摘要：外包将原本由内部员工执行的任务交给专业人员，把企业面临的复杂安全问题简单化。对于很多大型企业来说，光是对信息安全设备的日常维护就已经相当头疼。

　　采用外包的模式，引入服务提供商，将信息安全的风险转移出去已经成为一些企业的选择。
　　
　　在异地灾难备份建设之初，业务需求、项目规划、技术框架等问题，困扰着中远集运公司信息中心。通过采用外包的方式，引入第三方服务商，中远集运公司成功地完成了这个颇具难度的系统。对于引入服务商，拥有强大技术实力的中远集运公司信息中心也曾经受到质疑，中远集运公司信息中心主任顾钱彬如此解释：“既然有直路能通达目的地，为何要摸着石头过河呢?”
　　
　　对于企业的IT部门来说，信息安全是一个复杂但又不得不考虑的问题。IBM全球服务部(IGS)网络和安全解决方案经理徐欢说：“信息安全领域具有专业化、复杂化和动态化的特点，只有准确理解了信息安全的特点，才能有较好的把握。”
　　
　　外包将原本由内部员工执行的任务交给专业人员，把企业面临的复杂安全问题简单化。对于很多大型企业来说，光是对信息安全设备的日常维护就已经相当头疼。北京电力公司近百台Juniper防火墙正是如此。为了保障2008年北京奥运会用电的可靠性和安全性，北京电力公司制订了“奥运电力行动计划”，大幅度提高信息化水平，信息安全的工作也同时大规模展开。
　　
　　为了构建整个企业网络的安全防护网，北京电力公司购买了近百台Juniper防火墙设备，每台防火墙设备每天都会产生大量的日志信息，上百台设备的总记录信息量大得惊人，日常的网络安全管理工作变得非常复杂和繁重，靠内部的IT人员来维护，工作量十分巨大。“频繁的系统故障让企业无所适从。尽管IT队伍越来越壮大、IT的运营维护投入越来越高，但应用系统的运行故障依然此起彼伏，IT人员整天疲于奔命，严重影响核心业务。”北京电力公司信息中心副主任汪皓感慨道。北京电力公司最终决定将这些工作进行外包。
　　
　　类似北京电力公司这样将安全系统的维护外包出去的公司在中国已经开始逐渐出现。中远集运公司信息中心主任顾钱彬说：“引入优秀的第三方专业公司，不仅能把业界最优的实践引到项目中来，而且能为企业节约费用，缩短时间，并且潜移默化地实现知识与技能转移。”IBM公司的徐欢说：“信息安全专业性很强，客户很难像其他信息系统一样，根据自身业务的需求确定投资。部署信息安全很大程度上受厂商和集成商的引导，而厂商往往会建议用户尽可能多地投入。”通过外包，将采购产品变为购买服务，能在一定程度上使服务商与客户一起承担系统安全的风险。
　　
　　从采购产品到购买服务，意味着用户在信息安全领域的着眼点从IT技术转移到了IT策略。北京电力公司信息中心副主任汪皓说：“外包不代表万事大吉，企业的信息中心必须参与整体规划，并承担类似于监理的管理工作。”徐欢也认为：“即使是外包，团队中也一定要有企业内部人员。”在信息安全领域进行外包，目标是“防患于未然”，对企业来说，必须有一套明确的安全策略，并与服务方签订详细协议。
　　
　　信息安全的外包实际上是安全风险的转移，企业把信息安全领域的风险转移到服务商。”如何确定这种转移的量和度是一个难题。“企业当然希望风险转移越多越好，但服务商又不敢夸口全盘接下。比如大家都说外包要达到5个9(99.999%)的系统稳定性，但那只是对某些系统而言，而企业整个系统要达到5个9的稳定性是不可能的。以这种标准去要求服务商很难有合作基础。
　　
　　另外，外包合作方的选择也很重要。北京电力公司信息中心副主任汪皓说：“选择合作伙伴就像打地基，地基不牢，楼建得再高，也会轰然倒塌。”汪皓对合作伙伴的要求是：首先要有丰富的行业经验，其次有超强的技术实力，然后是能够与用户沟通默契。
　　
　　虽然在国内还只是一些大企业进行了安全领域的外包尝试，但根据《InformationWeek》的统计，在美国已经有接近50%的企业进行了系统维护层面上的安全外包。“安全外包现在不再存在争议。”