为扶持服务外包产业发展,财政部、国家发展改革委、科技部、工业和信息化部、商务部、国资委、银监会、证监会和保监会,联合于2009年10月22日下发了:[财企(2009)200号]文件,《关于鼓励政府和企业发包促进我国服务外包产业发展的指导意见》。意见中特别强调:
把促进政府和企业发包,作为推动我国服务外包产业的重点。加大服务外包的宣传力度,改变国内对外包模式的传统观念,让服务外包得到各级政府和大中型企业的认可。”
指导意见中还指出鼓励政府和相关部门整合资源,将信息技术的开发、应用和部分流程性业务发包给专业的服务供应商,扩大内需市场,培育国内服务外包业。”
意见中进一步提到:本着合理配置,节约资源的原则,进一步发挥政府采购的政策功能作用,鼓励采购人将涉及信息技术咨询、运营维护、软件开发和部署、测试、数据处理、系统集成、培训及租赁等不涉及秘密的可外包业务,发包给专业企业,不断拓宽购买服务的领域。凡购买达到政府采购限额标准以上的外包服务,必须按照政府采购有关规定,采购我国符合国家相关标准要求、具备相应专业资质的外包企业的服务。积极引导和促进中央企业和地方企业加大外包力度,让服务外包企业有更多的机会参与国内企业外包业务。”
解读《关于鼓励政府和企业发包促进我国服务外包产业发展的指导意见》让我们清楚的看到,政府下定决心要外包服务,推动服务外包产业发展,同时服务外包的信息安全问题,也成为政府的心结,担心外包服务会发生泄密问题。最近与一些官员讨论政府的IT服务及业务流程外包,三句话之内其必会提到信息安全问题。其实政府事务不涉密的事情确实不多,《意见》中不涉及秘密的可外包业务”原则,按照官员们的理解,可外包的服务其实已经很少了!这就形成了一个悖论,积极外包服务”与不涉及秘密”。所以本文将重点讨论信息安全问题,力争破解政府服务外包的信息安全心结。
1990年,在接受IBM管理训练的时候,我们曾被告之这样一条金科玉律:设计制度,应以不相信人为前提。在企业工作流程中,事务的决策过程中,任何人都应受到监督。简单地说,就是让有做贼”意愿的人,得不到成为贼”的机会。”其实信息安全也是一样,不能以相信人为前提。机构内部的人值得信任!外包出去,由外人”处理事务,安全吗?
服务外包在全球,已经历了50年以上的历史,其实我们今天所担心的信息安全问题,前人早已帮我们解决了。今天优秀的离岸服务企业,都已经通过了ISO27001信息安全认证。这就是将五十多年来,人们积累的堵塞信息安全漏洞经验,汇聚成严谨的工作流程,让服务企业按照成熟的工作流程作业,确保买家信息安全。其实从企业的角度讲,信息安全就是生命线,哪一家企业出现了信息安全疏漏,就意味着这家企业走到了尽头,企业的所有者会像呵护生命一样,确保企业的信息安全。
在任协会理事长之前,我曾在我国服务外包十大领军企业”之一的博彦科技,担任过两年的高级副总裁。我了解今天博彦科技,已有为微软公司,提供程序开发和测试服务,近十六年的历史了。据我所知,国内现有数家服务外包企业的数千人,正在给微软公司做着同样的外包服务。
微软公司,这个全球最为重视知识产权和信息安全的企业,能够把未上市软件的源代码,委托中国的服务企业做开发与测试,它不担心吗?它会像相信自己员工一样,相信为其提供服务企业的员工吗?其实非常简单,微软公司既不相信自己的员工,也不相信为其提供服务企业的员工。微软公司仅相信根据自己经验制定的制度、工作流程和其信息安全管理能力。当然,微软的制度、流程非常繁复,以下仅举几例:1、微软的制度保证,服务企业的非本项目员工,包括公司CEO无法进入为微软提供服务的工作区;2、工作区的所有物理出口(防火通道除外)均被有效封闭,仅有新鲜空气可以自由流通;3、工作区网络的路由器、交换机设备,均由微软提供,并仅与微软的网络互连,物理上切断了与其他网络的连接;4、用1.8米高的办公隔断,阻隔了服务企业员工之间的交流;5、每一位员工都在接受,电子眼的不间断监视;6、每一桌面电脑的数据流量,都受到严格管理;7、所有可容纳信息的电子产品,均被有效地阻隔在工作区域之外,如:员工的笔记本电脑、U盘、照相机、手机等。
以上仅仅几例可见一般。总之,微软公司应是最优秀的信息安全管理者,之所以敢于外包,是由于其以不相信任何人为前提,建立其制度与流程,形成其过人的信息安全控制能力。
反观国内,由于制度和流程的不成熟,政府信息外泄事件还是时有发生。所以,政府外包服务,不应以不涉及秘密的可外包业务”为前提,而是应以国际上通行的ISO27001信息安全认证为标准,借鉴全球一线IT技术企业(如:微软、IBM、惠普等)的信息安全管理经验,在把促进政府和企业发包,作为推动我国服务外包产业重点”的同时,使政府获得全球一流的信息安全管理与控制能力。