為扶持服務外包產業發展，財政部、國家發展改革委、科技部、工業和信息化部、商務部、國資委、銀監會、證監會和保監會，聯合于2009年10月22日下發了：[財企(2009)200號]文件，《關于鼓勵政府和企業發包促進我國服務外包產業發展的指導意見》。意見中特別強調：

把促進政府和企業發包，作為推動我國服務外包產業的重點。加大服務外包的宣傳力度，改變國內對外包模式的傳統觀念，讓服務外包得到各級政府和大中型企業的認可。”

指導意見中還指出鼓勵政府和相關部門整合資源，將信息技術的開發、應用和部分流程性業務發包給專業的服務供應商，擴大內需市場，培育國內服務外包業。”

意見中進一步提到：本著合理配置，節約資源的原則，進一步發揮政府采購的政策功能作用，鼓勵采購人將涉及信息技術咨詢、運營維護、軟件開發和部署、測試、數據處理、系統集成、培訓及租賃等不涉及秘密的可外包業務，發包給專業企業，不斷拓寬購買服務的領域。凡購買達到政府采購限額標準以上的外包服務，必須按照政府采購有關規定，采購我國符合國家相關標準要求、具備相應專業資質的外包企業的服務。積極引導和促進中央企業和地方企業加大外包力度，讓服務外包企業有更多的機會參與國內企業外包業務。”

解讀《關于鼓勵政府和企業發包促進我國服務外包產業發展的指導意見》讓我們清楚的看到，政府下定決心要外包服務，推動服務外包產業發展，同時服務外包的信息安全問題，也成為政府的心結，擔心外包服務會發生泄密問題。最近與一些官員討論政府的IT服務及業務流程外包，三句話之內其必會提到信息安全問題。其實政府事務不涉密的事情確實不多，《意見》中不涉及秘密的可外包業務”原則，按照官員們的理解，可外包的服務其實已經很少了！這就形成了一個悖論，積極外包服務”與不涉及秘密”。所以本文將重點討論信息安全問題，力爭破解政府服務外包的信息安全心結。

1990年，在接受IBM管理訓練的時候，我們曾被告之這樣一條金科玉律：設計制度，應以不相信人為前提。在企業工作流程中，事務的決策過程中，任何人都應受到監督。簡單地說，就是讓有做賊”意愿的人，得不到成為賊”的機會。”其實信息安全也是一樣，不能以相信人為前提。機構內部的人值得信任！外包出去，由外人”處理事務，安全嗎？

服務外包在全球，已經歷了50年以上的歷史，其實我們今天所擔心的信息安全問題，前人早已幫我們解決了。今天優秀的離岸服務企業，都已經通過了ISO27001信息安全認證。這就是將五十多年來，人們積累的堵塞信息安全漏洞經驗，匯聚成嚴謹的工作流程，讓服務企業按照成熟的工作流程作業，確保買家信息安全。其實從企業的角度講，信息安全就是生命線，哪一家企業出現了信息安全疏漏，就意味著這家企業走到了盡頭，企業的所有者會像呵護生命一樣，確保企業的信息安全。

在任協會理事長之前，我曾在我國服務外包十大領軍企業”之一的博彥科技，擔任過兩年的高級副總裁。我了解今天博彥科技，已有為微軟公司，提供程序開發和測試服務，近十六年的歷史了。據我所知，國內現有數家服務外包企業的數千人，正在給微軟公司做著同樣的外包服務。

微軟公司，這個全球最為重視知識產權和信息安全的企業，能夠把未上市軟件的源代碼，委托中國的服務企業做開發與測試，它不擔心嗎？它會像相信自己員工一樣，相信為其提供服務企業的員工嗎？其實非常簡單，微軟公司既不相信自己的員工，也不相信為其提供服務企業的員工。微軟公司僅相信根據自己經驗制定的制度、工作流程和其信息安全管理能力。當然，微軟的制度、流程非常繁復，以下僅舉幾例：1、微軟的制度保證，服務企業的非本項目員工，包括公司CEO無法進入為微軟提供服務的工作區；2、工作區的所有物理出口（防火通道除外）均被有效封閉，僅有新鮮空氣可以自由流通；3、工作區網絡的路由器、交換機設備，均由微軟提供，并僅與微軟的網絡互連，物理上切斷了與其他網絡的連接；4、用1.8米高的辦公隔斷，阻隔了服務企業員工之間的交流；5、每一位員工都在接受，電子眼的不間斷監視；6、每一桌面電腦的數據流量，都受到嚴格管理；7、所有可容納信息的電子產品，均被有效地阻隔在工作區域之外，如：員工的筆記本電腦、U盤、照相機、手機等。

以上僅僅幾例可見一般。總之，微軟公司應是最優秀的信息安全管理者，之所以敢于外包，是由于其以不相信任何人為前提，建立其制度與流程，形成其過人的信息安全控制能力。

反觀國內，由于制度和流程的不成熟，政府信息外泄事件還是時有發生。所以，政府外包服務，不應以不涉及秘密的可外包業務”為前提，而是應以國際上通行的ISO27001信息安全認證為標準，借鑒全球一線IT技術企業（如：微軟、IBM、惠普等）的信息安全管理經驗，在把促進政府和企業發包，作為推動我國服務外包產業重點”的同時，使政府獲得全球一流的信息安全管理與控制能力。