软件外包服务与信息安全

管理体系的整合

在建立ISMS之前，瞬联IT部门一直在维护一个以ISO9001为基础的质量管理体系（QMS）。同时，瞬联公司一直进行持续改进，以满足能力成熟度集成模型（CMMI）四级和五级的要求。如何把这些管理体系整合在一起，减少重复性的工作和资源的使用，是管理层所关注的方面。针对这个问题，在建立信息安全管理体系的时候，我们采用了如下的方式：

在识别和分析业务需求的时候，同时考虑质量和安全并在业务计划中植入安全需求。

把质量方针和信息安全方针有机结合，通过相互引用增强其可维护性。

在体系流程中提取QMS和ISMS公用的部分，使用不同的输入输出模板，提高流程的可重用性。在公司层面使用统一的PDCA持续改进模型。

修改已有的质量管理体系流程使其满足信息安全的需要。对于已有的流程完全不能覆盖的部分才考虑增加新的流程。

在l软件开发的层面以CMMI过程改进为框架，以CMMI流程为基础，加入信息安全的需求。

整合质量部门内部审计的资源和审核内容以减少重复性的工作。

软件外包中的信息安全规范

瞬联公司的客户大多为知名的跨国公司，客户对于在软件外包服务中对于知识产权的保护和防止敏感信息泄漏极为关注。同时，客户也非常重视服务提供商按时交付和持续提供服务的能力。只有充分尊重客户的安全需求，有效保护客户的知识产权和信息安全，才能赢得客户的信任，提高客户满意度，更好地支持公司的业务发展。

多数客户虽然表达了对于知识产权和信息安全的关注，但并没有给出完整详细的安全规范。我们在充分了解了客户的安全需求之后，制定了非常详细的适用于离岸和场外软件外包服务的安全规范框架，主要包括：

人力资源管理

人力资源是保证信息安全的关键因素。我们在招聘的过程中针对应聘者建立了完善的评估机制，不仅需要考察应聘者的技术能力，而且非常重视应聘者的行为举止和职业态度。从而保证员工的职业素质能够满足客户和公司发展的需要。

所有入职的员工都需要接受知识产权保护和信息安全的相关培训。

知识产权保护

在公司层面，我们与所有的客户都会签署知识产权和保密协议。并且采取各种管控措施保护客户的知识产权和关键资产。另外，所有参与客户项目的员工都会签署客户的知识产权协议并接受相关的培训。

对于第三方的知识产权，如软件等，我们采取了严格而有效的管控措施，使用技术手段进行客户端审计，以确保符合知识产权保护条例以及软件许可协议。

物理安全

所有瞬联公司的办公室都有24小时保安并在关键位置安装了视频监控系统或红外防盗系统。针对每一个离岸或场外外包项目，我们提供有独立的设施的相互隔离的办公区域。只有相关的人员才有项目办公区域的物理访问权限。门禁系统的权限和日志由专人进行定期审计。

网络安全和上网行为管控

在瞬联公司的内部网中，所有离岸或场外外包项目都采用了物理或逻辑上隔离的网络。瞬联IT部门对于网络性能进行实时监控以确保内部网络和专线的可用性。

针对员工访问因特网可能造成的信息泄漏和各种安全威胁，我们使用了技术性的手段进行管控。在公司一级采用关键字过滤和协议控制阻断各种某些站点和应用程序，包括：

非法或不恰当的网站。

降低生产率，影响网络性能的站点和应用程序，如u视频网站和P2P下载工具等

容易造成信息泄露和病毒威胁的站点和应用程序，如个人邮件和聊天工具等u

系统和数据安全

瞬联公司的所有离岸或场外外包项目都采用了独立的软件研发和测试环境，系统和数据相互隔离。针对所有的系统都有完善的访问控制授权机制，系统账号和权限由专人进行定期审计，以确保访问控制的有效性。对于某些安全要求比较高的系统，用户行为日志也需要进行定期审计。

