互联网背景下的服务外包信息安全管理策略

【摘要】互联网的高度开放性对信息安全的威胁日益严峻。在服务外包过程中，信息安全管理被视为最为核心的内容，从数据保护的角度看信息安全，最重要的就是合同各方必须建立高度的信任。本文从相互信任的视角，重新审视服务外包供应商与客户之间的关系，并提出互联网背景下服务外包信息安全管理的策略。

【关键词】相互信任;服务外包;信息安全;管理策略

1问题的提出

随着信息技术和互联网技术的发展，信息系统与互联网的结合越来越深入，甚至有些系统已经完全在互联网环境下运行，互联网的高开放性引起的安全问题，如黑客攻击、系统漏洞、木马病毒等都对信息系统的信息安全构成了更大的威胁，这也使得信息安全成为服务外包供应商和客户日益关注的焦点。信息安全是在外包期间以及之后，为保证敏感数据安全而采取的多方位全方面的防御措施［1］。信息安全可以从三个方面进行定义，一是完整性，即收集和维护准确的信息，避免恶意篡改;二是可用性，即在任何时间、任何地点需要信息时，能够提供对信息的访问;三是保密性，即避免将信息泄露给未经授权或不需要的人［2］。在服务外包过程中，从数据保护的角度看信息安全，最重要的就是合同各方必须建立高度的信任。信任是人们相互依赖为达成同一目标而形成的共同信念［3］。建立在相互信任基础上的外包服务关系，可以从“信任红利”中获益，其价值相当于合同总值的40%［4］。数据攻击犯罪的成功案例说明目前信息安全系统的弱点不仅在于软件，还包括用户，因此必须为这些信息技术系统提供更高级别的安全保护。服务外包供应商既要保护自己的信息，同时也要保护客户的信息。服务外包供应商自己的信息包括财务信息、创建和交付其产品的专有方法、客户名单、商业计划等。客户的信息包括授权软件和个人识别信息(如员工或客户记录)等。随着服务外包从业人员成本的增加，以及网络病毒等对组织运营数据安全威胁的增大，信息安全问题的解决无法由非信息安全专家提供，外包信息功能似乎是最有效的解决方案。在外包合同谈判过程中，服务外包供应商需要能够访问客户公司的某些数据。因此，服务外包的主要缺点之一就是信息安全。当然，这并不会使服务外包成为一种不可控的冒险行为，只是需要建立一种超越合同的高度信任关系。显然，强大的服务外包供应商能够拥有更好地赢得客户的机会。但是，不信任的合作关系将最终导致服务外包合同的失败。在服务外包过程中，信息安全管理被视为最核心的内容，这一内容非常重要，所以往往由于缺乏合同关系中的基本信任而造成难以外包的问题。因此，本文从服务外包供应商与客户之间相互信任的视角探讨服务外包的信息安全问题，以期找到更为有效的服务外包信息安全管理的策略。

2信息安全对服务外包企业的重要性

2.1信息安全对供应商的重要性

完善有效的信息安全管理是供应商开展服务外包业务的必要条件，一方面，为了赢得客户对其服务的认可和信任，供应商提供的产品和服务必须是安全、高效、方便可用的，这就要求供应商对自身的信息管理首先要做到安全有效;另一方面，随着企业规模的不断扩大，供应商所服务的客户越来越多，这也意味着供应商将掌握大量的客户信息。如何对这些数据资料进行安全管理、规避各种风险隐患就显得尤为重要。因此，无论是从对客户负责的角度，还是从自身长远发展的角度，服务外包供应商都必须建立安全高效的信息管理机制。

2.2信息安全对客户的重要性

服务外包之后，客户所考虑的信息安全问题主要包括两个方面。一是从外包服务业务自身的特点考虑，外包服务的开展主要依赖于能够安全稳定、有效运转的信息系统，这一系统涉及到基础配套设施、软硬件、数据接口标准、服务标准、用户需求等诸多方面，随着业务种类、业务流程的日趋复杂，上述任何一个环节出现问题都有可能导致整个系统的瘫痪。因此，供应商所提供的服务和产品必须是安全稳定的，才能保证客户的整个系统的安全运行;二是从有效管理的角度考虑，客户将部分业务外包给供应商，同时失去了对这部分业务的直接管理控制权，转变为管理难度更大、风险更高的间接管理。因此，客户只能依赖供应商进行信息安全管理，供应商所具备的信息安全管理能力将成为降低客户信息安全风险的重要影响因素。

