政府部门信息技术服务外包安全管理思考 | CIO实名商业社交网站-e行网
<p class="p0"
信息技术服务外包在经济结构转型、安排就业、绿色可持续发展等方面作用日益突出。中国服务外包研究中心2013年发布的《中国服务外包发展报告》显示，2012年信息技术外包执行金额达到273.6亿美元，占服务外包业务总量的58.8%。同时，政府部门因为技术人员少、专业技术能力与服务外包企业人员相比存在差距，也迫切需要进行信息技术服务外包。
<p class="p0"
信息技术服务外包在发挥服务商专业优势和规模优势，降低成本，提高信息化质量和效率的同时，也引入了信息安全风险。2012年6月发布的《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》（国发〔2012〕23号）中，明确提出了要规范和加强政府部门信息技术服务外包的安全管理工作。
<p class="p0"
<p class="p0"
一、信息技术服务外包安全问题掣肘了业务发展
<p class="p0"
<p class="p0"
政府部门信息化不断向纵深发展，呈现出所建信息系统越来越多、积累的数据规模越来越庞大的态势。与此相对应，政府部门需要越来越多的信息技术服务外包机构、人员以及厂商提供的产品来帮助进行信息系统的建设和运维。这样，政府部门在信息技术服务外包中，就有两类可能引发安全问题的突出因素，一是信息技术服务外包机构和人员以及服务过程中使用的产品不可靠，安全堡垒就容易从内部攻破；二是政府部门如果对外包机构和人员管理不善，发生安全问题也同样在所难免。
<p class="p0"
信息技术服务外包机构的人员利用掌握政府信息系统和数据的便利，为自己谋取利益，在信息技术服务外包安全事件中较为突出。如2011年上海市卫生局外包公司的张某利用开发维护出生系统数据库的便利，非法下载了约14万条新生儿出生信息并出售获利。2009年深圳福彩中心外包公司的程某通过自编木马软件入侵福彩中心销售系统，恶意篡改中奖数据并伪造3305万大奖。
<p class="p0"
信息技术服务外包企业主动泄露数据的情况也较为常见。根据“棱镜门”事件批露的情况，微软、Google、Yahoo、Facebook、PalTalk、YouTube、Skype、AOL、Apple（建议统一中文或英文表述）等为美国国家安全局提供大量视频、语音、图片、邮件、文件等电子数据。
<p class="p0"
信息技术服务外包信息安全问题还表现在信息技术服务外包供应链环节上。根据爱德华·斯诺登(Edward&Snowden)提供的文件，曝光&“棱镜门”事件的《卫报》记者格伦·格林沃尔德(Glenn&Greenwald）在自己的新书中透露，NSA经常会收到或拦截美国厂商的路由器、服务器以及其他网络设备，会在设备中植入‘后门监控工具’，重新打包并打上工厂的密封封条，继续运输，出口给国际客户。
<p class="p0"
政府部门因信息技术服务外包管理不善导致出现信息安全问题的情况更为常见。根据北京市对政府部门信息技术服务外包的调研和历年检查的结果来看，导致管理不善的突出因素表现在三个方面，一是对外包安全不够重视，重建设轻运维、重建设轻安全思想仍较普遍，运维和信息安全保障资金申请较困难；二是对外包机构和人员的管理跟不上，缺乏可靠的外包机构和人员选择、服务过程评估、服务成果交付验证以及外包机构和人员绩效考评的技术手段和标准，在外包机构和驻场人员多、政府部门信息化人员少的情况下，难以有效管理外包机构和人员；三是政府部门人员少，专业能力不足，严重依赖外包机构和人员，重要数据、管理口令等多为外包服务商及其人员所掌握，难以掌握管理的主动权。
