商务部为顺应国际外包服务发展的潮流,启动了“千百十”工程,目标是在“十一五”期间,在全国建设10个具有一定国际竞争力的服务外包基地城市,推动100家世界著名跨国公司将其服务外包业务转移到中国,培育1000家取得国际资质的大中型服务外包企业。对于外包服务发包商来说,在其将其业务外包时,必定要考虑的两个问题,并由此引发了对应的两类审计需求:(1)质量审计需求:外包服务提供商是否有足够的能力来按照合同的要求、按时、保质、保量完成其所接受的业务?(2)信息安全审计需求:企业在外包合作过程中必须向服务商披露大量商业或法律敏感信息。外包服务提供商能否有效保护相关机密,以免给公司带来业务上的伤害,或引起法律问题?本文主要对信息安全审计需求的实现进行了分析,目前主流的信息安全审计是ISO/IEC 27001和SAS 70审计。(1)在对ISO/IEC 27001和SAS 70的审计需求进行分析之前,介绍了有关信息安全管理、信息安全控制和审计的相关关系。信息安全是通过实施一些系列的安全控制措施来实现的,而信息安全的审计则是对实施的信息安全措施是否合理、有效进行评估。(2) ISO/IEC 27001和SAS70都是针对信息安全进行的审计需求。其需求在很大程度上是相交叉的。ISO/IEC 2700作为一个广泛接受的国际标准,关注在建立一个企业在信息安全方面的风险管理框架。SAS 70则是应美国政府推出的SOX法案而带来的审计需求。其更关注在信息外包服务对服务发包方财务报表带来的信息安全问题。(3)分析了如何独立实现ISO/IEC 27001和SAS70的审计要求以及独立实现两种相近审计需求所带来的问题。两个体系的独立实现,导致组织不得不做重复劳动,因此出现了两本手册、两套程序文件、重复内审、重复管理评审的现象,导致管理体系运行效率低下,而且容易导致政令不统一、信息不能共享、甚至互相排斥的情况。(4)分析了企业如何整合实现ISO/IEC 27001和SAS70的审计需求。在ISO/IEC 27001的风险管理框架的基础上,融合SAS 70的审计要求,最终形成一套完整的信息安全管理体系。