外包企业什么是信息安全管理体系

[什么是企业信息化的管理系统]大家知道，企业管理主要围绕人、财、物核心三要素来进行。如果把企业管理比喻成柱状体的话，那么它的纵截面是围绕财和物，以优化资源的组合模式、优化商业模式和业务创新为手段，以...+阅读

外包企业什么是信息安全管理体系

信息安全管理体系，是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系。它是直接管理活动的结果，表示成方针、原则、目标、方法、过程、核查表等要素的集合。

一、主要作用：

1、信息安全管理体系，是建立和维持信息安全管理体系的标准，标准要组织通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础选择控制目标与控制方式等活动建立信息安全管理体系；

2、体系一旦建立组织应按体系规定的要进行运作，保持体系运作的有效性；

3、信息安全管理体系应形成一定的文件，即组织应建立并保持一个文件化的信息安全管理体系，其中应阐述被保护的资产、组织风险管理的方法、控制目标及控制方式和需要的保证程度。

二、相关应用：主要是在PDCA上面的应用，何为PDCA?

1、计划（Plan）——根据风险评估结果、法律法规要、组织业务运作自身需要来确定控制目标与控制措施；

2、实施（Do）——实施所选的安全控制措施；

3、检查（Check）——依据策略、程序、标准和法律法规，对安全措施的实施情况进行符合性检查；

4、改进（Action）——根据ISMS审核、管理评审的结果及其他相关信息，采取纠正和预防措施，实现信息安全管理体系的持继改进。...

银行IT业务外包都有哪些风险

中小银行信息系统建设采取外包采购方式来完成。因此，做好IT业务外包风险与安全管理是银行业IT治理的一个重要内容。 IT业务外包风险分析

1、从宏观层面分析，产生系统性风险。目前银行业使用的IT产品如计算机CPU、操作系统、基础应用软件、互联网等技术都来自国外公司，因某种原因，承包商所在国家发生战争等不可抗拒性事件时，会造成IT供应商及其供应链上的公司不能正常经营，如果IT业务外包的是一些重要的核心业务，则会对银行信息系统安全造成重大影响。

2、从供应商方面分析，产生依赖性风险。目前，国内银行业普遍长期使用一些国内外知名厂商提供的软硬件产品，在熟悉供应商产品的同时，长期使用也形成了对某一供应商的依赖，也会因外包商自身或其供应链上某公司出现问题，造成外包商运营出现风险，如果银行没有自己掌握外包供应商产品技术，更换新外包商会带来成本高及影响银行业务正常运营。

3、从产品供应链分析，产生供应链风险。目前，很多IT厂商特别是跨国IT供应商，把用户订单分包给其他外包商生产，当该公司供应链企业合作关系因某种原因出现问题时，则会产生IT外包供应链风险。

4、从采购方面分析，出现选择性风险。在外包供应商招投标过程中，由于没有对外包供应商的服务能力、技术水平、才能力、行业信誉、安全保护措施等方面做全面的科学分析评估，并受到来自各方面关系因素影响，选择的IT外包商各方面能力不能满足银行自身业务发展需要，容易出现项目失败，造成损失。

5、从合规方面分析，产生合同风险。在与IT业务外包供应商签署合同时，因制定的合同文本中相关合同条款描述的不到位、不详细，权利与义务没有很好的说明，容易造成外包服务质量达不到预期目标甚至产生合同风险。转自项目管理者联盟

6、从道德方面分析，产生信息安全风险。由于外包供应商内部控制出现漏洞，本公司内部员工辞职，并利用到银行工作之便，或者与银行员工内外勾结，窃取银行客户信息和资产，给银行和客户造成损失。

7、从技术方面分析，产生技术风险。一些IT供应商因受到自身发展瓶颈的限制，资金和研发能力不足，不能紧密跟踪新技术应用，对软硬件产品及时进行升级改造，则对信息系统应用开发和安全运营产生影响。

9、从服务方面分析，存在服务质量风险。据2004年德勤发布的《外包调查报告》称：57%的调查者因为外包服务提供商能够提供优质的服务和业务创新选择了外包，31%的调查者认为服务提供商处于更有利的位置。在合同不完全性和双边垄断的前提下，外包商处于更有利的位置，致使服务质量得不到有效保障，组织效率得不到有效提升。

10、从内控管理分析，存在监督与审计缺失风险。在IT业务外包合同执行期间，银行管理部门往往忽视了对外包商的财务状况以及支持IT外包业务的技术和关键人员进行有效地监督和管理，忽视了对外包供应商及供应链公司的日常审计检查，容易造成IT外包业务服务水平下降。

11、从软件方面分析，存在后门的风险。在银行软件产品开发过程中，商业化的组件和中间件得到普遍应用，需内容变更、版本升级、打补丁，很难做到每一次升级都对系统功能从头到尾全面完整的测试，这使的软件产品外包商及供应链的透明度和可追溯性追踪变得困难，会存在后门的风险。