<p class="p0"
在信息技术服务外包中发生的众多安全问题，严重影响了政府部门信息技术服务外包的决策，在包与不包、包给谁、怎样包中作着艰难的选择。
<p class="p0"
<p class="p0"
二、信息技术服务外包安全管理工作不断推进
<p class="p0"
<p class="p0"
我国政府在大力推动信息技术服务外包产业发展的同时，不断加强服务外包的信息安全管理。
<p class="p0"
一是信息技术服务外包安全管理法规标准不断完善。法律法规层面，出台了《中华人民共和国计算机信息系统安全保护条例》（国务院令１４７号）、《中华人民共和国保守国家秘密法》（主席令第28号）等一系列法律法规，对信息安全等级保护、信息安全保密等进行规范；政策方面，《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发〔2003〕27&号）为服务外包使用单位和提供商建立信息安全保障体系提供了全面指导，《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》（国发〔2012〕23号）再次突出落实信息安全等级保护，完善信息安全认证认可体系，强调严格政府信息技术服务外包的安全管理。《加强政府部门信息技术外包服务安全管理》（工信部2011年第21号公告）、《关于境内企业承接服务外包业务信息保护的若干规定》（商务部令2009&年第13号）等围绕信息技术服务外包安全管理提出了具体要求。各省市加强了信息安全法律法规体系的建设，如陕西省出台了《陕西省个人信息安全保护规范》，广州市出台了《广州市服务外包信息安全保护实施办法》，北京市发布了《关于做好信息技术服务外包信息安全管理的通知》、《北京市党政机关信息技术外包服务机构申请信息安全管理体系认证安全审查程序》、《北京市电子政务与重要行业信息安全服务能力评定条件（2013年版）》等。标准层面，《信息安全技术&政府部门信息技术服务外包信息安全管理规范》等信息技术服务外包相关国家标准正在制定中。
<p class="p0"
二是信息技术服务外包安全管理关键措施逐步落实。包括建立信息技术服务企业和人员资质资格评定体系、认证认可体系，推动信息安全管理体系、运维外包服务体系等体系建设，推动信息技术服务外包安全的绩效考核等。
<p class="p0"
在信息安全服务企业资质评定方面，北京市走在了前列。北京信息安全测评中心根据授权，按照信息安全服务企业能力评定条件要求，对服务人员通过考试进行能力认定，对企业通过评审进行资质认定。截至2014年8月，已经有9家企业通过北京市信息安全服务审查评定考核，619个信息安全服务（高级）工程师服务于北京市电子政务各个重要领域，为北京市电子政务保驾护航。
<p class="p0"
在信息技术服务和人员资格认证认可方面，工业和信息化部建立计算机信息系统集成资质，并与人力资源部和社会保障部开展信息系统项目管理师等人员资格认定制度；国家保密局建立了涉及国家秘密的计算机信息系统集成资质管理制度，对企业和人员进行资质和资格管理工作；中国信息安全认证中心开展了安全应急处理服务资质、信息安全风险评估服务资质、信息系统安全集成服务资质等安全服务资质的认证；中国信息安全测评中心开展了信息安全工程类、信息安全灾难恢复类、安全运营维护类等安全服务资质的认证，并开展注册信息安全专业人员（CISP）、注册信息安全员（CISM）等人员资质认定。
<p class="p0"
