宗 菊

普華永道《2010年全球信息安全狀況調(diào)查》顯示，超過60％的中國受訪者認(rèn)為。在全球經(jīng)濟(jì)放緩的背景下，自己的企業(yè)正在面臨著更多來自于第三方的安全風(fēng)險(xiǎn)。當(dāng)企業(yè)的發(fā)展越來越依賴于商業(yè)伙伴的合作與共享，當(dāng)信息化已經(jīng)成為企業(yè)提升競爭力的必由之路，CFO該如何有效地管理信息系統(tǒng)并規(guī)避相關(guān)風(fēng)險(xiǎn)?面對(duì)如此高的第三方安全風(fēng)險(xiǎn)預(yù)期，CFO又該從中獲得哪些警示?近日，本刊記者專訪了此項(xiàng)調(diào)查的發(fā)起人、普華永道風(fēng)險(xiǎn)管理及內(nèi)部控制服務(wù)部北京合伙人季瑞華。類型

從全球范圍來看，第三方風(fēng)險(xiǎn)的第一種類型是商業(yè)伙伴風(fēng)險(xiǎn)。由于商業(yè)伙伴包括了供應(yīng)商和客戶兩個(gè)層面，這一風(fēng)險(xiǎn)又可以進(jìn)一步細(xì)分為來自供應(yīng)商的風(fēng)險(xiǎn)和來自客戶的風(fēng)險(xiǎn)。

由于此次調(diào)查是面向全球的，鑒于國情與經(jīng)濟(jì)發(fā)展水平不同，中國企業(yè)所面臨的第三方風(fēng)險(xiǎn)類型與表現(xiàn)程度跟歐美企業(yè)可能存在_定的差異，這無疑是中國的CFO們?cè)诿鎸?duì)相關(guān)調(diào)查結(jié)論時(shí)首先要明確的問題，季瑞華表示。

從供應(yīng)商層面來看，國內(nèi)外情況大不相同。部分信息系統(tǒng)較為發(fā)達(dá)的歐美企業(yè)，已經(jīng)能夠?qū)崿F(xiàn)與供應(yīng)商一對(duì)一的聯(lián)接，比如制造類企業(yè)，當(dāng)原材料達(dá)到最低存貨水平時(shí)，系統(tǒng)會(huì)根據(jù)兩家企業(yè)間的框架協(xié)議自動(dòng)生成采購要求并進(jìn)行數(shù)據(jù)和信息的交換，供應(yīng)商也會(huì)及時(shí)補(bǔ)充貨源。此外這種聯(lián)接也可以設(shè)置成一對(duì)多的，即企業(yè)自動(dòng)生成的采購要求可以同時(shí)傳達(dá)給多家供應(yīng)商，接到信息的供應(yīng)商可以自行決定是否供貨與供貨的價(jià)格等問題，這就為企業(yè)的原材料采購流程提供了一個(gè)商業(yè)平臺(tái)。相比之下，國內(nèi)企業(yè)與供應(yīng)商實(shí)現(xiàn)信息系統(tǒng)對(duì)接的還比較少。

從客戶層面來看，國內(nèi)外的情況比較相似。企業(yè)通常會(huì)提供一些渠道允許客戶登入系統(tǒng)以完成信息的查詢、修改等任務(wù)。比如金融業(yè)的網(wǎng)上銀行，無論是個(gè)人客戶還是企業(yè)客戶都可以自由登入，而其登入的口令和密碼銀行卻是不知道的。即使很多企業(yè)，尤其是金融行業(yè)，已經(jīng)采取了技術(shù)于段去加強(qiáng)系統(tǒng)安全，但這里面仍然潛藏著一個(gè)固有的風(fēng)險(xiǎn)，即當(dāng)客戶通過自身的賬戶從事不合規(guī)甚至違法的操作時(shí)，或由于其他第三者利用客戶的賬戶進(jìn)行違規(guī)違法操作時(shí)，企業(yè)卻很難知曉與監(jiān)控。這種風(fēng)險(xiǎn)對(duì)于企業(yè)來說，尤疑是來自第三方的安全風(fēng)險(xiǎn)。

正如信息技術(shù)在誕生伊始就被冠以“雙刃劍”的稱謂一樣，當(dāng)業(yè)務(wù)伙伴能夠自由進(jìn)入企業(yè)內(nèi)部系統(tǒng)，及時(shí)掌握相關(guān)信息時(shí)，安全風(fēng)險(xiǎn)也就接踵而來，而且隨著這種聯(lián)接與開放程度的提高，風(fēng)險(xiǎn)也相應(yīng)地增大。

