保障你的资讯科技服务外判的安全

资讯科技服务外判是将原本由内部员工负责的资讯服务或功能交给其他公司负责。资讯科技服务外判可以涵盖各种不同服务的范围，包括应用程式的开发和维修丶网路管理丶桌上电脑管理丶资讯科技服务支援热线（helpdesk）及电脑中心的管理。

当一个机构外判部份资讯科技服务的时候，外判供应商便可能成为公司里另一个“内部人员”，处理公司内敏感而且重要的资料。虽然由外判供应商提供服务可能为公司带来利益和成本效益，但在外判资讯科技服务时，机构必须有适当的安全管理程序来保护敏感的资料和客户的私隐。数据拥有人必须监管和覆检外判商的所有接达权限，以确保重要资料的安全。底线是：一个机构可以外判它的运作，但是不能外判它的责任。

资讯科技服务外判的风险

当一个第三方服务供应商为某机构开始提供外判服务时，它便可能会获得机构里的内部资料，进而对机构构成一定的风险：

供应商得到机构内的人事资料丶基础设备丶程序丶批核渠道，甚至系统内（包括资讯科技及非资讯科技系统）既存的弱点和缺陷。

为了提供服务，供应商可能会接触到相关的资料和系统，并因此获得敏感或机密的资讯，甚至其他个人资料。

供应商可能会获得有效的用户帐户和用以操作某些高度敏感的系统。

对入侵者或有犯罪意图者来说，这些内部运作的资料是很有用的，甚至可用于恶意的社交工程中。科技发展的日新月异，如电子邮件丶互联网丶移动储存设备（如：小型 USB 快闪磁碟机）等技术的普及，加上可以利用远程接达来连接机构内的资讯系统，由内部员工所造成的滥用系统事故以至资料盗窃（包括知识产权的盗用）等风险是不能低估的。

如果没及时终止离职员工的系统帐户和接达权限，便会产生保安上的漏洞。在最坏的情况下，如果系统不能够识别个别用户及提供适当的记录，诈骗丶数据保安的问题和违反私隐的事故都可能在没有留下任何痕迹的情形下发生。

资讯科技服务外判的管理

如向一个或多个第三方服务供应商外判资讯系统，必须制定适当的保安管理程序以保护数据，同时降低相关外判资讯科技项目／服务的保安风险。以下列出应该考虑的几个方向：

在拟定外判服务合约时，机构应在合约中订明将予外判的资讯系统的保安要求（例如：如何处理所有的私人和敏感的资料）。这些要求应为招标程序的基准及系统效能测量的一部份。

判合约应规定第三方服务供应商及销售商的所有工作人员签署不可向外披露资料协议，以保护系统中的敏感数据。

合约亦须包括一系列服务水平协议（ SLAs）。服务水平协议用于界定所要求的各项保安控制的预期水平，描述可量度的成效，以及就任何经确认的违约行为订明补救及应变措施。

除订立服务水平协议外，合约应包含一套解决问题及事故应变的升级处理程序，以便处理事故，尽量减低事故对机构造成的影响。

在聘请提供资讯科技服务的供应商时，机构应确保他们遵守机构的相关，适用的政府规例（例如银行机构须遵守香港金融管理局的规定）及其他业界最佳作业实务。服务供应商必须如同机构内部人员一样，遵守相同的资讯保安规定及承担相同的资讯保安责任。

机构应积极及定期监控和覆检服务供应商及用户的保安控制遵行情况，并保留审计服务水平协议所界定责任的权利丶安排独立第三方进行审计。

机构应确保服务供应商有适当的资讯系统应变计划及备份程序。

机构应清晰界定和载述与外判资讯系统有关的第三方服务供应商丶内部员工及终端用户的保安职务和职责。

机构应确保所有被第三方服务供应商处理的资料都有明确和适当的机密级数分类。接达权限应以工作上的需求，或以合约上的服务需要来分配。

虽然资讯系统能被外判，但是机构仍须承担所有违反敏感或个人资料的法律责任。

持续监控

商业环境是不断变化的，科技亦然。资讯保安的技术，以及保安职务和职责，可能都会随着时间而改变。机构应要对保安运作和接达控制作出定期的检讨。在外判合约开始前，服务供应商可能会忽略了某些外判运作上的一些细节，定期覆检可提供一个渠道让双方互相评估服务，并作出必要的调整。

保持安全性的最佳做法，包括自动更新定义档丶定期检测和更新侦测及修复引擎丶定期覆检并在操作系统及应用系统安装最新的保安或修复程式，并且在任何时候都要实行严格的密码政策。

在某些情况，机构需要将一些特殊权限帐户（如 Windows伺服器的 administrator管理员帐户或 Unix系统的 root帐户）授予服务供应商。机构应对这些的活动进行监察丶记录及定期作出检讨，并与更改要求作出比较。

当一个服务供应商的员工辞职或离开后，所有分配予该员工的帐户和接达权限必须尽早予以撤销或收回。

为了确保有效及全面地进行检讨，机构须保存：

一份载有服务内所有的伺服器和系统的清单，以及那些系统会储存敏感或个人资料。

一份服务供应商支援人员的名单，包括授予的用户帐户和接达权限。

一份已移交给服务供应商的资料（尤其是敏感或个人资料）之清单。这些资料应保持准确，并不断更新。不准确或不完整的清单，可能是外判服务管理上发生问题的征兆之一。

应该定期进行审核，以确保合约上的安全控制机制的完善执行。

资讯科技从业员的最佳作业实务

一个机构可以将其资讯系统和流程外判给服务供应商，但是没有机构可以外判自己的责任，尤其是与其客户间的法律责任。在外判时，企业主管丶资料的拥有者和终端用户都必须确保资讯安全。

如果外判服务会涉及寄存资讯系统在第三方的数据中心，机构必须先对寄存公司进行现场环境之保安评估，然后才可作出是否采用其外判服务的最后决定。

如果客户资料或其他敏感资料会被传送至一个由服务供应商所拥有的伺服器时，

必须在资料传输到该伺服器之前，为其场地实体和逻辑保安控制进行。

服务供应商应为机构设立一个独立的环境，用以分隔机构与其他客户的资料。

用来传输资料的通讯路径必须确保其安全；敏感的资料也应该使用强的算法。

当伺服器设在另一个国家，因不同的司法制度所造成的影响也应加以考量评估。

因为服务供应商的工作人员在执行外判服务时，可能会接触到机构的内部资料，资料拥有者必须要知道资料储存在什麽地方，有哪些人会接触到等。

在批准任何工作人员对资料的接达权之前，必须要充分了解为何需要接达，以及所要的最小权限是什麽。

应定期进行帐户及接达权限的审查，以确保没有授予过大的接达权限。

应对作出定期查核检讨，以确保没有任何可疑的活动（如突然增加的文件下载量），因为这可能是反映违反保安的征兆。

应定期以最新的恶意软件定义档及其侦测及修复引擎，为服务供应商员工所连接到机构网络的电脑进行全系统的恶意软件扫描。

终端用户的最佳作业实务

终端用户也有责任去确保外判工作的安全性。

终端用户在使用伺服器，电脑终端机，工作站或微型电脑时，如在预定时间内没有任何活动，应启动系统内部的自动保护功能（例如有密码保护的屏幕保护程序，键盘锁……等），以防止其他人非法地使用系统。

在登录和连接超过预定时间后便终止其连线。

在用户结束每天的工作前或长期不操作的情况下，如果适用，应关闭用户工作站。