如何有效分析和评估企业安全服务外包

在现今数据大爆炸的时代，企业数据量正在以每年55%的比例迅速增长。有研究表明，现今人类每两天产生的数据量已经相当于自文明诞生以来至2003年所产生数据量的总和。这些数据量可能是来自于私人的、企业的、甚至国家的，而形成这些数据的信息又可能是保密的、公开的、或者根本无用的。无论这些数据是来自于何处，其庞大的数据量和安全保障兜成为了企业不可忽视的问题。面对此现状，对于处在信息时代的企业来说，无论其规模的大小、采用何种业务模式以及属于哪个行业。企业的信息安全都变得越来越重要，也越来越复杂。对此，IT部门普遍需要对这一问题做出战略性的决策，即如何才能以最好的方式确保公司重要资产的安全。无论是客户记录、员工保密信息、知识产权，还是为确保通过合规性审计而采取的措施和形成的能力，IT决策者都需要竭尽全力，才能确保这些关键的有形资产和无形资产的安全。

而企业对于保障数据安全的决策中，与外包企业合作也成为了众多IT管理者考虑的选择之一。据国外媒体的一项调查结果表明，将特定的IT安全功能外包出去是切实可行的方案。通过对超过150位IT安全专业人员的调查显示，他们的企业越来越倾向于雇佣MSSP（托管安全服务提供商）来实施各式各样的安全相关任务。调查中，将近60%的IT受访者和非IT受访者表示，他们认可将IT安全方面的任务外包出去。这主要是出于对成本的节约、能够获得更为专业的安全专业技能、以及成本可预见性和全天候的安全监控等因素考虑。另外，调查结果还表明，超过20%的受访者表示，他们的组织要么是今年首次将开始使用MSSP，要么是将要加大使用这些合作伙伴服务的力度。而另外21%的受访者表示，即便没有明确的计划扩大与MSSP的合作，他们至少也将会继续保持与当前的MSSP的合作关系，继续采用MSSP的服务。

在最近五到十年间，随着安全外包服务越来越受到企业重视，其作用也受到了企业的评估。在采用安全外包服务时，企业会比较自己开展内部安全管理和雇佣外部安全服务提供商之间到底存在哪些利与弊？以便能更好的控制企业的总体拥有成本。对此，IT专家表示，这些成本的把控归根结底是要尽可能的清晰，要能够从安全活动中分离出来，做到条分缕析。与数年前相比，现在做出清晰的成本分析更具难度，。因为安全问题经常会融入到绝大多数的IT操作中。不过，无论是从内部看还是从外部看，当今的一个均衡的成本分析至少应该充分考虑到如下这篇白皮书中的几个因素。

人力资源外包的风险

人力资源外包的风险分析

（一）增加企业额外费用的支出。

企业在决定哪些人力资源职能应该外包时，通常需要经过一系列程序的评估，在决定外包业务之后，还需要选择合适的外包商，这些都增加了企业费用。

（二）可能造成专业人才流失。

外包过程中的沟通不良会引起员工对变革的抵制。因为将人力资源管理职能外包后，企业一部分人力资源管理业务人员的职责由直接参与管理转变为间接协调外包服务工作，有些人力资源管理人员可能会面临失去工作的威胁，这必然会挫伤一些员工的工作积极性。如果处理不当的话，会造成一些专业人才或骨干力量因不能直接从事人力资源管理工作而另谋高就，造成人才的流失。

（三）安全风险。

选择合适的外包商是人力资源管理外包中最为关键的问题，外包商的信誉和服务质量会直接影响到外包活动的成败。由于信息不对称、合作不佳等问题，难免会出现安全和保密方面的问题。人力资源管理外包过程中，为了确保良好的合作，需要企业向外包服务商提供内容相关的内部资料，并在外包服务商那里建立人力资源数据库，这样就将企业内部的相关资料处于一种半公开的状态，一些有价值的商业机密可能会通过外包服务商泄露到竞争对手的手中；或者由于企业单方面原因解除外包关系时处理不当，就容易造成外包商故意泄密等现象的发生。

加之目前我国尚无完善的法律法则去约束规范外包主体和外包合作者之间的权利义务关系，使得外包服务的安全性难以得到保障。

（四）不易对工作质量进行控制

外包并不意味着放弃责任，而是更应该对外包商的工作进程不断地进行监控和评价，以保证目标的实现。但事实上，对外包服务商的控制并不是那么容易，由于外包商是一个独立运作的企业实体，双方是合作伙伴关系而不是上下级关系，因此，对方的合作行为往往不易控制。

五、人力资源外包的风险管理

为了使人力资源管理外包达到预期目标，就要对整个人力资源管理外包过程实行风险管理，通过预测和分析可能发生的潜在风险，最大限度地规避风险，制定控制风险的管理措施，有效控制风险的发生和转移风险。