在信息安全管理体系等方面，《关于加强信息安全管理体系认证安全管理的通知》及配套的政策文件强化了对信息安全管理体系认证的管理，要求为政府部门提供信息技术外包服务的机构申请信息安全管理体系认证时,若认证范围涉及政府信息,须经工业和信息化主管部门同意。截止2014年8月底共有12家企业通过北京市的信息安全管理体系认证安全审查，并全部备案，审查工作规避了这些企业的认证过程间接泄露政府重要敏感信息的安全风险。
<p class="p0"
在信息技术服务外包安全的绩效考核方面，2009年出台《关于印发〈政府信息安全检查方法〉的通知》，对信息技术服务安全检查和绩效考核进行了规范，自2009年以来，国家和地方政府每年都把信息技术服务外包安全作为重要检查内容和绩效考核内容。
<p class="p0"
三是信息技术服务外包安全管理基础设施不断建立。国家商务部建立了中国服务外包研究中心，开通了“中国服务外包网”（http://chinasourcing.）、“国家软件与信息服务外包公共支撑平台”（http://www.china-/）等网站，为大力宣传信息技术服务外包安全管理政策法规提供了平台；国家质监局成立了中国信息安全认证中心，开展对信息安全服务的认证，为政府部门选择适合自己安全需求的服务外包机构提供了有力的支撑。
<p class="p0"
尽管我国围绕政府部门信息技术服务外包安全管理已经做了大量工作，但仍跟不上信息技术服务外包安全形势发展的需要，提高信息技术服务外包安全，要着眼于顶层设计，做到外包服务使用者、提供者、监管者各方齐心保障，做到外包服务从选择到中止/终止的全生命周期保障，做到从人员、采购的产品到供应链等全方位纵深保障。
<p class="p0"
<p class="p0"
三、如何提高政府部门信息技术服务外包安全管理水平值得深思
<p class="p0"
<p class="p0"
要全面提升信息技术服务外包安全管理水平，是一个渐进的过程，不可能一蹴而就。在目前这个阶段，应该抓住哪些重点工作，做到以点带面，纲举目张，个人认为，亟需做好以下三方面工作：
<p class="p0"
一是建立信息技术服务外包企业的审查认证制度，把好服务事前关。建立信息技术服务外包企业的审查认证制度，有利于通过专业技术力量为政府部门把好前门。审查认证要满足服务外包市场快速发展的需要，兼顾不同层次的信息技术服务外包需求，在国家主管部门的统筹下，充分发挥地方和行业在信息技术服务外包企业安全管理审查的积极性和创造性。同时，要充分发挥第三方检测认证机构在技术方面的支撑作用，鼓励第三方检测认证机构建立配套的服务人员认证制度以及运维服务体系和信息安全管理体系等体系认证制度。审查认证及配套制度的建立，有利于政府部门选择信得过的、能力合适的外包企业。
<p class="p0"
二是建立持证上岗机制、安全监理机制和服务分离机制，把好服务事中关。推行安全持证上岗制度，提高政府部门人员的安全业务能力和管理水平；推动信息技术服务外包的安全监理机制，由信息技术服务外包安全监理企业协助政府部门对其他信息技术服务外包企业实行监督管理，保证服务安全规范执行；推动信息系统使用、建设、运维、安全管理等服务分离，形成信息技术服务外包企业的相互合作和相互制约的机制，避免特定企业权限过大。通过这些强练内功和制约平衡制度的建立，可以有效提升政府部门对服务外包机构和人员的安全管理水平。
<p class="p0"
三是建立外包机构和人员信用制度和政府部门绩效考核制度，把好服务事后关。把安全纳入全国征信系统，由信息安全主管机构建立外包机构和人员安全信用评价制度，由使用外包服务的政府部门对信息技术服务外包机构和人员进行安全信用评价。发挥国家和地方信息安全主管机构的积极性，由信息安全主管机构开展政府部门信息技术服务外包安全的绩效考核。通过从服务提供方和服务使用方两个方面加强事后监管，为外包服务效果把关。
