3.3確定信息安全外包的流程
??? 企業(yè)要根據(jù)企業(yè)的商業(yè)特性、地理位置、資產(chǎn)和技術(shù)來(lái)對(duì)信息安全外包的范圍進(jìn)行界定。界定的時(shí)候需要考慮如下兩個(gè)方面:(1)需要保護(hù)的信息系統(tǒng)、資產(chǎn)、技術(shù);(2)實(shí)物場(chǎng)所(地理位置、部門(mén)等)。信息安全的外包商應(yīng)該根據(jù)企業(yè)的信息安全方針和所要求的安全程度，識(shí)別所有需要管理和控制的風(fēng)險(xiǎn)的內(nèi)容。企業(yè)需要協(xié)同信息安全的外包商選擇一個(gè)適合其安全要求的風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理方案，然后進(jìn)行合乎規(guī)范的評(píng)估，識(shí)別目前面臨的風(fēng)險(xiǎn)。企業(yè)可以定期的選擇對(duì)服務(wù)外包商的站點(diǎn)和服務(wù)進(jìn)行獨(dú)立評(píng)估，或者在年度檢查中進(jìn)行評(píng)估。選擇和使用的獨(dú)立評(píng)估的方案要雙方都要能夠接受。在達(dá)成書(shū)面一致后，外包商授予企業(yè)獨(dú)立評(píng)估方評(píng)估權(quán)限，并具體指出評(píng)估者不能泄露外包商或客戶的任何敏感信息。給外包商提供關(guān)于檢查范圍的進(jìn)一步消息和細(xì)節(jié)，以減少任何對(duì)可用性，服務(wù)程度，客戶滿意度等的影響。在評(píng)估執(zhí)行后的一段特殊時(shí)間內(nèi)，與外包商共享結(jié)果二互相討論并決定是否需要解決方案和/或開(kāi)發(fā)計(jì)劃程序以應(yīng)對(duì)由評(píng)估顯示的任何變化。評(píng)估所需要的相關(guān)材料和文檔在控制過(guò)程中都應(yīng)該予以建立和保存，企業(yè)將這些文檔作為評(píng)估的重要工具，對(duì)外包商的服務(wù)績(jī)效進(jìn)行考核。評(píng)估結(jié)束后，對(duì)事件解決方案和優(yōu)先級(jí)的檢查都將記錄在相應(yīng)的文件中，以便今后雙方在服務(wù)和信息安全管理上進(jìn)行改進(jìn)。
　　3.4制定信息安全外包服務(wù)的控制規(guī)則
??? 依照信息安全外包服務(wù)的控制規(guī)則，主要分為三部分內(nèi)容:第一部分定義了服務(wù)規(guī)則的框架，主要闡明信息安全服務(wù)要如何執(zhí)行，執(zhí)行的通用標(biāo)準(zhǔn)和量度，服務(wù)外包商以及各方的任務(wù)和職責(zé);第二部分是信息安全服務(wù)的相關(guān)要求，這個(gè)部分具體分為高層服務(wù)需求;服務(wù)可用性;服務(wù)體系結(jié)構(gòu);服務(wù)硬件和服務(wù)軟件;服務(wù)度量;服務(wù)級(jí)別;報(bào)告要求，服務(wù)范圍等方面的內(nèi)容;第三部分是安全要求，包括安全策略、程序和規(guī)章制度;連續(xù)計(jì)劃;可操作性和災(zāi)難恢復(fù);物理安全;數(shù)據(jù)控制;鑒定和認(rèn)證;訪問(wèn)控制;軟件完整性;安全資產(chǎn)配置;備份;監(jiān)控和審計(jì);事故管理等內(nèi)容。
　　3.5信息安全外包的企業(yè)結(jié)構(gòu)管理具體的優(yōu)化方案如下:
??? (1)首席安全官:CSO是公司的高層安全執(zhí)行者，他需要直接向高層執(zhí)行者進(jìn)行工作匯報(bào)，主要包括:首席執(zhí)行官、首席運(yùn)營(yíng)官、首席財(cái)務(wù)官、主要管理部門(mén)的領(lǐng)導(dǎo)、首席法律顧問(wèn)。CSO需要監(jiān)督和協(xié)調(diào)各項(xiàng)安全措施在公司的執(zhí)行情況，并確定安全工作的標(biāo)準(zhǔn)和主動(dòng)性，包括信息技術(shù)、人力資源、通信、法律、設(shè)備管理等部門(mén)。
