毫無疑問，安全問題是數據外包中最重要也最棘手的問題之一。

　　文|Adam Ely 譯|董德魯

　　目前，各種跡象都表明，全球IT外包趨勢還將持續(xù)升溫。《信息周刊》美國版對500名企業(yè)高管的調研顯示，2/3的受訪者都在采用離岸外包。有了成功的外包經驗之后，企業(yè)現(xiàn)在已敢于將比較敏感的IT或業(yè)務處理工作轉移到海外進行。商業(yè)技術經理們最大的顧慮之一是數據的安全性，這里我們就談一談在與離岸合作伙伴加深合作關系時，有哪些重點的領域需要關注。

　　首先，我們要提醒剛開始離岸外包的企業(yè)，在數據問題上任何時候都不能放松警惕。轉移到海外的數據與企業(yè)自行存儲的數據面臨著相同的基本風險，這包括內部盜竊、外部入侵、不慎遺失以及企業(yè)間諜等等。由于離岸數據具有一定的敏感性，而各國在這方面的法律標準有所不同，因此數據在海外丟失所帶來的問題很有可能會被放大。

　　離岸外包帶來的安全顧慮并非完全與所謂的排外情緒有關。外包商所在國的與數據和知識產權相關的法律很可能和企業(yè)所在國的法律大相徑庭。例如，顧能公司(Gartner)就給各國的數據和知識產權保護法進行了評估，在去年11月該公司公布的一系列報告中，印度獲得的評級是“良好”，巴西是“一般”，墨西哥是“優(yōu)秀”，而中國則是“較差”。除了法律本身的不同之外，各國在執(zhí)法程度方面也可能出現(xiàn)很大差距。美亞博國際律師事務所(Mayer Brown)的律師布拉德·彼得森(Brad Peterson)向我們講述了關于某家美國公司的故事。這家公司在印度為了打擊對手盜竊知識產權的行為，花費了200余萬美元打官司。最后，它在所有級別的法院審判中都贏得了訴訟，但是那家對手公司卻仍然逍遙法外，盜來的產權依舊照用不誤。因此，無論是在哪個國家外包數據，企業(yè)都應該全盤考慮相應的利益和缺點。企業(yè)不僅應當在外包合同中將安全標準和法律追索等問題寫清楚，更要在技術和物理控制等前線陣地上建立堅固的防御體系。

　　安全認證

　　聲譽卓著的大型外包商都擁有各種各樣的認證(如ISO 27001)向你展示，但這并不意味著你就可以放松警惕。有時候，也許小公司反而能夠提供更專業(yè)和更具針對性的服務。

　　ISO 27001認證主要考察的是公司對信息安全實踐和控制進行的記錄和跟蹤。企業(yè)不僅應當參考審核員的結論，看看自己最看重的某些安全控制是否囊括在認證體系之中，還應當對負責審核的機構進行調查，以確保其公正透明。此外，企業(yè)還應該了解外包商是否遵循了業(yè)界的最佳實踐以及企業(yè)自身所在國的法規(guī)條例。比如說，在醫(yī)療保健方面，美國有健康保險可攜性及責任法(HIPAA)，在信用卡數據方面，又有支付卡行業(yè)標準(PCI)，外包商是否能真正符合這些要求？

　　在支付卡行業(yè)標準下，企業(yè)必須確保其雇用的第三方遵守要求。在與離岸外包商合作時，最容易忽視的領域是訪問控制和網絡分段(network segmentation)。由于離岸外包商通常都會為多家客戶提供服務，因此企業(yè)必須百分之百確保在外包商的行政體系中有專門負責自己數據的團隊，以保證數據的隱私。

　　在制訂安全控制策略時，企業(yè)必須花時間仔細評估數據的類別及來源。美國何威律師事務所(Hunton & Williams)的倫敦律師布雷吉特·特雷西(Bridget Treacy)建議客戶采用歐盟的數據隱私要求，因為這可算得上是最嚴格的要求了。美國的企業(yè)可通過選擇安全港協(xié)議(Safe Harbor)來達到歐盟的要求。

　　轉包商是數據隱私和合規(guī)性面臨的又一風險。如果你的離岸合作伙伴使用了第三方公司，那你一定要確保該轉包商也受到了嚴格的審核。

　　技術控制

　　國際商業(yè)機器公司(IBM)數據隱私服務的工程總監(jiān)艾爾·史密斯(Al Smith)表示，企業(yè)最常見的錯誤之一，是從生產系統(tǒng)中拷貝數據之后，直接就把它傳送到了產品開發(fā)或質量控制等部門，絲毫沒有考慮到接收方是否能達到處理敏感數據的標準。史密斯說，如果不是確有必要使用真實數據，那企業(yè)就應該使用過濾掉敏感信息的數據。這是企業(yè)在離岸外包數據時應當遵守的典型最佳信息安全實踐之一。

　　在某些法規(guī)之下，可能會要求訪問控制、日志記錄及加密等附加技術控制。在采用這些技術控制之前，應當先對它們進行仔細的審查。技術控制應當圍繞數據進行應用，以提供訪問數據的人員記錄，確保數據的安全，并對數據產生潛在威脅的操作做出報告。

　　是否需要加密外包數據也是企業(yè)應當考慮的問題之一。企業(yè)需要與外包商討論的主要領域是加密法則、密鑰存儲以及審計跟蹤(audit trail)。在這里我們想告誡企業(yè)一點：你一定要對各國的加密法規(guī)有所了解。美國商務部對加密輸出有所管制，而中國政府在必要時要求能夠對加密數據進行訪問。

　　外包商在操作系統(tǒng)、應用程序及數據庫內如何執(zhí)行訪問控制，以及它如何確保這些控制運行良好，并在出現(xiàn)人事變動時得到及時更新，這些問題都是企業(yè)要詳細考察的。目前，外包公司每年的人員變動率都在25%以上，客戶企業(yè)通過評估它們的這一流程，可以了解到一些有用的信息。

　　如果訪問控制設計得不夠靈活，不能應對必要的業(yè)務變化，那就可能為企業(yè)帶來非常棘手的問題和負擔。此外，企業(yè)還應當注意，訪問控制應當由那些不能直接訪問數據或系統(tǒng)的團隊來進行管理。

　　與這些保護措施同樣重要的，是基于恰當的日志記錄而進行的審計跟蹤。支付卡行業(yè)標準以及美國的薩班斯·奧克斯利法案(Sarbanes-Oxley Act)和金融服務現(xiàn)代化法案(Gramm-Leach-Bliley Act)都有集中化日志的要求。事實上，任何企業(yè)的信息安全策略都應當有此要求。對敏感數據或系統(tǒng)有影響的操作應當被記錄在日志中，并集中化地存儲到安全的位置。

　　由于環(huán)境和策略的不同，達到上述目標的方式有很多，企業(yè)既可選擇用于控制、加密和日志記錄的現(xiàn)貨產品，也可將多種解決方案結合使用。只要客戶肯買單，外包商通常對任何控制需求都是可以滿足的。最具成本效益的方式，是選擇那些具有標準化的高質量基本控制系統(tǒng)的公司。

　　不管企業(yè)將敏感數據儲存在美國、加拿大、中國還是英國，都應當確保它受到同等程度的保護和對待。美國零售巨頭TJX公司在本土遭受的數據丟失災難就告訴我們，無論你把數據放在哪里，不管數據存放地的相關法律有多么健全，你都得采用嚴格的技術控制來保護數據安全。