通过上述机制的建立，将使得外包机构和人员以及使用外包服务的政府部门不能、不敢和不愿因信息技术服务外包发生信息安全事件。
（作者系北京信息安全测评中心&主任刘海峰）您所在位置： &
&nbsp&&nbsp&nbsp&&nbsp
我国“政府CIO”组织结构分析.pdf3页
本文档一共被下载：
次 ,您可免费全文在线阅读后下载本文档
文档加载中...广告还剩秒
需要金币：100 &&
你可能关注的文档：
··········
··········
专家视点年第 期
、 言息办”主导型结构
◎孟川瑾 李凌云
这种结构下的政府信息化工作主要由信息化领导小组及
我国内地的信息化建设起步于
年代初期。信
“信息化办公室”组成,信息化办公室下没有 “信息中心”。
息技术和互联网的发展为电子政务的发展实施提供了技术条
具体结构图如下:
件和平台环境,同时,经济体制的变革也对行政管理提出新
的要求。我国加入后,在政务信息化建设上要与国际接
轨,需要加快实施电子政务和推进政府职能转变。
政府信息化的各项工作离不开政府信息主管
政府 的有效推进,但在我国政府现行的管理体制中,并没
有 “政府”的说法,大多数称谓是 “
主管”、“信息中
心主任?‘信息处处长”、“科技处处长”、“信息公开处处长”
或 “信息办主任”之类。但从人们对于他们所承担的职责及
图 “信息办”主导型结构
其角色的描述,可以看出他们实际上是承担了 “政府
、“信息中心”主导型
这么一个角色。这种不同的称谓反映了我国政府信息化制度
这种结构下的政府信息化工作主要由信息化领导小组及
中,对于完善的组织架构所形成的不同需求。为了使政
信息中心”组成,没有信息化办公室。具体结构图如下:
府的工作得以顺利开展,就必须建立与之相适应的、行
之有效的组织机构,来规划、实施信息化的战略。
我国现阶段政府
的组织架构
对国内政府机构信息资源管理和电子政务相关部门调研
发现,目前国内政府
的主要组织结构分以下几种:
、“信息办 信息中心”结构
这种结构下的政府信息化工作主要由信息化领导小组及
“信息化办公室”组成,信息化办公室下设 “信息中心”。具
体结构图如下:
图 “信息中心”主导型结构
、“职能处室”
正在加载中，请稍后...&#xe621; 上传我的文档
&#xe602; 下载
&#xe60c; 收藏
该文档贡献者很忙，什么也没留下。
&#xe602; 下载此文档
正在努力加载中...
银行信息技术外包的风险管理与控制
下载积分：1400
内容提示：银行信息技术外包的风险管理与控制
文档格式：PDF|
浏览次数：20|
上传日期： 03:43:52|
文档星级：&#xe60b;&#xe612;&#xe612;&#xe612;&#xe612;
该用户还上传了这些文档
银行信息技术外包的风险管理与控制.PDF
官方公共微信您当前位置：&&&&&&&&&
售前咨询热线
建立完善项目评估机制 解决政府CIO的烦恼
大势至公司网络管理软件、公司网管必备软件列表
　　【IT商业新闻网】政府行业CIO目前最想解决的问题是什么？这是对于电子政务咨询机构一直关注的问题。几年以前，这个问题的答案是：如何根据业务实际需要进行产品与解决方案选型是CIO们进行信息化项目建设的关键环节。而现在呢？&　　政府CIO的最大烦恼　　随着政府信息化建设由单一产品采购或独立系统建设向信息系统整合应用的转变，随着信息化技术由辅助业务应用为主向核心业务应用的扩展，政府部门的信息技术力量已经无法满足日益复杂与深入的信息化建设需要，外包模式逐渐成为政府信息化建设的主流模式，政府CIO以及信息化部门的角色随之逐渐转变，由原来信息化建设的主要承担者逐渐过渡为信息化建设项目的管理者。