【IT168 信息化】本文是对Shon Harris的采访，她介绍了软件外包业中必须了解的多种业务风险，给出了一系列相应的安全风险管理办法，以及一些需要注意的问题。

　　Shon Harris, CISSP, MCSE,她还是Logical Security公司的经理，安全咨询专家，曾是美国空军的信息战争部的工程师，她还是教师和作家。

　　以下是原文：

　　问：在你的观念中，把外包业务交给发展中国家进行会有什么主要的业务风险，安全风险管理在减轻业务风险方面又能发挥什么样的作用呢?

　　答：虽然外包业务可以大大降低劳动力成本，但是因为各个国家有不同的法律法规和执法动机，许多公司都要处理一系列陌生的条例，以确保他们的工作是安全的。例如，在2002年，印度几何软件解决公司GSSL的一名叫Shekhar Verna的雇员在解雇后成了致命的武器。他盗取了一个客户的源代码副本，与其竞争对手接触并卖给了出价最高者。值得庆幸的是，Verna把代码卖给的是印度一名卧底情报人员，而他却毫不知情。然后，令人感到不公平的是，盗取商业机密却并没有违反印度法律，所以Verna 最终只被判了个简单的盗窃罪。

　　不幸的是，上述的事件并不是一次孤立的事件。在过去的几年中，已经出现了很多这样的情况，国外的外包公司雇员侵犯客户的知识产权的事情屡见不鲜。然而，值得注意的是虽然许多政府(包括印度)都还没有制定相关的知识产权或隐私法律，但他们都在积极地去减少这些风险。因为这些事件会直接影响供应商的声誉和最被看重的东西——政府的收入。

　　不熟悉外包业务的人可能认为这是在杞人忧天。然而，许多公司的业务都在艰难过冬，因为他们是在和那些把业务外包出去的公司展开竞争，外包压低了商品和服务的价格。所以，在很多行业，外包都是不可避免，因此必须加以适当的管理。如果你正处于这些行业中，并对是否对业务进行外包犹豫不决，那么请再次考虑这可能带来的利润吧 —— 一些机构估计，美国公司在2010年因为外包劳动力而总共节省了数十亿美元。

　　选择一个境外外包公司可能比较困难。在你寻觅一个公司时，需要看到公司的内在品质并进行必要地尽职调查。除此此外，最好再关注下面这些问题：

　　• 不要太看重外包公司所提供的客户名单或他们将坚持遵循质量管理标准和规章的声明。

　　o 你需要做的是亲自去那家公司;雇佣那些可以在当地管理好公司的员工;当合同涉及到该国的法律时，还需要雇佣当地的律师来审核该合同的合法性;对该供应商目前的客户进行访问。

　　• 如果该公司所在的国家是世贸组织的一员，它可能要遵守TRIPS(与贸易有关的知识产权)中的知识产权保护条例。

　　o 注意：这是要在当地执行，因此可以调查此类条例的执法记录。

　　• 如果公司在美国注册成立，则需要遵循美国法律制度对它进行起诉。

　　o 如果供应商在美国有资产，就更容易被美国法律制度所约束。

　　• 确保外包公司对所有雇员和承包商进行过背景审查。

　　o 审核实际的文件，而不是相信供应商销售人员的一面之辞。

　　• 审核外包公司的历史，从而获悉它在资金上有多稳定、员工的在留率又是多少等信息。

　　o 许多境外外包公司有着高营业额，但这增加了你所在公司知识产权的失控风险。

　　• 确保达成了合适的赔偿协议。

　　• 得到相关公司的软件代管的承认，从而让你的源代码获得保障。

　　• 对供应商确定一个你所在公司可以接受的风险水平，并监督它的执行情况。

　　• 对外包公司进行审计以确保它遵守了你的合同和政策，并且符合你的监管要求。

　　• 了解这家公司所在地区的法律。例如，新加坡在知识产权法律方面就要比中国、印度和俄罗斯更加成熟。

　　• 了解你所在公司可以发挥效用的法律和监管规定。例如，如果外包公司负责的是客户的医疗和财务信息，你将如何确保HIPAA和SOX得到遵守了呢?

　　• 审查供应商同分包商的合作情况，以及它是如何确保雇佣这些人的标准同他们雇自己员工的标准是一样的。

　　• 在把业务外包给承包商之前，留有适当时间和精力来进行实地调查。

　　• 远程监测供应商的防火墙、IDS和其他相关的安全技术措施。

　　o 你的公司可以拥有和部署相关系统和技术，来确保安全保护达到了一定的程度。

　　• 检查供应商上是否已在公司员工和承包商工作站电脑上禁用了软盘、CD-ROM和USB驱动器，这样做是为了减少你所在公司知识产权被盗的风险。

　　• 对物理安全和业务连续性措施进行审查。

　　• 了解外包公司所在国家的政治背景。如果有内战和动乱的可能性，这就不是你能做生意的地方。

　　• 要求供应商、雇员和承包商签署不外泄(non-disclosure)和非竞争(non-compete)的合同。

　　o 调查这些条目是否被认可，并在供应商所在国家施行。

　　• 在你的合同里加入金融制裁条款，而不是仅仅依靠法律制度。

　　• 以“成绩为本”，按照安全和质量控制情况进行支付。

　　• 要求所有的法律纠纷能够在美国法院进行处理。在合同中明文规定。

　　• 要求供应商投保险，从而防止客户的利益受损。

　　• 要求雇员、承包商能够提供安全保障证书(CISSP，GIAC，Security+)。

　　o 这将显示该组织的信息泄露程度。

　　• 评估供应商的访问控制程序，确保至少有最低的权限是被执行了的。

　　• 了解供应商是否拥有SEI软件能力成熟度模型(CMM)或者ISO 17799标准认证。

　　由于不同公司有不同程度的可接受风险，对那些将业务进行外包的公司进行管理所付出的努力和成本也将不同。如果一个公司将其呼叫中心业务或生产线外包给其他公司，那它还不至于面临那些将软件开发或敏感数据处理进行外包的公司所要面临的安全风险。记住，无论你签署的是什么类型的合同，跨国执法都将非常困难的。这并不意味着你的公司不应该对特定类型的工作进行外包，只要你做好了准备、采取一些措施来保障外包流程的安全就可以了。