您的安全需要外包吗

安全外包通常指的是将企业的信息安全业务通过外包的方式完全或部分转交给第三方服务商完成，这种信息安全服务方式在近年来获得了迅速的发展，并引起了信息安全领城的高度重视。除了企业完全自主建设的信忽安全体系之外，将信息安全业务局部或完全的外包给第三方完成，已经成为安全领域的下一个趋势。

为何选择安全外包

不论对于任何规模的企业来说，安全问题都是IT部门必须考虑的问题。而由于安全问题的专业性和复杂性，即使对于拥有雄厚技术实力的大型企业来说，也并不都能妥善的处理信息安全问题。这些具有一定规模IT设施的企业虽然拥有自主控制的信息技术队伍，但是信息安全并不是单纯的技术领域问题。除了需要掌握相关的专业知识之外，对于整个安全体系的理解和经验是限制企业自己建设信息安全机制的一大障碍。

无论是前期设计、中期实施还是后期运维，信息安全系统的复杂性都远较一般应用系统为高。特别是在一些混合了多种系统类型的应用环境下，只有真正的专家级的安全团队才能妥善的达成用户的信息安全目标。在这种情况下，利用第三方服务机构的专业技术和人员，企业能够以较低的成本和更快的速度获得良好的信息安全实践，同时也可以在合作过程中使企业自身在信息安全领域获得较好的知识积累。

安全外包的优势

成本降低是外包信息安全服务的最大优势之一，综合计算，外包处理信息安全业务相比企业独立处理相同问题要节省不少投入。另外，在实现外包安全的时候，企业和服务商能够做到整合双方的资源，从而做到优势互补、互相支撑，在处理很多问题的时候可以更具立体性。

尽管很多大型企业也采用了外包的方式处理信息安全问题，但是外包带给中小企业市场的冲击似乎更为猛烈一些，这也是来源于外包的成本优势。中小企业的IT设施规模和资金充裕程度往往决定了它们不适合采取与大企业相同的方式来处理信息安全问题，而一揽子的外包服务为这类企业提供了一种全新的思路。

另外，中小企业的资源弱势也从一定程度上决定了中小企业的人员弱势，这类企业相对于大型企业往往更难吸引到专业的信息安全人才。目前信息安全从业人员的数量还比较少，特别是具有较高专业水平并具有一定从业经验的员工更是供不应求。这意味着企业要透过常规的人力资源渠道聘用这方面的人员要付出很大的成本，如果在企业内部培养也需要较大的投入。安全外包有助于缓解企业的人力资源压力，降低企业在信息安全人员方面的资源投入。尤其是对于需要较大规模团队的企业来说，在团队管理和团队磨合方面的进一步节省意味着企业可以一步到位、快速的构建起自己的安全体系。

除了带来成本方面的好处之外，与企业独立实施信息安全业务，外包安全也具有很多其他方面的优势。首先，企业获得的服务往往是相对专业的，这不单指技术上的专业，第三方服务商的团队效率往往较高，企业自身的信息安全团队往往必须在经历很长时间的磨合之后才能达到这种高度。其次，信息安全从本质上来说属于保障性的业务，与保安业务类似，外包信息安全可以使企业特别是企业的IT部门将精力集中于企业的核心业务，从而最大的释放生产力。

如何处理安全外包

在我们给出处理安全外包的一些建议之前．首失需要了解的一点在于安全外包并不是十全十美的，处理这项业务也会面临很多障碍和弊端，我们可以将这些视为实现安全业务旅程中的“暗礁”。

一个典型的例子，由于我们前面所谈到的信息安全业务的复杂性，在实践过程中安全外包服务所包含的内容和服务商所应承担的贵任往往难于清晰的界定。从企业的角度来讲如果选择了外包服务无疑就希望服务商能够承担尽可能多的风险，然而当这种风险转移的要求达到一定程度之后也会给安全外包服务商带来压力。

在选择外包服务商的过程中不应只将精力集中于对方的技术能力，事实上技术能力只是一个基础的考核指标，对于一个成功的安全外包项目来说，还有很多问题会发挥决定性的作用，特别是对于安全管理方面的外包来说。例如一个外包服务团队的客户沟通能力就非常重要，由于需要与公司内部员工长期的接触和合作，如何恰当的处理人际关系和合作关系对于安全业务的开展至关重要。事实上对于安全外包服务商这些方面的考察从最初的接触和洽谈就应该开始了，可以将对方的团队邀请到公司中进行一些实地勘查，适当的对细节上的观察可以让企业了解到这个团队在未来的时间里将以何种方式融入到公司当中。

在这里，需要引起我们注意的是，正确的选择安全外包团队远比选择技术实现方式重要，当选择了合适的团队之后大部分问题都会得到妥善的解决，用户应该将注意力从具体的实现上抽离出来，更多的投入到目标定义和工作衔接等方面。

由于不同企业所处的行业不同以及经营模式上有所不同，在确定与安全外包服务商的合作关系时必须确认该服务商有针对该行业的解决方案和实施经验。否则，双方将难以形成一种匹配的合作模式，对于信息安全业务来说，事情如果不是非常明晰的话往往就会滑向一团糟。不同的用户需求必然有所不同，一些特定行业的用户往往体现出特定的要求。例如，某些企业往往并不是因为资金的问题才考虑安全外包，而是它们认为自己的团队无法满足所需要的响应时间。对于这些要求很高业务连续性的企业来说，他们选择安全外包所看重的正是第三方服务商的专业能力或者智力资源。选择好合作的切合点对安全外包项目是否能够获得成功相当重要，同时这仍旧涉及如何界定安全外包服务内容和目标的问题。

相关链接：

安全外包服务包含的典型项目

系统加固：根据事先进行的系统安全评估情况制定出匹配的系统加固方案，并对目标系统执行安全补丁更新、安全配置完善、安全机制增强等措施。

应急晌应：为了应对突发的安全事件所准备的一整套相关的工作机制，其中包括了风险识别、风险评估、晌应计划制订、晌应队伍形成、工具准备等等。如果发生了事先界定的安全事件，响应队伍会在要求的时间内解决相关问题，并尽可能的降低问题所造成的影响和损失。

信息订阅：典型应用方式通过电话、传真、电子邮件等通讯方式将事先约定好的安全预警信息发送给用户，例如用户的应用环境容易感染的一种病毒的发现。这些信息都是被妥善加工从而可以直接供用户的信息安全机制采用．另外包括安全知识在内的很多信息也经常被用户订阅。