ISO27001在日企外包行业的实践探讨（2）

foreverlion0725

ISO27001在日企外包行业的实践探讨（2）
2.        ISMS（信息安全管理体系）如何从业务需求出发
企业从事信息安全的人员在业务部门往往不怎么受欢迎，因为在业务部门的眼中，信息安全捆绑了业务发展的手脚，降低了工作的效率。这是误解呢还是事实呢？显然，对于信息安全从业人员来说，无疑伤了他们的积极性，信息安全的目的不但没有达到，反而逆其道而行之。归其原因，主要是信息安全控制与业务需求脱钩；
外包公司的主要业务是承接了客户业务链中的某个环节业务，而外包公司所提供的这些服务的失败可能会影响到发包公司整个业务。比如软件外包，这可能会涉及到某些具有知识产权的技术，也可能会涉及到客户数据的机密，也有可能会涉及到某些商业秘密等；那么ISMS如何满足业务需求呢？
1)        分析业务驱动
业务驱动是指在信息安全方面业务开展的需求，软件外包公司的业务驱动主要包括以下方面：
        发包方与接包方之间在信息安全方面要建立广泛的信任，必须要引入信任的第三方；
        发包企业往往是跨国或者高科技企业，其自身对信息安全要求很高；
        提供一个安全的开发环境，开发团队使用的信息系统不至于遭受外包恶意软件的攻击而不能正常工作；
        互联网的环境，软件系统面临更多的威胁，需要开发出安全的软件（软件功能健壮，不存在严重的安全漏洞）；
        保障客户信息的机密性；
        保持邮件系统7×24小时正常运行，与客户保持良好信息沟通；
        保持网络通畅，保证开发团队（发包方与接包方）能够正常协同开发；
        维护客户知识产权；
        保障与开发系统相关的一切设计文档、源代码的机密性；
        保持开发团队的相对稳定性；
        出差人员能够通过安全的方式访问企业内部信息；

2)        明确业务属性
业务属性是指那些企业想要保护或者支持的事务。业务属性可以从用户属性、运维属性、风险管理属性、法律法规属性、业务战略属性等几个方面来看。
用户属性是指用户在系统中的信息安全的体验，这里的“用户”主要是指软件工程师，软件项目管理人员。运维属性是指企业日常运行的安全；风险管理属性指要识别的安全需求的集合以及管理业务风险；法律属性涉及符合性问题；业务战略属性是指高层管理和股东对于公司以后发展的想法；下面，摘取业务属性的一二略加展开。
如用户属性：
用户属性        属性解释
可访问性        对于授权能够访问的项目文档信息以及信息安全过程改进文档，用户能够容易的找到并且有适当的访问权限；
更新性        给用户所提供的信息，包括软件过程改进以及信息安全过程改进文档等必须是保持最新；
职务分离        软件开发与软件测试工作必须由不同工程师担任；项目配置库服务管理人员与审计人员必须不同人员担任；
教育和意识        用户必须接受必要的培训和教育，使他们必须具备必要的安全技能，对安全问题有足够的风险意识，并明确那些行为是符合公司安全策略的；
受保护        用户的信息和访问权限必须受到保护，以防止被他们滥用；
可靠性        为开发部门员工所提供的系统服务，包括邮件通讯服务，远程网络访问服务等，交付时应达到可靠的服务质量水平
运维属性：
运维属性        属性解释
可靠性        企业业务开展所依赖的信息系统和网络应该稳定可靠，满足约定的服务级别水平；
持续性        严重事故甚至灾难所致的信息系统的宕机导致业务中断在企业的所允许的最大业务中断时间之内；
可检测性        重大的安全事故能够发现并及时报告；持续监视系统的性能、容量状况以满足其他的规范。任何系统安全策略的违背都有相应日志记录；
可恢复性        系统在遭受崩溃或者灾难之后，按照既定服务级别水平，能够恢复其全部功能；
从以上的分析当中，可以看出，业务驱动与业务属性存在着多对多的关系；比如业务驱动“保障客户信息的机密性”与业务属性的“教育与意识”以及“可检测性”对应；
3)        设计安全架构并实施
通过对业务的安全需求的充分调查与分析，ISMS（信息安全管理体系）的安全控制措施才能有的放矢，真正做到符合需要，符合企业业务发展的需要。

2.        知识产权问题
近年来，知识产权问题在离岸外包业务中屡屡出现问题。印度在近20年来成为世界的IT外包中心，除了高性价比的劳动力和规模效应之外，就是知识产权得到政府和企业等多方的保护，这让发包方有充分的安全感。但是，近年发生在印度数桩技术机密遭到恶意泄漏和贩卖的案例，引发行业的广泛思考。
而在国内，众多的企业还在探索外包市场，知识产权的保护还停留在起步阶段。要达成商务部提出的“千百十工程”在全国建立十个国际外包基地城市，推动100家世界著名跨国公司将业务外包业务转移到中国，扶持1000家具有国际外包能力的大中型企业的目标还任重道远；这一方面要求政府加速推进知识产权方面的立法和执法工作，另外一方面，要求企业在内部建立完善的知识产权保障团队，可由公司具体外包业务部门、质量监控部门、信息技术部门和人事部门负责人组成。所有新员工入职时，就要接受相关培训。信息技术部门则在工具技术上提供一种安全的环境和屏障；同时，质量人员在检验项目的流程中都会介入，按照我们对客户的承诺，一条条检查知识产权方面的保护；业务部门的主管人员就会自始至终控制着整个过程。
当然发包方也应有专业的知识产权保护方法，外包不等于撒手不管，外包安全需要发包方的介入，才能确保外包长期的安全。至于发包方如何确保外包安全，超出了本文的范围；
另外，在软件外包公司，还存在着一个有趣的且对质量管理部门棘手的问题。那就是软件开发公司一般都会参照CMMI来建立企业软件开发过程改进体系，而CMMI体系中就要求过程改进部门，往往是质量部门，去收集一个个已经完成的项目，并且整理归档，为下一个类似项目提供参考，但是这无疑违背了与客户之前签订的外包合同中所涉及的知识产权甚至保密性约定。对于质量管理部来说，已经收集的项目数据就成了烫手的山芋。面对这个问题，有以下两个可能的解决方法：
一是在与客户签订外包合同时，明确详细的知识产权保护范围；
二是清除已项目文档中的与客户相关的所有的敏感信息；