互聯網背景下的服務外包信息安全管理策略

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了互聯網背景下的服務外包信息安全管理策略范文，希望能給你帶來靈感和參考，敬請閱讀。

【摘要】互聯網的高度開放性對信息安全的威脅日益嚴峻。在服務外包過程中，信息安全管理被視為最為核心的內容，從數據保護的角度看信息安全，最重要的就是合同各方必須建立高度的信任。本文從相互信任的視角，重新審視服務外包供應商與客戶之間的關系，并提出互聯網背景下服務外包信息安全管理的策略。

【關鍵詞】相互信任;服務外包;信息安全;管理策略

1問題的提出

隨著信息技術和互聯網技術的發展，信息系統與互聯網的結合越來越深入，甚至有些系統已經完全在互聯網環境下運行，互聯網的高開放性引起的安全問題，如黑客攻擊、系統漏洞、木馬病毒等都對信息系統的信息安全構成了更大的威脅，這也使得信息安全成為服務外包供應商和客戶日益關注的焦點。信息安全是在外包期間以及之后，為保證敏感數據安全而采取的多方位全方面的防御措施［1］。信息安全可以從三個方面進行定義，一是完整性，即收集和維護準確的信息，避免惡意篡改;二是可用性，即在任何時間、任何地點需要信息時，能夠提供對信息的訪問;三是保密性，即避免將信息泄露給未經授權或不需要的人［2］。在服務外包過程中，從數據保護的角度看信息安全，最重要的就是合同各方必須建立高度的信任。信任是人們相互依賴為達成同一目標而形成的共同信念［3］。建立在相互信任基礎上的外包服務關系，可以從“信任紅利”中獲益，其價值相當于合同總值的40%［4］。數據攻擊犯罪的成功案例說明目前信息安全系統的弱點不僅在于軟件，還包括用戶，因此必須為這些信息技術系統提供更高級別的安全保護。服務外包供應商既要保護自己的信息，同時也要保護客戶的信息。服務外包供應商自己的信息包括財務信息、創建和交付其產品的專有方法、客戶名單、商業計劃等。客戶的信息包括授權軟件和個人識別信息(如員工或客戶記錄)等。隨著服務外包從業人員成本的增加，以及網絡病毒等對組織運營數據安全威脅的增大，信息安全問題的解決無法由非信息安全專家提供，外包信息功能似乎是最有效的解決方案。在外包合同談判過程中，服務外包供應商需要能夠訪問客戶公司的某些數據。因此，服務外包的主要缺點之一就是信息安全。當然，這并不會使服務外包成為一種不可控的冒險行為，只是需要建立一種超越合同的高度信任關系。顯然，強大的服務外包供應商能夠擁有更好地贏得客戶的機會。但是，不信任的合作關系將最終導致服務外包合同的失敗。在服務外包過程中，信息安全管理被視為最核心的內容，這一內容非常重要，所以往往由于缺乏合同關系中的基本信任而造成難以外包的問題。因此，本文從服務外包供應商與客戶之間相互信任的視角探討服務外包的信息安全問題，以期找到更為有效的服務外包信息安全管理的策略。

2信息安全對服務外包企業的重要性

2.1信息安全對供應商的重要性

完善有效的信息安全管理是供應商開展服務外包業務的必要條件，一方面，為了贏得客戶對其服務的認可和信任，供應商提供的產品和服務必須是安全、高效、方便可用的，這就要求供應商對自身的信息管理首先要做到安全有效;另一方面，隨著企業規模的不斷擴大，供應商所服務的客戶越來越多，這也意味著供應商將掌握大量的客戶信息。如何對這些數據資料進行安全管理、規避各種風險隱患就顯得尤為重要。因此，無論是從對客戶負責的角度，還是從自身長遠發展的角度，服務外包供應商都必須建立安全高效的信息管理機制。

2.2信息安全對客戶的重要性

服務外包之后，客戶所考慮的信息安全問題主要包括兩個方面。一是從外包服務業務自身的特點考慮，外包服務的開展主要依賴于能夠安全穩定、有效運轉的信息系統，這一系統涉及到基礎配套設施、軟硬件、數據接口標準、服務標準、用戶需求等諸多方面，隨著業務種類、業務流程的日趨復雜，上述任何一個環節出現問題都有可能導致整個系統的癱瘓。因此，供應商所提供的服務和產品必須是安全穩定的，才能保證客戶的整個系統的安全運行;二是從有效管理的角度考慮，客戶將部分業務外包給供應商，同時失去了對這部分業務的直接管理控制權，轉變為管理難度更大、風險更高的間接管理。因此，客戶只能依賴供應商進行信息安全管理，供應商所具備的信息安全管理能力將成為降低客戶信息安全風險的重要影響因素。

