用户投稿(二)委外管理
委外大约是1980年代开始的,当时的组织为了节省成本、专注于本身核心业务、有效利用其他便宜的劳动成本、资源、技术等各种原因,会将本身的业务或作业委託给其他人执行。经过时间的演变,在现今资讯化的社会下,委外的行为已经无所不在了,也正因此,委外对于组织资讯安全来说就是一种威胁。在目前的章节我们是在讨论委外这件事情的执行,条文要求写得很简单,组织应确认委外之过程是被建立及控管;但在附录A.15 供应商关係的控制措施中有完整叙述针对供应商的管控、委外与资讯安全的要求与关连的事项。委外管理最重要的观念:委外跟组织内执行业务应该都要遵守资讯安全管理系统的规範。换言之,委外不是例外,都要遵守资讯安全政策及程序(除非另有规定),下图显示最底层是组织的政策及程序,中层及上层分别是所执行的业务,这个架构就可以让大家清楚委外管理的本质。
在前面管理系统八大原理中,曾经提及供应链的管理,委外就是结合供应链的重要环节,下面这张图整合两个资讯安全管理系统,一是组织本身的资讯安全管理系统,另一个则是委外组织的资讯安全管理系统,ISO组织希望以标準整合供应链,并让委外组织的资讯安全得到一定水準之管控,从这张图就可以清楚说明。另外ISO组织发布的ISO/IEC 27036系列标準,就是用来叙述资讯安全供应链安全,如有需要可以参考。
委外的重点在于事前準备工作,组织应先想清楚要委外的事项,以及这些事项与资讯安全的关係。回到第四章的全景分析,这些事项与哪些内外部议题与利害关係者的要求有关,在风险分析中哪些是必须要控制及处理的风险,将这些分析出来,再看看委外后如何达到原来的资讯安全要求及目标、如何管控委外厂商其资讯安全管理水準与组织本身一致并达到相同水準。下图是委外的步骤:
微信扫一扫打赏
支付宝扫一扫打赏