第三方風(fēng)險(xiǎn)的第二種類型是來自外包服務(wù)的風(fēng)險(xiǎn)。相對(duì)于來自商業(yè)伙伴的風(fēng)險(xiǎn)，其風(fēng)險(xiǎn)水平要更高一些。所渭外包(Outsoureing)，是企業(yè)為了維持自身的核心競爭能力，將非核心業(yè)務(wù)委派給外部的專業(yè)公司，以實(shí)現(xiàn)降低營運(yùn)成本，提高服務(wù)品質(zhì)的戰(zhàn)略管理模式。外包又可以細(xì)分為多種類型，其中的業(yè)務(wù)流程外包(Business Process Outsoureing，BPO)在國外被大量使用，諸如薪酬的支付、系統(tǒng)的開發(fā)與機(jī)器設(shè)備的維護(hù)等。由于工作職權(quán)和內(nèi)容的轉(zhuǎn)移，當(dāng)外包服務(wù)的提供者能夠隨意登陸企業(yè)內(nèi)部系統(tǒng)時(shí)，安全風(fēng)險(xiǎn)勢(shì)必由于控制的缺失而提高。

相比之下，中國企業(yè)對(duì)外包的理解與國外存在一定的差異，真正意義上的外包還做得比較少，即便是有，通常也是在同一個(gè)集團(tuán)下面完成的?；谡w經(jīng)濟(jì)層面發(fā)展的考量，我國采取了相關(guān)舉措，鼓勵(lì)與推動(dòng)國內(nèi)信息技術(shù)業(yè)務(wù)外包的發(fā)展，因此在未來，中國企業(yè)使用外包服務(wù)將會(huì)更為普及。源于這類服務(wù)的風(fēng)險(xiǎn)很多，最關(guān)鍵的是客戶信息未經(jīng)允許而被披露或出售(如近期媒體曾經(jīng)報(bào)道的多個(gè)非法販賣客戶信息的案例)。“很顯然，這是中國企業(yè)未來發(fā)展的一個(gè)方向，而隨著企業(yè)適用外包的情況逐漸增多，第三方可能導(dǎo)致的安全風(fēng)險(xiǎn)也會(huì)隨之提高?！奔救鹑A表示。

成因

第三方風(fēng)險(xiǎn)通常會(huì)表現(xiàn)為IT的風(fēng)險(xiǎn)，但它絕不僅僅是一個(gè)技術(shù)問題，因?yàn)轱L(fēng)險(xiǎn)最終都會(huì)影響到企業(yè)的業(yè)務(wù)層面，從而構(gòu)成業(yè)務(wù)風(fēng)險(xiǎn)。

在過去的5至10年中，相當(dāng)多的企業(yè)也為實(shí)現(xiàn)信息化做了很多的功課，同時(shí)也在信息安全領(lǐng)域投入了很大的力量，購置了大量的技術(shù)工具，但從實(shí)際結(jié)果來看，中國企業(yè)的信息安全水平和國外企業(yè)相比還是有一定的差距。季瑞華認(rèn)為，中國企業(yè)信息安全風(fēng)險(xiǎn)水平整體偏高的原因主要體現(xiàn)在如下幾個(gè)方面：

1組織結(jié)構(gòu)不到位

中國企業(yè)很少會(huì)有CIO或者CSO等高層職位，取而代之的是諸如信息中心主管和經(jīng)理之類的中層職位，且管理職權(quán)較為分散，這就決定了企業(yè)信息系統(tǒng)運(yùn)行的相關(guān)問題，包括系統(tǒng)風(fēng)險(xiǎn)的問題，較難在公司的戰(zhàn)略層面得到適當(dāng)?shù)年P(guān)注。再加上公司內(nèi)部條塊制的部門設(shè)置，更加大了技術(shù)部門和業(yè)務(wù)部門的溝通成本和協(xié)調(diào)難度，最終造成在企業(yè)層面復(fù)雜信息系統(tǒng)的推廣與管理不到位的局面，或是出現(xiàn)多頭管理的情況，最終導(dǎo)致系統(tǒng)安全未能從企業(yè)整體層面得到考慮。

2技術(shù)與業(yè)務(wù)結(jié)合不夠

信息安全風(fēng)險(xiǎn)通常被看成為一個(gè)技術(shù)的問題，由技術(shù)部門通過開發(fā)或購買安全系統(tǒng)來解決。實(shí)際上，信息安全是一個(gè)業(yè)務(wù)層面的問題，涉及到的不僅僅是技術(shù)，更需要企業(yè)人員和流程的配合，而規(guī)范人員和流程，又是通過企業(yè)的相關(guān)制度來實(shí)現(xiàn)的。因此，過度重視技術(shù)而忽略人員和流程是無法提升企業(yè)的信息安全管理水平的。

