2006Ernst & Young全球信息安全调查发现全世界的组织团体都没有在外包关系中做好卖主风险控制，但是人们逐渐开始认识到信息安全与有效的风险控制之间的关系了。

大约2/3的调查对象表示他们的公司有定期会议，管理团队以及正规的组织结构来确保较佳的信息安全状态。2005年的调查中，40%的受访者称它们的信息安全中整合了风险控制过程或程序。2006年这个数字增长到43%。

但是研究人员注意到，当涉及到跟那些承包外包任务的卖主有关的风险控制问题时，很少有公司确实有相关安全措施。也很少有公司知道他们应该怎样保护自己不受外包卖主的危害——包括信息漏洞。

报告说“越来越多的公司需要启用卖主风险控制的正式手续，在外包的时候，人们需要使确认手续生效。”

“只有6%的公司有正式的手续，由第三方确认，控制与卖主合作的风险，而21%的公司说他们根本没有采用这种方法。”

“当前只有14%的依靠外包的组织要求卖主让独立的第三方评估他们的信息安全以及隐私保障措施。只有1/4的组织要求他们的卖主符合公认的标准。”

该调查采访了超过1200个高级IT专家，2/3的问卷是关于校验安全标准的。调查还表明受访者对于将信息安全作为一项外包功能来处理这个做法的清醒态度。

“绝大多数的2006和2005的被调查者都不希望将他们的信息安全活动外包出去。60%的那些打算或者已经将信息安全任务外包出去的2006受访者称，外包可以使他们的更多的有用资源在他们的公司中可用，”报告中提到。

2006和2005两年澳洲的受访者分别是57人和48人。在一个关键问题中，“如果你打算或者已经外包，请选择你这样做的三个主要理由。”65%的人说他们这样做可以内部资源，63%提到维持内部性能的困难性而56%的人认为是这样做可以提高服务质量。

Bruce Young是Ernst & Young大洋洲技术与风险服务合伙人，他说澳洲的企业正在使用安全外包的方法来支撑它们的管理环境以及内部资源。

Young先生说通常公司都是将那些有商业意义，并且需要投入更多智力资源的部分外包出去。

Young说“至于管理卖主——如果我是一个企业的决策者，我认为相关风险在于，外包一部分业务给某个现在在安全市场比较成熟，并保证符合标准的卖主——企业会想知道，外包卖主是否提供监听报告或者其他可以证明他们如何达到标准的。”

“企业现在对外包信息安全业务的看法更成熟了，他们趋向于外包部分安全业务，并且清楚地认识到保持对安全的责任和义务，以及根据服务水准协议(SLAs)和关键性能指数(KPIs)对其进行持续监督的必要性。”

“这是个比典型外包模式更好的模式，过去人们失败就失败在把整个问题全部外包出去，以期问题得到解决——事实上，公司是永远也不能转交所有责任。”

=============================================

原文链接：http://www.computerworld.com.au/index.php/

id;1698507021;fp;4194304;fpid;1

原文作者：Michael Crawford

原文来源：computerworld

(t116)