自從商務部推出服務外包千百十工程”之后，在政府政策的大力扶持之下，國內外包產業發展的如火如荼，為了能夠承接更多高端服務，滿足客戶的要求，商務部同時鼓勵外包企業通過國際認證以獲得更好的競爭力和良好的企業形象。ISO27001信息安全管理體系（ISMS）認證在此背景下，在外包公司得到了比較廣泛的認可。越來越多的外包公司已經實施、或者計劃實施ISO27001認證，本人作為信息安全管理體系（ISMS）的咨詢顧問，在廣泛接觸這些外包公司，以及與企業各級人員后，總的一個感覺就是很多外包企業對信息安全管理存在或這或那不正確的認識，這種認識將阻礙企業建立有效的、合規的信息安全管理體系（ISMS），阻礙企業信息安全工作的良性發展，甚至可能將阻礙企業業務發展。本文將主要闡述外包企業信息安全管理的誤區，以及針對這些的誤區的對策。

　　為了更好地理解外包企業信息安全的需要，我將首先簡要分析一下服務外包業務的特點，當然，由于信息安全是本文的發力點，僅僅分析列出與信息安全相關的業務特點：

　　1. 知識密集型，對人才的要求很好

　　外包服務屬于知識型密集產業，很多業務都需要從業人員有相關的培訓教育經歷和豐富的實踐經驗，與制造業有很大區別。因此外包需要的人力資源要求就高，而外包業務恰恰依賴的就是人。

　　2. 外包成果無形化，難以量化評估

　　外包最終的成果多數并非是實物化產品，而是一種服務，這就難以將成果量化進行評估，但是在某些方面也存在一些公認的評價體系，如軟件外包領域內CMMI國際認證，這是對軟件外包接包商能力的一種評價指標。另外，在考量接包方在客戶信息保密等方面，國際國內客戶基本都已經認同ISO27001信息安全管理體系（ISMS）認證，這是接包方在信息安全能力方面的評價框架。

　　3. 很大程度上依賴互聯網和通信技術

　　目前國內外包業務大多數是離岸外包，雙方合作關系的確立以及業務的發展必須依賴互聯網和通信技術。對于互聯網和通信技術的過分依賴使得服務外包又具有了一種新的風險，通信網絡的中斷將導致業務的中斷。

　　服務外包企業的信息安全建設在政府政策的鼓勵以及客戶的要求的下，信息安全管控水平不斷提高，ISO27001信息安全管理體系（ISMS）認證在外包企業也是強勁發展，盡管到目前為止，通過認證的企業的絕對數不大，但是發展很快，從下圖我們可以看出：　

　　而對于這些數據貢獻，絕大部分是來自服務外包企業。盡管如此，但是服務外包企業對信息安全管理還是存在著較多誤區，主要幾點歸納如下。

　　1. 信息安全認識誤區

　　盡管國內的外包行業有將近10年度發展歷史，但是大的外包公司還不多，外包業務主要還是集中在軟件外包，而軟件外包的客戶主要是做日韓企業。日韓客戶一般對信息安全的要求都比較高，國內外包企業這么多年在與客戶打交道時，在客戶的要求，不斷提高企業自身的信息安全控制水平，但是在外包企業信息安全建設的過程中，出現了這樣或那樣的對信息安全建設的誤區，其中的原因有迫于客戶的壓力來提升企業信息安全管理水平，主動性要求不高，企業自身在信息安全方面的積累也不多，另外也有一些外包企業急功近利，為了迎合客戶的要求而僅僅做做表面文章。

　　（1） 安全防御的重點是來自外部的攻擊

　　由于媒體的報道以及一些安全產品廠商為了自身業務的需要而做的一些錯誤的引導，導致外包企業，甚至其他行業的公司都認為企業所面臨的威脅主要是來自外界。各類安全威脅中，企業最重視哪3類？據《信息周刊》的調查來看，病毒和蠕蟲，間諜軟件，垃圾郵件3類威脅一直高居榜首。但是依據此3類威脅部署的企業信息安全方案將僅限于信息安全產品的老三樣—防病毒、防火墻和IDS的老路上。實際上，企業內部數據安全的危害性正在日益上升，如未經授權的雇員對文件或數據的訪問、帶有公司數據的可移動設備遺失或失竊等，惡意員工故意破壞信息系統甚至泄漏企業機密等，但是這一點還沒有引起企業足夠的重視。

　　信息技術市場調研公司高德納公司（Gartner）早些時候曾進行信息安全事件的調查，發現有70%以上的事故是企業內部所導致的。其實我們仔細想想并平時多留言一下自己身邊的事情，我們不難發現，容量很大、攜帶方便的便攜式的移動設備，比如U盤、手機、iPod等用在存取數據時經常在不知不覺中，就充當了病毒的傳播者。更可怕的是，小巧且讀寫快速很快的U盤能在短短幾秒鐘之內把企業和核心機密拷走而不被人發現。

　　對于服務外包企業來說，由于人員的高素質，特別是對于IT服務外包的企業，大多數員工都具有良好的IT知識和技能，利用IT系統做出不利于公司的欺詐和泄密事件，可能將更隱蔽和輕車熟路。這對于外包公司來說，無疑是個很大的威脅。