3服务外包信息安全的信任分析

信任和信息安全对服务外包都具有非常重要的作用，它们都是无形的影响要素，在研究信息安全问题时，可以通过信任的视角来看待供应商与客户之间的关系，很多学者在相关研究中已经将信任作为服务外包模型的一个组成部分［5］。服务外包信息安全的信任分析包括:老客户信任的维护、新客户信任的建立、相互信任的问题以及相互信任的管理。

3.1老客户信任的维护

对于服务外包供应商而言，保持客户忠诚度并不是一件容易的事情，需要有一部分值得信赖的客户并经常惠顾他们的生意。而要保持客户忠诚度，需要通过不同的方式和手段来维护服务外包供应商与老客户之间一定程度的信任，这需要大量的时间以及丰富的经验。与老客户之间信任的建立，来源于供应商多年来的信息安全保障。要持续赢得客户的信任取决于两个基本要素:基础设施和服务水平。一方面，冗余系统、互联网连接、网络基础设施以及经验丰富的系统专家，为赢得客户信任提供了基本安全保障;另一方面，服务也是赢得客户信任的重要方式，来源于供应商提供的服务达到较高的水平甚至是国际水平，如供应商能够熟练运用能力成熟度集成模型，或者取得ISO2000认证等。一些服务外包供应商简单地认为，只要没有法律诉讼，或者由于业绩不佳或者违反合同条款(如信息泄漏或数据诈骗)而造成的合同终止，就足够维持他们与老客户之间的信任，这显然是不够的。

3.2新客户信任的建立

与新客户建立信任关系是一件非常困难的事情，尤其是在第一次进行交易的时候，这种信任的建立依赖于企业的声誉、多年经营运作的成绩以及客户的口碑等。因此服务外包供应商需要建立自己成功的标志，或是通过其他客户的良好口碑来建立与新客户的信任。客户的良好口碑是供应商信任建立的一个标志，如果客户能够一直感受到供应商所提供的服务是有安全保障的，必然会口耳相传，这些客户的良好口碑慢慢形成企业的声誉。当然，有些供应商认为客户的口碑仅是新客户考虑他们的一个参考因素，起决定作用的依然是供应商的服务能力，必须让客户对他们的服务能力有信心。至于造成供应商失去客户信任的原因有很多，如经济情况、人事变动等。一个原因是，全球经济形势的动荡可能会增加人们的恐惧，这有可能会导致客户和供应商之间的不信任或是产生某种怀疑;另一个原因是，当供应商发生收购行为的时候，其原有的客户很容易产生不信任的情绪，因为客户花了很多年时间在双方建立的牢固信任关系很有可能会因为人事变动而发生变化。因此，有必要对服务外包关系中缺乏信任的问题，以及供应商与客户之间的信任管理问题进行进一步研究，即信任建立过程中可能产生的问题及相互信任的管理。

3.3信任建立过程中可能产生的问题

相互信任一直以来都是供应商与客户关系管理中的一个关键问题，获得客户的信任是令所有供应商头疼的一个问题，供应商一直试图证明他们已经完成了他们的工作，如确保所有客户的信息不会被泄露或篡改，但信任仍然总会出现问题。缺乏相互信任的原因主要来自于两个方面。第一个原因是数据和信息的控制，客户在与供应商签订服务外包合同时，可能由于害怕会释放一些重要的信息给供应商，所以合同中往往没有提供足够的数据和信息，这可能最终导致供应商不想履行合同;第二个原因是人员的变动，新的员工可能不再遵守客户从原有供应商那里享有的承诺，而原有员工也可能会获得一定程度的访问客户信息的权限。因此当供应商被收购、兼并或解体成为新的供应商时，这些问题就更加紧迫了。在任何商业交易中，信任关系出现某些问题都是正常的，重要的是如何处理信任过程中可能产生的误解。

3.4相互信任的管理

当供应商能够完好保护客户信息的时候，相互信任的管理非常容易。适当的管理、妥善的生意关系能够带来供应商与客户之间持久的相互信任。这也是为什么大多数供应商选择高层管理人员来处理客户与供应商关系。信息安全管理人员并不了解高层管理人员如何处理客户与供应商关系，这主要是试图避免任何形式的错误信息可能引起的不信任。相互信任管理的核心是，供应商和客户双方遵守合同中达成的全部协议，如保密协议的承诺等，这是一种信息安全保障的手段，供应商不能泄露任何从客户获得的信息;供应商除了信守合同中的保密条款以外，合同初始阶段应明确服务的范围和预期目标，最大程度地明晰合同服务内容，以避免合同到期后的任何不良反应。