在与诸多政府部门CIO的沟通中发现，如何实现对信息化建设项目有效管控，保障项目建设效果与项目管理效率已成为当前诸多政府CIO们的最大烦恼。有的部门苦于对于已建项目没有客观详细的评价，而直接影响到下一阶段信息化建设重点与方向的确定；有的部门由于对项目建设过程和建设效果都没有强有力的客观评价，大大降低了对外包方履行合同的约束能力，陷入被动状态；有的部门给下级单位下发了项目建设资金与建设要求，但对资金使用效率与项目建设效果无法进行全面的评估&&该怎么解决这些问题呢？&　　消除烦恼的良方　　笔者认为建立完善的项目后评估机制是解决CIO加强信息化建设项目管控的最佳路径。　　项目后评估已经具备了基本的政策基础。国家发改委为全面加强国家电子政务工程建设项目管理，保证工程建设质量，提高投资效益，于2007年9月颁布实施《国家电子政务工程建设项目管理暂行办法》，明确规定&电子政务项目建设实行验收和后评价制度&。&项目审批部门根据电子政务项目验收后的运行情况，可适时组织专家或委托相关机构对建设项目的系统运行效率、使用效果等情况进行后评价。&（编辑：坚定）
聚生网管官网,禁止电脑代理上网,网络管理,禁止网络视频,禁止QQ直播,网络流量监控软件
大势至公司网络管理产品：
1、，是国内最早、最专业的局域网监控软件、上网行为控制系统，可以有效管理公司局域网电脑上网行为，有效屏蔽迅雷下载、禁止迅雷上传，禁止pps上传、禁止看qq直播、禁止局域网玩游戏、禁止登录QQ游戏大厅、禁止员工炒股、限制上班看电影、进行局域网带宽限制、控制打开网页、禁止局域网网购、监控邮件内容、监控邮件附件、记录论坛发帖留言、防ARP攻击、查找局域网手机、禁止手机接入公司局域网、禁止私自安装无线路由器上网、防止无线局域网蹭网等;
2、，专业的上网行为管理服务器、比上网行为管理路由器、上网管理路由器更强大，可以有效禁止电脑游戏、屏蔽网页游戏、限制局域网看视频、禁止别人看视频、限制P2P软件使用、禁止快车下载、局域网控制迅雷下载、限制股票软件、禁止上班炒股行为、进行局域网流量监控、限制带宽软件，禁止员工网络购物、屏蔽购物网站、屏蔽网页视频网站，并且独创了&创新直连&监控模式，国内最快捷、最简单、最安全控制多网段电脑上网行为，监控效率和综合性能最强的硬件网络管理系统、上网行为管理系统。
3、，一款强大的USB端口控制系统，有效禁用USB端口使用、屏蔽U口、禁止电脑使用U盘、屏蔽优盘使用、禁用优盘，禁止移动硬盘使用、禁止手机存储卡使用，可以有效地屏蔽USB存储设备而不影响USB鼠标键盘和非USB设备的使用；同时，还可以禁止修改注册表、禁止修改组策略、禁止修改msconfig启动项、禁止修改计算机管理、禁止F8键进入安全模式、禁止U盘启动电脑、禁止光驱启动电脑；此外，还可以只允许电脑访问特定网站，只让打开特定程序、只让运行特定软件或者禁止运行某些程序、禁止访问某些网站等；
4、，是一款强大的共享文件服务器监控软件、服务器文件管理系统、服务器文件访问控制软件，最有效监控服务器共享文件的访问，详细记录修改服务器共享文件、删除服务器共享文件、复制服务器共享文件、剪切服务器共享文件或者打印服务器共享文件的行为，以及重命名共享文件等；同时，记录访问共享文件者的IP地址、MAC地址、主机名和域账号等信息，从而可以为网管员提供详细的服务器文件访问日志，便于加强服务器共享文件管理，保护单位无形资产和商业机密等；
5、，是一款专业的公司局域网接入管理软件、内网接入控制系统，可以有效防止非公司电脑访问公司局域网、禁止外部电脑访问公司局域网、限制外来电脑接入公司局域网、禁止手机接入公司局域网、禁止手机无线上网、限制平板电脑无线上网，检测局域网处于混杂模式的网卡，防止局域网抓包、防止局域网嗅探；同时，还可以查找局域网无线路由器，禁止无线路由器接入公司局域网，禁止无线路由器上网，禁止局域网启用代理，限制员工代理上网，禁止电脑安装代理软件为其他电脑提供代理上网服务等；