3商業(yè)環(huán)境與法律制度不健全

國外發(fā)展成熟的企業(yè)，會(huì)與第三方簽訂相關(guān)的配套協(xié)議，從而有效地規(guī)避對(duì)方的違約行為給自己帶來的安全風(fēng)險(xiǎn)，并確保合作進(jìn)行過程中出現(xiàn)的任何問題，都有相應(yīng)的解決機(jī)制。相比之下，由于中國企業(yè)在與第三方合作方面還處于起步階段，再加上很多“第三方”也往往是同一個(gè)集團(tuán)的成員，因此缺少類似的法律框架和商業(yè)制度，這樣在危機(jī)的背景下，企業(yè)顯然要承擔(dān)額外的風(fēng)險(xiǎn)，諸如信息的泄露、數(shù)據(jù)的丟失等，可見在法律與制度層面，中國還有很多工作要做。

對(duì)策

當(dāng)企業(yè)要和第三方完成系統(tǒng)的結(jié)合與數(shù)據(jù)的交換，或進(jìn)行信息服務(wù)外包時(shí)，與技術(shù)手段相比，業(yè)務(wù)目標(biāo)顯然應(yīng)該獲得更多的關(guān)注。企業(yè)要做到以業(yè)務(wù)為核心，圍繞著業(yè)務(wù)來選擇合適的技術(shù)手段。

同時(shí)，鑒于不同行業(yè)不同企業(yè)交易類型的差別，信息技術(shù)的選擇也會(huì)有較大的差異，除了要考慮到技術(shù)本身固有的風(fēng)險(xiǎn)之外，待處理信息的私密性和敏感性也會(huì)對(duì)技術(shù)手段的選擇產(chǎn)生較大的影響。正如超市的信息系統(tǒng)與商業(yè)銀行的信息系統(tǒng)相比，雖然交易量同樣很大，但由于價(jià)值較低，信息的私密性和敏感性程度相對(duì)不高，所以二者在技術(shù)手段的處理上就會(huì)完全不同。

此外，特定的行業(yè)和企業(yè)也要參考實(shí)施相關(guān)的行業(yè)標(biāo)準(zhǔn)(比如信息安全領(lǐng)域的ISO 27000系列標(biāo)準(zhǔn)；信息系統(tǒng)外包服務(wù)的ITIL標(biāo)準(zhǔn)；以及金融行業(yè)的國際結(jié)算銀行相關(guān)行業(yè)監(jiān)管指引和當(dāng)?shù)乇O(jiān)管機(jī)構(gòu)的具體制度安排等)，通過合規(guī)性處理來提升企業(yè)整體的風(fēng)險(xiǎn)管理能力。

整體上，企業(yè)可以通過如下手段加強(qiáng)信息安全管理水平和執(zhí)行力度：

一與第三方制訂明確的服務(wù)水平協(xié)議或其它商業(yè)協(xié)議，特別針對(duì)一些敏感的領(lǐng)域，如客戶的信息保密義務(wù)。針對(duì)第三方的服務(wù)，也考慮增加審核權(quán)的條款，使企業(yè)有權(quán)利對(duì)第三方服務(wù)機(jī)構(gòu)進(jìn)行不定期的審核。

二定期審閱評(píng)價(jià)第三方的服務(wù)，如通過雙方同意的關(guān)鍵業(yè)務(wù)和關(guān)鍵風(fēng)險(xiǎn)指標(biāo)進(jìn)行評(píng)價(jià)。

三對(duì)第三方的安全管理和控制進(jìn)行審核，如很多企業(yè)委托其內(nèi)部審計(jì)人員或外部審計(jì)師執(zhí)行專項(xiàng)審計(jì)。

四鼓勵(lì)第三方委托對(duì)立的專業(yè)人員進(jìn)行有關(guān)服務(wù)機(jī)構(gòu)的專項(xiàng)審計(jì)。國際上常見的如根據(jù)SAS70審計(jì)機(jī)制所進(jìn)行的工作。

總之，企業(yè)信息系統(tǒng)的構(gòu)建要突破純粹的技術(shù)層面，雖然IT是支撐企業(yè)發(fā)展的支柱，但是以業(yè)務(wù)為出發(fā)點(diǎn)考慮問題才是核心的原則，也只有從業(yè)務(wù)的角度來看待IT，才能管好IT。