為扶持服務(wù)外包產(chǎn)業(yè)發(fā)展,財(cái)政部、國(guó)家發(fā)展改革委、科技部、工業(yè)和信息化部、商務(wù)部、國(guó)資委、銀監(jiān)會(huì)、證監(jiān)會(huì)和保監(jiān)會(huì),聯(lián)合于2009年10月22日下發(fā)了:[財(cái)企(2009)200號(hào)]文件,《關(guān)于鼓勵(lì)政府和企業(yè)發(fā)包促進(jìn)我國(guó)服務(wù)外包產(chǎn)業(yè)發(fā)展的指導(dǎo)意見(jiàn)》。意見(jiàn)中特別強(qiáng)調(diào):
把促進(jìn)政府和企業(yè)發(fā)包,作為推動(dòng)我國(guó)服務(wù)外包產(chǎn)業(yè)的重點(diǎn)。加大服務(wù)外包的宣傳力度,改變國(guó)內(nèi)對(duì)外包模式的傳統(tǒng)觀念,讓服務(wù)外包得到各級(jí)政府和大中型企業(yè)的認(rèn)可。”
指導(dǎo)意見(jiàn)中還指出鼓勵(lì)政府和相關(guān)部門整合資源,將信息技術(shù)的開(kāi)發(fā)、應(yīng)用和部分流程性業(yè)務(wù)發(fā)包給專業(yè)的服務(wù)供應(yīng)商,擴(kuò)大內(nèi)需市場(chǎng),培育國(guó)內(nèi)服務(wù)外包業(yè)。”
意見(jiàn)中進(jìn)一步提到:本著合理配置,節(jié)約資源的原則,進(jìn)一步發(fā)揮政府采購(gòu)的政策功能作用,鼓勵(lì)采購(gòu)人將涉及信息技術(shù)咨詢、運(yùn)營(yíng)維護(hù)、軟件開(kāi)發(fā)和部署、測(cè)試、數(shù)據(jù)處理、系統(tǒng)集成、培訓(xùn)及租賃等不涉及秘密的可外包業(yè)務(wù),發(fā)包給專業(yè)企業(yè),不斷拓寬購(gòu)買服務(wù)的領(lǐng)域。凡購(gòu)買達(dá)到政府采購(gòu)限額標(biāo)準(zhǔn)以上的外包服務(wù),必須按照政府采購(gòu)有關(guān)規(guī)定,采購(gòu)我國(guó)符合國(guó)家相關(guān)標(biāo)準(zhǔn)要求、具備相應(yīng)專業(yè)資質(zhì)的外包企業(yè)的服務(wù)。積極引導(dǎo)和促進(jìn)中央企業(yè)和地方企業(yè)加大外包力度,讓服務(wù)外包企業(yè)有更多的機(jī)會(huì)參與國(guó)內(nèi)企業(yè)外包業(yè)務(wù)。”
解讀《關(guān)于鼓勵(lì)政府和企業(yè)發(fā)包促進(jìn)我國(guó)服務(wù)外包產(chǎn)業(yè)發(fā)展的指導(dǎo)意見(jiàn)》讓我們清楚的看到,政府下定決心要外包服務(wù),推動(dòng)服務(wù)外包產(chǎn)業(yè)發(fā)展,同時(shí)服務(wù)外包的信息安全問(wèn)題,也成為政府的心結(jié),擔(dān)心外包服務(wù)會(huì)發(fā)生泄密問(wèn)題。最近與一些官員討論政府的IT服務(wù)及業(yè)務(wù)流程外包,三句話之內(nèi)其必會(huì)提到信息安全問(wèn)題。其實(shí)政府事務(wù)不涉密的事情確實(shí)不多,《意見(jiàn)》中不涉及秘密的可外包業(yè)務(wù)”原則,按照官員們的理解,可外包的服務(wù)其實(shí)已經(jīng)很少了!這就形成了一個(gè)悖論,積極外包服務(wù)”與不涉及秘密”。所以本文將重點(diǎn)討論信息安全問(wèn)題,力爭(zhēng)破解政府服務(wù)外包的信息安全心結(jié)。
1990年,在接受IBM管理訓(xùn)練的時(shí)候,我們?cè)桓嬷@樣一條金科玉律:設(shè)計(jì)制度,應(yīng)以不相信人為前提。在企業(yè)工作流程中,事務(wù)的決策過(guò)程中,任何人都應(yīng)受到監(jiān)督。簡(jiǎn)單地說(shuō),就是讓有做賊”意愿的人,得不到成為賊”的機(jī)會(huì)。”其實(shí)信息安全也是一樣,不能以相信人為前提。機(jī)構(gòu)內(nèi)部的人值得信任!外包出去,由外人”處理事務(wù),安全嗎?