6、，是一款专门由于管理共享文件访问、进行共享文件访问权限设置的软件，通过在开启共享文件的电脑或服务器安装以后就可以为本地账号分配共享文件的不同访问权限，这样局域网用户访问共享文件的时候就只能&读取&共享文件而禁止拷贝共享文件的内容、禁止将共享文件另存为本地磁盘、禁止打印共享文件；同时，对共享文件加密后用户访问共享文件的时候将被限定在一个特定的共享文件列表框内访问操作，可以禁止拖拽共享文件、禁止拷贝共享文件、禁止剪切共享文件到访问者自己的电脑，从而也可以防止U盘复制共享文件、防止通过网盘上传共享文件、防止通过FTP上传共享文件以及防止通过QQ将共享文件发送到外面去，从而全面保护了共享文件的安全。
7、&，是一款专门监控FTP服务器文件访问操作日志的软件，可以详细记录局域网用户对FTP服务器文件的上传、下载、修改、删除、重命名等操作日志，可以记录访问者的FTP账户、IP地址、MAC地址和主机名等信息，并可以将FTP服务器文件操作日志导出为Excel格式，从而便于网管员实时审计局域网用户对FTP服务器文件上传和FTP服务器下载文件的情况，便于更好地保护FTP服务器的文件安全，保护单位无形资产和商业机密。
国内领先企业网络管理方案提供商——大势至（北京）软件工程有限公司简介：大势至公司是国内专业的企业上网管理软件、局域网网络管理软件提供商，公司核心产品：聚生网管监控软件（有效禁止局域网下载、禁止局域网玩游戏、禁止在线看视频、禁止上网软件、禁止局域网下载、局域网网速控制软件、局域网禁用随身wifi、禁止上网购物、限制局域网网购、局域网限速管理软件、局域网控制上网软件、局域网流量监控软件、局域网带宽分配软件、上网行为管理系统、计算机网络管理软件、最好用的网管软件、免费网管软件下载、计算机网络管理软件排行榜第一名……）；大势至服务器共享文件管理软件（是一款专门监控服务器共享文件访问日志的软件，详细记录服务器共享文件的打开、读取、复制、修改、删除、剪切和重命名等操作，防止删除服务器共享文件、禁止复制服务器共享文件，分配共享文件访问权限，是一款专门的服务器文件管理软件、文件共享服务器监控软件、局域网共享文件设置软件、局域网共享文件管理软件……）；大势至网络准入控制系统（一款专门的局域网接入管理软件，禁止外来电脑接入局域网、隔离局域网电脑、禁止电脑相互通讯、检测局域网无线路由器、检测局域网手机、防止蹭网、禁止局域网代理上网、防止网络嗅探、禁止修改MAC地址、禁止修改IP地址、绑定IP和MAC地址、禁止外来电脑上网、禁止外来电脑访问公司文件服务器、禁止访问共享文件、禁止非公司电脑接入公司局域网，实现全面的局域网网络接入控制和安全防范……）；大势至电脑USB禁用软件（一款禁用U盘软件、电脑USB接口禁用软件、计算机USB端口禁用软件、微机USB屏蔽软件、禁用USB存储设备、禁用手机存储卡、禁止复制电脑文件到U盘、禁用360随身wifi、屏蔽随身wifi、禁止wifi共享、禁止修改注册表、禁止打开组策略、禁止U盘启动电脑、禁止光驱启动电脑、WIN7禁止安装软件、禁止电脑运行软件、禁止发邮件、禁止网盘上传文件、禁止QQ发文件、禁用光驱、只让电脑运行某个软件、禁止电脑上网、只让电脑打开某个网站、只让电脑运行某些程序等）。大势至四款核心局域网电脑管理软件可以协调配合，为企业提供全面的员工上网行为管理、电脑文件安全管理软件和商业机密保护，保障企业高效率、稳健运转！
京ICP备号 京公网安备