刘海峰:政府部门信息技术服务外包安全管理思考
信息技术服务外包在经济结构转型、安排就业、绿色可持续发展等方面作用日益突出。中国服务外包研究中心2013年发布的《中国服务外包发展报告》显示,2012年信息技术外包执行金额达到273.6亿美元,占服务外包业务总量的58.8%。同时,政府部门因为技术人员少、专业技术能力与服务外包企业人员相比存在差距,也迫切需要进行信息技术服务外包。
信息技术服务外包在发挥服务商专业优势和规模优势,降低成本,提高信息化质量和效率的同时,也引入了信息安全风险。2012年6月发布的《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》(国发〔2012〕23号)中,明确提出了要规范和加强政府部门信息技术服务外包的安全管理工作。
一、信息技术服务外包安全问题掣肘了业务发展
政府部门信息化不断向纵深发展,呈现出所建信息系统越来越多、积累的数据规模越来越庞大的态势。与此相对应,政府部门需要越来越多的信息技术服务外包机构、人员以及厂商提供的产品来帮助进行信息系统的建设和运维。这样,政府部门在信息技术服务外包中,就有两类可能引发安全问题的突出因素,一是信息技术服务外包机构和人员以及服务过程中使用的产品不可靠,安全堡垒就容易从内部攻破;二是政府部门如果对外包机构和人员管理不善,发生安全问题也同样在所难免。
信息技术服务外包机构的人员利用掌握政府信息系统和数据的便利,为自己谋取利益,在信息技术服务外包安全事件中较为突出。如2011年上海市卫生局外包公司的张某利用开发维护出生系统数据库的便利,非法下载了约14万条新生儿出生信息并出售获利。2009年深圳福彩中心外包公司的程某通过自编木马软件入侵福彩中心销售系统,恶意篡改中奖数据并伪造3305万大奖。
信息技术服务外包企业主动泄露数据的情况也较为常见。根据“棱镜门”事件批露的情况,微软、Google、Yahoo、Facebook、PalTalk、YouTube、Skype、AOL、Apple(建议统一中文或英文表述)等为美国国家安全局提供大量视频、语音、图片、邮件、文件等电子数据。
信息技术服务外包信息安全问题还表现在信息技术服务外包供应链环节上。根据爱德华·斯诺登(Edward Snowden)提供的文件,曝光 “棱镜门”事件的《卫报》记者格伦·格林沃尔德(Glenn Greenwald)在自己的新书中透露,NSA经常会收到或拦截美国厂商的路由器、服务器以及其他网络设备,会在设备中植入‘后门监控工具’,重新打包并打上工厂的密封封条,继续运输,出口给国际客户。
政府部门因信息技术服务外包管理不善导致出现信息安全问题的情况更为常见。根据北京市对政府部门信息技术服务外包的调研和历年检查的结果来看,导致管理不善的突出因素表现在三个方面,一是对外包安全不够重视,重建设轻运维、重建设轻安全思想仍较普遍,运维和信息安全保障资金申请较困难;二是对外包机构和人员的管理跟不上,缺乏可靠的外包机构和人员选择、服务过程评估、服务成果交付验证以及外包机构和人员绩效考评的技术手段和标准,在外包机构和驻场人员多、政府部门信息化人员少的情况下,难以有效管理外包机构和人员;三是政府部门人员少,专业能力不足,严重依赖外包机构和人员,重要数据、管理口令等多为外包服务商及其人员所掌握,难以掌握管理的主动权。
在信息技术服务外包中发生的众多安全问题,严重影响了政府部门信息技术服务外包的决策,在包与不包、包给谁、怎样包中作着艰难的选择。
二、信息技术服务外包安全管理工作不断推进
我国政府在大力推动信息技术服务外包产业发展的同时,不断加强服务外包的信息安全管理。
一是信息技术服务外包安全管理法规标准不断完善。法律法规层面,出台了《中华人民共和国计算机信息系统安全保护条例》(国务院令147号)、《中华人民共和国保守国家秘密法》(主席令第28号)等一系列法律法规,对信息安全等级保护、信息安全保密等进行规范;政策方面,《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27 号)为服务外包使用单位和提供商建立信息安全保障体系提供了全面指导,《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》(国发〔2012〕23号)再次突出落实信息安全等级保护,完善信息安全认证认可体系,强调严格政府信息技术服务外包的安全管理。《加强政府部门信息技术外包服务安全管理》(工信部2011年第21号公告)、《关于境内企业承接服务外包业务信息保护的若干规定》(商务部令2009 年第13号)等围绕信息技术服务外包安全管理提出了具体要求。各省市加强了信息安全法律法规体系的建设,如陕西省出台了《陕西省个人信息安全保护规范》,广州市出台了《广州市服务外包信息安全保护实施办法》,北京市发布了《关于做好信息技术服务外包信息安全管理的通知》、《北京市党政机关信息技术外包服务机构申请信息安全管理体系认证安全审查程序》、《北京市电子政务与重要行业信息安全服务能力评定条件(2013年版)》等。标准层面,《信息安全技术 政府部门信息技术服务外包信息安全管理规范》等信息技术服务外包相关国家标准正在制定中。