服務(wù)外包在全球,已經(jīng)歷了50年以上的歷史,其實(shí)我們今天所擔(dān)心的信息安全問(wèn)題,前人早已幫我們解決了。今天優(yōu)秀的離岸服務(wù)企業(yè),都已經(jīng)通過(guò)了ISO27001信息安全認(rèn)證。這就是將五十多年來(lái),人們積累的堵塞信息安全漏洞經(jīng)驗(yàn),匯聚成嚴(yán)謹(jǐn)?shù)墓ぷ髁鞒蹋尫?wù)企業(yè)按照成熟的工作流程作業(yè),確保買家信息安全。其實(shí)從企業(yè)的角度講,信息安全就是生命線,哪一家企業(yè)出現(xiàn)了信息安全疏漏,就意味著這家企業(yè)走到了盡頭,企業(yè)的所有者會(huì)像呵護(hù)生命一樣,確保企業(yè)的信息安全。
在任協(xié)會(huì)理事長(zhǎng)之前,我曾在我國(guó)服務(wù)外包十大領(lǐng)軍企業(yè)”之一的博彥科技,擔(dān)任過(guò)兩年的高級(jí)副總裁。我了解今天博彥科技,已有為微軟公司,提供程序開(kāi)發(fā)和測(cè)試服務(wù),近十六年的歷史了。據(jù)我所知,國(guó)內(nèi)現(xiàn)有數(shù)家服務(wù)外包企業(yè)的數(shù)千人,正在給微軟公司做著同樣的外包服務(wù)。
微軟公司,這個(gè)全球最為重視知識(shí)產(chǎn)權(quán)和信息安全的企業(yè),能夠把未上市軟件的源代碼,委托中國(guó)的服務(wù)企業(yè)做開(kāi)發(fā)與測(cè)試,它不擔(dān)心嗎?它會(huì)像相信自己?jiǎn)T工一樣,相信為其提供服務(wù)企業(yè)的員工嗎?其實(shí)非常簡(jiǎn)單,微軟公司既不相信自己的員工,也不相信為其提供服務(wù)企業(yè)的員工。微軟公司僅相信根據(jù)自己經(jīng)驗(yàn)制定的制度、工作流程和其信息安全管理能力。當(dāng)然,微軟的制度、流程非常繁復(fù),以下僅舉幾例:1、微軟的制度保證,服務(wù)企業(yè)的非本項(xiàng)目員工,包括公司CEO無(wú)法進(jìn)入為微軟提供服務(wù)的工作區(qū);2、工作區(qū)的所有物理出口(防火通道除外)均被有效封閉,僅有新鮮空氣可以自由流通;3、工作區(qū)網(wǎng)絡(luò)的路由器、交換機(jī)設(shè)備,均由微軟提供,并僅與微軟的網(wǎng)絡(luò)互連,物理上切斷了與其他網(wǎng)絡(luò)的連接;4、用1.8米高的辦公隔斷,阻隔了服務(wù)企業(yè)員工之間的交流;5、每一位員工都在接受,電子眼的不間斷監(jiān)視;6、每一桌面電腦的數(shù)據(jù)流量,都受到嚴(yán)格管理;7、所有可容納信息的電子產(chǎn)品,均被有效地阻隔在工作區(qū)域之外,如:?jiǎn)T工的筆記本電腦、U盤、照相機(jī)、手機(jī)等。
以上僅僅幾例可見(jiàn)一般。總之,微軟公司應(yīng)是最優(yōu)秀的信息安全管理者,之所以敢于外包,是由于其以不相信任何人為前提,建立其制度與流程,形成其過(guò)人的信息安全控制能力。
反觀國(guó)內(nèi),由于制度和流程的不成熟,政府信息外泄事件還是時(shí)有發(fā)生。所以,政府外包服務(wù),不應(yīng)以不涉及秘密的可外包業(yè)務(wù)”為前提,而是應(yīng)以國(guó)際上通行的ISO27001信息安全認(rèn)證為標(biāo)準(zhǔn),借鑒全球一線IT技術(shù)企業(yè)(如:微軟、IBM、惠普等)的信息安全管理經(jīng)驗(yàn),在把促進(jìn)政府和企業(yè)發(fā)包,作為推動(dòng)我國(guó)服務(wù)外包產(chǎn)業(yè)重點(diǎn)”的同時(shí),使政府獲得全球一流的信息安全管理與控制能力。