3服務外包信息安全的信任分析

信任和信息安全對服務外包都具有非常重要的作用，它們都是無形的影響要素，在研究信息安全問題時，可以通過信任的視角來看待供應商與客戶之間的關系，很多學者在相關研究中已經將信任作為服務外包模型的一個組成部分［5］。服務外包信息安全的信任分析包括:老客戶信任的維護、新客戶信任的建立、相互信任的問題以及相互信任的管理。

3.1老客戶信任的維護

對于服務外包供應商而言，保持客戶忠誠度并不是一件容易的事情，需要有一部分值得信賴的客戶并經常惠顧他們的生意。而要保持客戶忠誠度，需要通過不同的方式和手段來維護服務外包供應商與老客戶之間一定程度的信任，這需要大量的時間以及豐富的經驗。與老客戶之間信任的建立，來源于供應商多年來的信息安全保障。要持續贏得客戶的信任取決于兩個基本要素:基礎設施和服務水平。一方面，冗余系統、互聯網連接、網絡基礎設施以及經驗豐富的系統專家，為贏得客戶信任提供了基本安全保障;另一方面，服務也是贏得客戶信任的重要方式，來源于供應商提供的服務達到較高的水平甚至是國際水平，如供應商能夠熟練運用能力成熟度集成模型，或者取得ISO2000認證等。一些服務外包供應商簡單地認為，只要沒有法律訴訟，或者由于業績不佳或者違反合同條款(如信息泄漏或數據詐騙)而造成的合同終止，就足夠維持他們與老客戶之間的信任，這顯然是不夠的。

3.2新客戶信任的建立

與新客戶建立信任關系是一件非常困難的事情，尤其是在第一次進行交易的時候，這種信任的建立依賴于企業的聲譽、多年經營運作的成績以及客戶的口碑等。因此服務外包供應商需要建立自己成功的標志，或是通過其他客戶的良好口碑來建立與新客戶的信任。客戶的良好口碑是供應商信任建立的一個標志，如果客戶能夠一直感受到供應商所提供的服務是有安全保障的，必然會口耳相傳，這些客戶的良好口碑慢慢形成企業的聲譽。當然，有些供應商認為客戶的口碑僅是新客戶考慮他們的一個參考因素，起決定作用的依然是供應商的服務能力，必須讓客戶對他們的服務能力有信心。至于造成供應商失去客戶信任的原因有很多，如經濟情況、人事變動等。一個原因是，全球經濟形勢的動蕩可能會增加人們的恐懼，這有可能會導致客戶和供應商之間的不信任或是產生某種懷疑;另一個原因是，當供應商發生收購行為的時候，其原有的客戶很容易產生不信任的情緒，因為客戶花了很多年時間在雙方建立的牢固信任關系很有可能會因為人事變動而發生變化。因此，有必要對服務外包關系中缺乏信任的問題，以及供應商與客戶之間的信任管理問題進行進一步研究，即信任建立過程中可能產生的問題及相互信任的管理。

3.3信任建立過程中可能產生的問題

相互信任一直以來都是供應商與客戶關系管理中的一個關鍵問題，獲得客戶的信任是令所有供應商頭疼的一個問題，供應商一直試圖證明他們已經完成了他們的工作，如確保所有客戶的信息不會被泄露或篡改，但信任仍然總會出現問題。缺乏相互信任的原因主要來自于兩個方面。第一個原因是數據和信息的控制，客戶在與供應商簽訂服務外包合同時，可能由于害怕會釋放一些重要的信息給供應商，所以合同中往往沒有提供足夠的數據和信息，這可能最終導致供應商不想履行合同;第二個原因是人員的變動，新的員工可能不再遵守客戶從原有供應商那里享有的承諾，而原有員工也可能會獲得一定程度的訪問客戶信息的權限。因此當供應商被收購、兼并或解體成為新的供應商時，這些問題就更加緊迫了。在任何商業交易中，信任關系出現某些問題都是正常的，重要的是如何處理信任過程中可能產生的誤解。

3.4相互信任的管理

當供應商能夠完好保護客戶信息的時候，相互信任的管理非常容易。適當的管理、妥善的生意關系能夠帶來供應商與客戶之間持久的相互信任。這也是為什么大多數供應商選擇高層管理人員來處理客戶與供應商關系。信息安全管理人員并不了解高層管理人員如何處理客戶與供應商關系，這主要是試圖避免任何形式的錯誤信息可能引起的不信任。相互信任管理的核心是，供應商和客戶雙方遵守合同中達成的全部協議，如保密協議的承諾等，這是一種信息安全保障的手段，供應商不能泄露任何從客戶獲得的信息;供應商除了信守合同中的保密條款以外，合同初始階段應明確服務的范圍和預期目標，最大程度地明晰合同服務內容，以避免合同到期后的任何不良反應。