二是信息技术服务外包安全管理关键措施逐步落实。包括建立信息技术服务企业和人员资质资格评定体系、认证认可体系,推动信息安全管理体系、运维外包服务体系等体系建设,推动信息技术服务外包安全的绩效考核等。
在信息安全服务企业资质评定方面,北京市走在了前列。北京信息安全测评中心根据授权,按照信息安全服务企业能力评定条件要求,对服务人员通过考试进行能力认定,对企业通过评审进行资质认定。截至2014年8月,已经有9家企业通过北京市信息安全服务审查评定考核,619个信息安全服务(高级)工程师服务于北京市电子政务各个重要领域,为北京市电子政务保驾护航。
在信息技术服务和人员资格认证认可方面,工业和信息化部建立计算机信息系统集成资质管理制度,并与人力资源部和社会保障部开展信息系统项目管理师等人员资格认定制度;国家保密局建立了涉及国家秘密的计算机信息系统集成资质管理制度,对企业和人员进行资质和资格管理工作;中国信息安全认证中心开展了安全应急处理服务资质、信息安全风险评估服务资质、信息系统安全集成服务资质等安全服务资质的认证;中国信息安全测评中心开展了信息安全工程类、信息安全灾难恢复类、安全运营维护类等安全服务资质的认证,并开展注册信息安全专业人员(CISP)、注册信息安全员(CISM)等人员资质认定。
在信息安全管理体系等方面,《关于加强信息安全管理体系认证安全管理的通知》及配套的政策文件强化了对信息安全管理体系认证的管理,要求为政府部门提供信息技术外包服务的机构申请信息安全管理体系认证时,若认证范围涉及政府信息,须经工业和信息化主管部门同意。截止2014年8月底共有12家企业通过北京市的信息安全管理体系认证安全审查,并全部备案,审查工作规避了这些企业的认证过程间接泄露政府重要敏感信息的安全风险。
在信息技术服务外包安全的绩效考核方面,2009年出台《关于印发〈政府信息安全检查方法〉的通知》,对信息技术服务安全检查和绩效考核进行了规范,自2009年以来,国家和地方政府每年都把信息技术服务外包安全作为重要检查内容和绩效考核内容。
三是信息技术服务外包安全管理基础设施不断建立。国家商务部建立了中国服务外包研究中心,开通了“中国服务外包网”、“国家软件与信息服务外包公共支撑平台”等网站,为大力宣传信息技术服务外包安全管理政策法规提供了平台;国家质监局成立了中国信息安全认证中心,开展对信息安全服务的认证,为政府部门选择适合自己安全需求的服务外包机构提供了有力的支撑。
尽管我国围绕政府部门信息技术服务外包安全管理已经做了大量工作,但仍跟不上信息技术服务外包安全形势发展的需要,提高信息技术服务外包安全,要着眼于顶层设计,做到外包服务使用者、提供者、监管者各方齐心保障,做到外包服务从选择到中止/终止的全生命周期保障,做到从人员、采购的产品到供应链等全方位纵深保障。
三、如何提高政府部门信息技术服务外包安全管理水平值得深思
要全面提升信息技术服务外包安全管理水平,是一个渐进的过程,不可能一蹴而就。在目前这个阶段,应该抓住哪些重点工作,做到以点带面,纲举目张,个人认为,亟需做好以下三方面工作:
一是建立信息技术服务外包企业的审查认证制度,把好服务事前关。建立信息技术服务外包企业的审查认证制度,有利于通过专业技术力量为政府部门把好前门。审查认证要满足服务外包市场快速发展的需要,兼顾不同层次的信息技术服务外包需求,在国家主管部门的统筹下,充分发挥地方和行业在信息技术服务外包企业安全管理审查的积极性和创造性。同时,要充分发挥第三方检测认证机构在技术方面的支撑作用,鼓励第三方检测认证机构建立配套的服务人员认证制度以及运维服务体系和信息安全管理体系等体系认证制度。审查认证及配套制度的建立,有利于政府部门选择信得过的、能力合适的外包企业。
二是建立持证上岗机制、安全监理机制和服务分离机制,把好服务事中关。推行安全持证上岗制度,提高政府部门人员的安全业务能力和管理水平;推动信息技术服务外包的安全监理机制,由信息技术服务外包安全监理企业协助政府部门对其他信息技术服务外包企业实行监督管理,保证服务安全规范执行;推动信息系统使用、建设、运维、安全管理等服务分离,形成信息技术服务外包企业的相互合作和相互制约的机制,避免特定企业权限过大。通过这些强练内功和制约平衡制度的建立,可以有效提升政府部门对服务外包机构和人员的安全管理水平。
三是建立外包机构和人员信用制度和政府部门绩效考核制度,把好服务事后关。把安全纳入全国征信系统,由信息安全主管机构建立外包机构和人员安全信用评价制度,由使用外包服务的政府部门对信息技术服务外包机构和人员进行安全信用评价。发挥国家和地方信息安全主管机构的积极性,由信息安全主管机构开展政府部门信息技术服务外包安全的绩效考核。通过从服务提供方和服务使用方两个方面加强事后监管,为外包服务效果把关。
通过上述机制的建立,将使得外包机构和人员以及使用外包服务的政府部门不能、不敢和不愿因信息技术服务外包发生信息安全事件。