??? (2)安全小組:安全小組的人員組成包括信息安全外包商的專業(yè)人員以及客戶企業(yè)的內(nèi)部IT人員和信息安全專員。這個(gè)小組的任務(wù)主要是依照信息安全服務(wù)的外包商與企業(yè)簽訂的服務(wù)控制規(guī)則來(lái)進(jìn)行信息安全的技術(shù)性服務(wù)。
??? (3)管理委員會(huì):這是信息安全服務(wù)外包商和客戶雙方高層解決問(wèn)題的機(jī)構(gòu)。組成人員包括雙方的首席執(zhí)行官，客戶企業(yè)的CIO和CSO，外包商的項(xiàng)目經(jīng)理等相關(guān)的高層決策人員。這個(gè)委員會(huì)每年召開(kāi)一次會(huì)議，負(fù)責(zé)審核年度的服務(wù)水平、企業(yè)的適應(yīng)性、評(píng)估結(jié)果、關(guān)系變化等內(nèi)容。
??? (4)咨詢委員會(huì):咨詢委員會(huì)的會(huì)議主要解決計(jì)劃性問(wèn)題。如服務(wù)水平的變更，新的技術(shù)手段的應(yīng)用，服務(wù)優(yōu)先等級(jí)的更換以及服務(wù)的財(cái)政問(wèn)題等，咨詢委員會(huì)的成員包括企業(yè)內(nèi)部的TI’人員和安全專員，還有財(cái)務(wù)部門(mén)、人力資源部門(mén)、業(yè)務(wù)部門(mén)的相關(guān)人員，以及外包商的具體項(xiàng)目的負(fù)責(zé)人。
??? (6)安全工作組:安全工作組的人員主要負(fù)責(zé)解決信息安全中某些特定的問(wèn)題，工作組的人員組成也是來(lái)自服務(wù)外包商和企業(yè)雙方。工作組與服務(wù)交換中心密切聯(lián)系，將突出的問(wèn)題組建成項(xiàng)目進(jìn)行解決，并將無(wú)法解決的問(wèn)題提交給咨詢委員會(huì)。
??? (7)服務(wù)交換中心:服務(wù)交換中心由雙方人員組成，其中主要人員是企業(yè)內(nèi)部的各個(gè)業(yè)務(wù)部門(mén)中與信息安全相關(guān)的人員。他們負(fù)責(zé)聯(lián)絡(luò)各個(gè)業(yè)務(wù)部門(mén)，發(fā)掘出企業(yè)中潛在的信息安全的問(wèn)題和漏洞，并將這些問(wèn)題報(bào)告給安全工作組。
??? （8）指令問(wèn)題管理小組:這個(gè)小組的人員組成全部為企業(yè)內(nèi)部人員，包括信息安全專員以及各個(gè)業(yè)務(wù)部門(mén)的負(fù)責(zé)人。在安全小組的技術(shù)人員解決了企業(yè)中的安全性技術(shù)問(wèn)題之后，或者，是當(dāng)CSO發(fā)布了關(guān)于信息安全的企業(yè)改進(jìn)方案之后，這些解決方案都將傳送給指令問(wèn)題管理小組，這個(gè)小組的人員經(jīng)過(guò)學(xué)習(xí)討論后，繼而將其發(fā)布到各個(gè)業(yè)務(wù)部門(mén)。
??? (9)監(jiān)督委員會(huì):這個(gè)委員會(huì)全部由企業(yè)內(nèi)部人員組成。負(fù)責(zé)對(duì)外包商的服務(wù)過(guò)程的監(jiān)督。
　　3.6管理與外包商的關(guān)系
??? 管理好與外包商之間的關(guān)系，意味著企業(yè)應(yīng)致力于和外包商建立長(zhǎng)期合作關(guān)系，這將有助于安全服務(wù)的外包商更多地了解企業(yè)文化，從而提供更好的服務(wù)。在管理與外包商關(guān)系的過(guò)程中，企業(yè)應(yīng)該在注重監(jiān)督與控制的同時(shí)，同樣注重對(duì)外包商的激勵(lì)和協(xié)作。以建立良好的可發(fā)展的關(guān)系為關(guān)系管理的基礎(chǔ)。保持外包商行為規(guī)范的基本方法就是監(jiān)督和控制。監(jiān)督是用來(lái)觀察外包商是否在做他應(yīng)該做的事情。如果通過(guò)監(jiān)督發(fā)現(xiàn)外包商正在偏離預(yù)定的行為目標(biāo)，此時(shí)就需要控制，控制就是使外包商返回到正確的軌道上去。在有了控制規(guī)則來(lái)規(guī)范外包商服務(wù)績(jī)效之后，要保持外包商和企業(yè)客戶經(jīng)常的溝通，以便能夠及時(shí)發(fā)現(xiàn)問(wèn)題，進(jìn)行標(biāo)準(zhǔn)化的控制活動(dòng)。