政府業(yè)務(wù)外包服務(wù)的“心結(jié)”

　　為扶持服務(wù)外包產(chǎn)業(yè)發(fā)展，財(cái)政部、國(guó)家發(fā)展改革委、科技部、工業(yè)和信息化部、商務(wù)部、國(guó)資委、銀監(jiān)會(huì)、證監(jiān)會(huì)和保監(jiān)會(huì)，聯(lián)合于2009年10月22日下發(fā)了：[財(cái)企(2009)200號(hào)]文件，《關(guān)于鼓勵(lì)政府和企業(yè)發(fā)包促進(jìn)我國(guó)服務(wù)外包產(chǎn)業(yè)發(fā)展的指導(dǎo)意見(jiàn)》。意見(jiàn)中特別強(qiáng)調(diào)：
　　
　　 “把促進(jìn)政府和企業(yè)發(fā)包，作為推動(dòng)我國(guó)服務(wù)外包產(chǎn)業(yè)的重點(diǎn)。加大服務(wù)外包的宣傳力度，改變國(guó)內(nèi)對(duì)外包模式的傳統(tǒng)觀念，讓服務(wù)外包得到各級(jí)政府和大中型企業(yè)的認(rèn)可�！�
　　
　　指導(dǎo)意見(jiàn)中還指出“鼓勵(lì)政府和相關(guān)部門(mén)整合資源，將信息技術(shù)的開(kāi)發(fā)、應(yīng)用和部分流程性業(yè)務(wù)發(fā)包給專(zhuān)業(yè)的服務(wù)供應(yīng)商，擴(kuò)大內(nèi)需市場(chǎng)，培育國(guó)內(nèi)服務(wù)外包業(yè)。”
　　
　　意見(jiàn)中進(jìn)一步提到：“本著合理配置，節(jié)約資源的原則，進(jìn)一步發(fā)揮政府采購(gòu)的政策功能作用，鼓勵(lì)采購(gòu)人將涉及信息技術(shù)咨詢(xún)、運(yùn)營(yíng)維護(hù)、軟件開(kāi)發(fā)和部署、測(cè)試、數(shù)據(jù)處理、系統(tǒng)集成、培訓(xùn)及租賃等不涉及秘密的可外包業(yè)務(wù)，發(fā)包給專(zhuān)業(yè)企業(yè)，不斷拓寬購(gòu)買(mǎi)服務(wù)的領(lǐng)域。凡購(gòu)買(mǎi)達(dá)到政府采購(gòu)限額標(biāo)準(zhǔn)以上的外包服務(wù)，必須按照政府采購(gòu)有關(guān)規(guī)定，采購(gòu)我國(guó)符合國(guó)家相關(guān)標(biāo)準(zhǔn)要求、具備相應(yīng)專(zhuān)業(yè)資質(zhì)的外包企業(yè)的服務(wù)。積極引導(dǎo)和促進(jìn)中央企業(yè)和地方企業(yè)加大外包力度，讓服務(wù)外包企業(yè)有更多的機(jī)會(huì)參與國(guó)內(nèi)企業(yè)外包業(yè)務(wù)�！�
　　
　　解讀《關(guān)于鼓勵(lì)政府和企業(yè)發(fā)包促進(jìn)我國(guó)服務(wù)外包產(chǎn)業(yè)發(fā)展的指導(dǎo)意見(jiàn)》讓我們清楚的看到，政府下定決心要外包服務(wù)，推動(dòng)服務(wù)外包產(chǎn)業(yè)發(fā)展，同時(shí)服務(wù)外包的信息安全問(wèn)題，也成為政府的心結(jié)，擔(dān)心外包服務(wù)會(huì)發(fā)生泄密問(wèn)題。最近與一些官員討論政府的IT服務(wù)及業(yè)務(wù)流程外包，三句話之內(nèi)其必會(huì)提到信息安全問(wèn)題。其實(shí)政府事務(wù)不涉密的事情確實(shí)不多，《意見(jiàn)》中“不涉及秘密的可外包業(yè)務(wù)”原則，按照官員們的理解，可外包的服務(wù)其實(shí)已經(jīng)很少了！這就形成了一個(gè)悖論，“積極外包服務(wù)”與“不涉及秘密”。所以本文將重點(diǎn)討論信息安全問(wèn)題，力爭(zhēng)破解政府服務(wù)外包的信息安全心結(jié)。
　　