对于所有的开发测试和业务系统，瞬联IT部门采用了自动性能监控与定期系统日志审计相结合的方式，以确保系统正常运行。针对每个离岸或场外外包项目对业务连续性的要求，我们制定了详细的应急响应计划以及数据备份和恢复计划。

客户端和移动设备管理

客户端的管理是信息安全中非常重要的环节。针对客户端可能带来的信息安全风险，我们采用了多种技术性的手段进行管控：

使用定制的桌面系统，去除不必要的接口和配件。只有授权的人员才能使用笔记本电脑。通过Windows活动目录集中控制所有客户端并强制分发定制好的安全策略，部署集中控制的反病毒客户端。安装专门的客户端管理u软件来定期进行硬件和软件安装的审计并控制客户端的所有接口，对含有高敏感信息的客户端进行磁盘u加密。

我们采取了严格的控制措施来管理移动设备的使用。对于不需要使用移动设备的项目和部门，直接采取技术性的手段阻断客户端接口并建立了严格的授权机制。对于那些必须使用移动设备或客户端接口进行测试的项目，我们部署了专门的客户端软件，通过移动设备白名单以确保只有经过授权的测试设备才能连接到客户端。

管理职责和企业文化

在企业中，任何一个管理体系，如果没有最高管理层的支持，都不可能真正取得成功。在我们实施ISMS的过程中，得到了公司管理层的大力支持和各个部门的积极配合，真正做到了全员参与。最重要的是，管理层以身作则，推动执行新的信息安全方针，流程和管控措施；从而影响员工，使员工的信息安全意识逐渐强化。

在体系实施过程中，我们采用循序渐进的方式，与各个部门充分沟通，并考虑到员工的感受，注重细节，在安全需求和操作便利之间实现均衡，逐步加强管控措施。实践证明，信息安全管理体系并不会改变企业文化的核心内容。相反，我们成功地把对知识产权的尊重和信息安全意识植入到的公司的企业文化中，提高了流程运行的有效性和员工素质。

总结

通过建立以ISO27001为基础的信息安全管理体系，瞬联公司开发出了一套适用于软件外包行业的管理流程，规章制度，技术规范和操作规程，并且通过有效的持续改进活动不断进行完善，从而支持了公司的业务发展，提升了客户满意度。

公司简介

瞬联软件科技（北京）有限公司（以下简称瞬联公司）是业内知名的从事技术咨询和软件外包服务的企业，在全球范围的技术外包服务、软件研发、测试及系统集成等领域均处于领先地位。

瞬联公司创建于 2000 年，总部设在北京。公司创建最初为电信行业提供外包解决方案，此后将业务范围扩展至邮政、嵌入式系统，石油天然气、媒体娱乐、电子商务等领域。我们拥有广泛的全球化合作经验以及完备的研发设施，在全国以及全球多个核心地区拥有分公司，如成都、杭州、台北、芝加哥、圣塔克莱拉等。2008年4月，瞬联已拥有超过1000名正式员工。

瞬联公司的客户群基础在不断扩张，大部分由财富杂志1000强公司中北美、欧洲及亚洲的跨国公司组成。瞬联之所以能成功吸引这些海外客户，原因在于我们的三大核心价值观：质量、诚信、领导能力。这三种价值观成功地将瞬联塑造成为值得客户信赖的外包合作伙伴。

长期以来，瞬联公司一直致力于通过建立质量体系保证流程，提高自身的运营效率和软件研发能力。2001年，瞬联公司通过ISO9001认证。2007年4月，瞬联公司通过能力成熟度集成模型 (CMMI) 三级认证。2007年10月，瞬联公司成为中国离岸软件工程项目（COSEP）企业的一员。

从瞬联公司创始之初，我们就非常重视知识产权保护和信息安全。随着公司业务不断扩展，公司管理层充分意识到建立完善的信息安全管理体系（ISMS）的重要性。在服务外包（BPO）咨询服务提供商（北京同有赛博安全科技有限公司）的协助下，我们在2007年开始着手建立基于ISO27001的信息安全管理体系并于2008年4月顺利通过了英国标准协会（BSI）的现场审核。

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。