4基于信任视角的服务外包信息安全管理的策略

服务外包企业建立相互信任的影响因素可归纳为三个方面:信息共享的意愿、沟通交流的质量以及企业之间的相互适应，只有供应商与客户在这三个方面建立起相互信任，才能够实现稳定高效的信息安全管理

4.1加强信息共享的意愿

信息共享涉及到合作伙伴之间信息交换的范围和深度，在以信任为基础的关系中，供应商和客户是紧密连结在一起的。信任来自于频繁的相关信息交换，不断的信息交换会逐渐产生信任，并最终促进更有效的互动和更良好的关系。服务外包供应商一般依靠客户提供域名和进程管理知识。然而，供应商和客户之间可能存在一定的文化差异，不同的沟通方式有可能会阻碍任务和进程信息向供应商的自由流动。因此，供应商要向客户展示更多的善意和诚意，才能克服这种跨文化障碍。如果客户的感知意愿是开放的，随之而来的将是域名和进程信息的共享，因此，客户愿意与供应商分享信息的意愿将会对服务外包企业的相互信任产生积极影响。

4.2提高沟通交流的质量

交流质量强调沟通的过程和手段。根据社会交换理论，有效的沟通是实现预定目标必不可少的手段。加强沟通可以使合作伙伴更好地相互了解，这反过来又使他们在相互关系中更为自信，从而更乐于保持相互关系的活力。沟通质量是信任的前提，也是服务外包的重要的信任建立机制。通常，客户会派专家向供应商介绍项目，但后续交流涉及各种渠道，从电子邮件到电话再到人员交流。客户的项目承诺以及对项目的重视程度会影响供应商对关系的看法。如果供应商团队得到了可靠的、及时的响应，能够反映出客户的诚意和可靠性。因此，更高质量的沟通能提高供应商对客户的信任水平，沟通交流的质量也会对服务外包企业的相互信任产生积极影响。

4.3增强企业之间的相互适应

伙伴之间建立相互信任的有效途径就是不断适应以满足相互关系的需要。企业之间的相互适应是指供应商和客户对伙伴合作方式做必要调整的努力程度，为谈判和共同利益协商，以及创造共同目标提供有效机制。一个成功的关系通常涉及到项目的进度、流程和范围等方面的广泛的企业之间的相互适应。供应商要适应客户不断变化的需求，客户也要努力适应供应商的各种约束，以体现客户对供应商的善意和承诺。因此，企业之间的相互适应也会对服务外包企业的相互信任产生积极影响，从而提高服务外包企业的信息安全管理水平。

5结论

在互联网高度开放的背景下，服务外包供应商和客户日益关注信息安全问题。信息安全和相互信任也一直以来都是服务外包发展的主要绊脚石，对于服务外包是否能够成为信息技术与商业之间的桥梁，客户也常持怀疑态度，这也使得服务外包孤掌难鸣。商业交易是在两个或多个利害关系方之间进行的，交易各方势必在相互信任和信息安全得到保障和重视的环境中才能够成功地运作。本文基于互联网的背景，从信任的视角出发，针对老客户信任的维护、新客户信任的建立、信任建立过程中可能产生的问题以及相互信任的管理四个方面，对服务外包的信息安全进行了分析，并在此基础上提出了互联网背景下服务外包信息安全管理的策略，即:加强信息共享的意愿、提高沟通交流的意愿以及增强企业间的相互适应。

注释

［1］KhalidKark，Misconceptionsaboutinformationsecurityoutsourcing，Retrieved25April，2010，

［2］AbdulJaleelK.Shittu，AbdRahmanAhlan，WanRozainiSheikOsman，Informationsecurityandmutualtrustasdeterminingfactorsforinformationtechnologyoutsourcingsuccess［J］．AfricanJournalofBusinessManagement，2012，6(1):103－110.

［3］JDLewis.TrustedPartners:HowCompaniesBuildMutualTrustandWinTogether［M］，NewYork:FreePress，2007.

［4］WillcocksLP，CullenS.TheOutsourcingEnterprise，Thepowerofrelationships，WarwickBusinessSchoolwhitepaper，retrieved26March，2006from

［5］SiakasKV，MaoutsidisD，SiakasE.TrustFacilitatingGoodSoftwareOutsourcingRelationships，SoftwareProcessImprovementandInnovation，LecturesNotesinComputerScience(LNCS)4257，BerlinHeidelberg，2006，pp.171－182.

作者:王春 沈颂东 侯明 刘丹 单位:吉林大学管理学院 吉林大学商学院 东北师范大学经济学院 吉林大学管理学院