　　 1990年，在接受IBM管理訓(xùn)練的時(shí)候，我們?cè)桓嬷@樣一條金科玉律：“設(shè)計(jì)制度，應(yīng)以不相信人為前提。在企業(yè)工作流程中，事務(wù)的決策過(guò)程中，任何人都應(yīng)受到監(jiān)督。簡(jiǎn)單地說(shuō)，就是讓有“做賊”意愿的人，得不到成為“賊”的機(jī)會(huì)�！逼鋵�(shí)信息安全也是一樣，不能以相信人為前提。機(jī)構(gòu)內(nèi)部的人值得信任！外包出去，由“外人”處理事務(wù)，安全嗎？
　　
　　服務(wù)外包在全球，已經(jīng)歷了50年以上的歷史，其實(shí)我們今天所擔(dān)心的信息安全問(wèn)題，前人早已幫我們解決了。今天優(yōu)秀的離岸服務(wù)企業(yè)，都已經(jīng)通過(guò)了ISO27001信息安全認(rèn)證。這就是將五十多年來(lái)，人們積累的堵塞信息安全漏洞經(jīng)驗(yàn)，匯聚成嚴(yán)謹(jǐn)?shù)墓ぷ髁鞒�，讓服�?wù)企業(yè)按照成熟的工作流程作業(yè)，確保買(mǎi)家信息安全。其實(shí)從企業(yè)的角度講，信息安全就是生命線，哪一家企業(yè)出現(xiàn)了信息安全疏漏，就意味著這家企業(yè)走到了盡頭，企業(yè)的所有者會(huì)像呵護(hù)生命一樣，確保企業(yè)的信息安全。
　　
　　在任協(xié)會(huì)理事長(zhǎng)之前，我曾在我國(guó)“服務(wù)外包十大領(lǐng)軍企業(yè)”之一的博彥科技，擔(dān)任過(guò)兩年的高級(jí)副總裁。我了解今天博彥科技，已有為微軟公司，提供程序開(kāi)發(fā)和測(cè)試服務(wù)，近十六年的歷史了。據(jù)我所知，國(guó)內(nèi)現(xiàn)有數(shù)家服務(wù)外包企業(yè)的數(shù)千人，正在給微軟公司做著同樣的外包服務(wù)。
　　
　　微軟公司，這個(gè)全球最為重視知識(shí)產(chǎn)權(quán)和信息安全的企業(yè)，能夠把未上市軟件的源代碼，委托中國(guó)的服務(wù)企業(yè)做開(kāi)發(fā)與測(cè)試，它不擔(dān)心嗎？它會(huì)像相信自己?jiǎn)T工一樣，相信為其提供服務(wù)企業(yè)的員工嗎？其實(shí)非常簡(jiǎn)單，微軟公司既不相信自己的員工，也不相信為其提供服務(wù)企業(yè)的員工。微軟公司僅相信根據(jù)自己經(jīng)驗(yàn)制定的制度、工作流程和其信息安全管理能力。當(dāng)然，微軟的制度、流程非常繁復(fù)，以下僅舉幾例：1、微軟的制度保證，服務(wù)企業(yè)的非本項(xiàng)目員工，包括公司CEO無(wú)法進(jìn)入為微軟提供服務(wù)的工作區(qū)；2、工作區(qū)的所有物理出口（防火通道除外）均被有效封閉，僅有新鮮空氣可以自由流通；3、工作區(qū)網(wǎng)絡(luò)的路由器、交換機(jī)設(shè)備，均由微軟提供，并僅與微軟的網(wǎng)絡(luò)互連，物理上切斷了與其他網(wǎng)絡(luò)的連接；4、用1.8米高的辦公隔斷，阻隔了服務(wù)企業(yè)員工之間的交流；5、每一位員工都在接受，電子眼的不間斷監(jiān)視；6、每一桌面電腦的數(shù)據(jù)流量，都受到嚴(yán)格管理；7、所有可容納信息的電子產(chǎn)品，均被有效地阻隔在工作區(qū)域之外，如：?jiǎn)T工的筆記本電腦、U盤(pán)、照相機(jī)、手機(jī)等。
　　
　　以上僅僅幾例可見(jiàn)一般�？傊�，微軟公司應(yīng)是最優(yōu)秀的信息安全管理者，之所以敢于外包，是由于其以不相信任何人為前提，建立其制度與流程，形成其過(guò)人的信息安全控制能力。
　　
　　反觀國(guó)內(nèi)，由于制度和流程的不成熟，政府信息外泄事件還是時(shí)有發(fā)生。所以，政府外包服務(wù)，不應(yīng)以“不涉及秘密的可外包業(yè)務(wù)”為前提，而是應(yīng)以國(guó)際上通行的ISO27001信息安全認(rèn)證為標(biāo)準(zhǔn)，借鑒全球一線IT技術(shù)企業(yè)（如：微軟、IBM、惠普等）的信息安全管理經(jīng)驗(yàn)，在“把促進(jìn)政府和企業(yè)發(fā)包，作為推動(dòng)我國(guó)服務(wù)外包產(chǎn)業(yè)重點(diǎn)”的同時(shí)，使政府獲得全球一流的信息安全管理與控制能力。
　　
　　