务。业务属性可以从用户属性、运维属性、风险管理属性、法律法规属性、业务战略属性等几个方面来看。
用户属性是指用户在系统中的信息安全的体验，这里的“用户”主要是指软件工程师，软件项目管理人员。运维属性是指企业日常运行的安全；风险管理属性指要识别的安全需求的集合以及管理业务风险；法律属性涉及符合性问题；业务战略属性是指高层管理和股东对于公司以后发展的想法；下面，摘取业务属性的一二略加展开。
如用户属性：

用户属性	属性解释
可访问性	对于授权能够访问的项目文档信息以及信息安全过程改进文档，用户能够容易的找到并且有适当的访问权限；
更新性	给用户所提供的信息，包括软件过程改进以及信息安全过程改进文档等必须是保持最新；
职务分离	软件开发与软件测试工作必须由不同工程师担任；项目配置库服务管理人员与审计人员必须不同人员担任；
教育和意识	用户必须接受必要的培训和教育，使他们必须具备必要的安全技能，对安全问题有足够的风险意识，并明确那些行为是符合公司安全策略的；
受保护	用户的信息和访问权限必须受到保护，以防止被他们滥用；
可靠性	为开发部门员工所提供的系统服务，包括邮件通讯服务，远程网络访问服务等，交付时应达到可靠的服务质量水平

运维属性：

运维属性	属性解释
可靠性	企业业务开展所依赖的信息系统和网络应该稳定可靠，满足约定的服务级别水平；
持续性	严重事故甚至灾难所致的信息系统的宕机导致业务中断在企业的所允许的最大业务中断时间之内；
可检测性	重大的安全事故能够发现并及时报告；持续监视系统的性能、容量状况以满足其他的规范。任何系统安全策略的违背都有相应日志记录；
可恢复性	系统在遭受崩溃或者灾难之后，按照既定服务级别水平，能够恢复其全部功能；

从以上的分析当中，可以看出，业务驱动与业务属性存在着多对多的关系；比如业务驱动“保障客户信息的机密性”与业务属性的“教育与意识”以及“可检测性”对应；

3)
设计安全架构并实施

通过对业务的安全需求的充分调查与分析，ISMS（信息安全管理体系）的安全控制措施才能有的放矢，真正做到符合需要，符合企业业务发展的需要。

3.
知识产权问题

近年来，知识产权问题在离岸外包业务中屡屡出现问题。印度在近20年来成为世界的IT外包中心，除了高性价比的劳动力和规模效应之外，就是知识产权得到政府和企业等多方的保护，这让发包方有充分的安全感。但是，近年发生在印度数桩技术机密遭到恶意泄漏和贩卖的案例，引发行业的广泛思考。

而在国内，众多的企业还在探索外包市场，知识产权的保护还停留在起步阶段。要达成商务部提出的“千百十工程”在全国建立十个国际外包基地城市，推动100家世界著名跨国公司将业务外包业务转移到中国，扶持1000家具有国际外包能力的大中型企业的目标还任重道远；这一方面要求政府加速推进知识产权方面的立法和执法工作，另外一方面，要求企业在内部建立完善的知识产权保障团队，可由公司具体外包业务部门、质量监控部门、信息技术部门和人事部门负责人组成。所有新员工入职时，就要接受相关培训。信息技术部门则在工具技术上提供一种安全的环境和屏障；同时，质量人员在检验项目的流程中都会介入，按照我们对客户的承诺，一条条检查知识产权方面的保护；业务部门的主管人员就会自始至终控制着整个过程。

附：谷安天下北京总部联系方式

北京市海淀区中关村南大街2号数码大厦A座2906室

电话：010 – 51626887

联系人：董女士
李女士

传真：010 – 51626975

电邮：
market@gooann.com   dongwenjuan@gooann.com
liyang@gooann.com

文章链接：http://www.gooann.com/inf/ISO27001.html

上一篇：谷安天下对ISO27001在日企外包行业的实践探讨（一）
下一篇：谷安天下对ISO27001在日企外包行业的实践探讨（三）

毓琴盛

看帖要回，回帖才健康，在踩踩，楼主辛苦了！

天沐果

传说中的沙发？？？

雨绍渝

纯粹路过，没任何兴趣，仅仅是看在老用户份上回复一下

李军

膜拜神贴，后面的请保持队形~

长相厮守ょ

很有见地的探讨，先收藏着~

波波

非常好，顶一下占位编辑

白加黑丶无奈

very good.

呆葩

还不错哦，如果再能多分享一些就perfect了！

好自为之、

看了LZ的帖子，我只想说一句很好很强大！

Canty·茶妞

很有借鉴意义，先收藏了，谢谢楼主。

唐诗@

确实不错，顶先

花未眠丶Fchen

以我的经验来看，楼主的想法是可以执行的~

飙车E族

确实不错，顶先

久见人心°

我也来顶一下..