4基于信任視角的服務外包信息安全管理的策略

服務外包企業建立相互信任的影響因素可歸納為三個方面:信息共享的意愿、溝通交流的質量以及企業之間的相互適應，只有供應商與客戶在這三個方面建立起相互信任，才能夠實現穩定高效的信息安全管理

4.1加強信息共享的意愿

信息共享涉及到合作伙伴之間信息交換的范圍和深度，在以信任為基礎的關系中，供應商和客戶是緊密連結在一起的。信任來自于頻繁的相關信息交換，不斷的信息交換會逐漸產生信任，并最終促進更有效的互動和更良好的關系。服務外包供應商一般依靠客戶提供域名和進程管理知識。然而，供應商和客戶之間可能存在一定的文化差異，不同的溝通方式有可能會阻礙任務和進程信息向供應商的自由流動。因此，供應商要向客戶展示更多的善意和誠意，才能克服這種跨文化障礙。如果客戶的感知意愿是開放的，隨之而來的將是域名和進程信息的共享，因此，客戶愿意與供應商分享信息的意愿將會對服務外包企業的相互信任產生積極影響。

4.2提高溝通交流的質量

交流質量強調溝通的過程和手段。根據社會交換理論，有效的溝通是實現預定目標必不可少的手段。加強溝通可以使合作伙伴更好地相互了解，這反過來又使他們在相互關系中更為自信，從而更樂于保持相互關系的活力。溝通質量是信任的前提，也是服務外包的重要的信任建立機制。通常，客戶會派專家向供應商介紹項目，但后續交流涉及各種渠道，從電子郵件到電話再到人員交流。客戶的項目承諾以及對項目的重視程度會影響供應商對關系的看法。如果供應商團隊得到了可靠的、及時的響應，能夠反映出客戶的誠意和可靠性。因此，更高質量的溝通能提高供應商對客戶的信任水平，溝通交流的質量也會對服務外包企業的相互信任產生積極影響。

4.3增強企業之間的相互適應

伙伴之間建立相互信任的有效途徑就是不斷適應以滿足相互關系的需要。企業之間的相互適應是指供應商和客戶對伙伴合作方式做必要調整的努力程度，為談判和共同利益協商，以及創造共同目標提供有效機制。一個成功的關系通常涉及到項目的進度、流程和范圍等方面的廣泛的企業之間的相互適應。供應商要適應客戶不斷變化的需求，客戶也要努力適應供應商的各種約束，以體現客戶對供應商的善意和承諾。因此，企業之間的相互適應也會對服務外包企業的相互信任產生積極影響，從而提高服務外包企業的信息安全管理水平。

5結論

在互聯網高度開放的背景下，服務外包供應商和客戶日益關注信息安全問題。信息安全和相互信任也一直以來都是服務外包發展的主要絆腳石，對于服務外包是否能夠成為信息技術與商業之間的橋梁，客戶也常持懷疑態度，這也使得服務外包孤掌難鳴。商業交易是在兩個或多個利害關系方之間進行的，交易各方勢必在相互信任和信息安全得到保障和重視的環境中才能夠成功地運作。本文基于互聯網的背景，從信任的視角出發，針對老客戶信任的維護、新客戶信任的建立、信任建立過程中可能產生的問題以及相互信任的管理四個方面，對服務外包的信息安全進行了分析，并在此基礎上提出了互聯網背景下服務外包信息安全管理的策略，即:加強信息共享的意愿、提高溝通交流的意愿以及增強企業間的相互適應。

注釋

［1］KhalidKark，Misconceptionsaboutinformationsecurityoutsourcing，Retrieved25April，2010，

［2］AbdulJaleelK.Shittu，AbdRahmanAhlan，WanRozainiSheikOsman，Informationsecurityandmutualtrustasdeterminingfactorsforinformationtechnologyoutsourcingsuccess［J］．AfricanJournalofBusinessManagement，2012，6(1):103－110.

［3］JDLewis.TrustedPartners:HowCompaniesBuildMutualTrustandWinTogether［M］，NewYork:FreePress，2007.

［4］WillcocksLP，CullenS.TheOutsourcingEnterprise，Thepowerofrelationships，WarwickBusinessSchoolwhitepaper，retrieved26March，2006from

［5］SiakasKV，MaoutsidisD，SiakasE.TrustFacilitatingGoodSoftwareOutsourcingRelationships，SoftwareProcessImprovementandInnovation，LecturesNotesinComputerScience(LNCS)4257，BerlinHeidelberg，2006，pp.171－182.

作者:王春 沈頌東 侯明 劉丹 單位:吉林大學管理學院 吉林大學商學院 東北師范大學經濟學院 吉林大學管理學院