让外包更安全

来源 :AMT前沿论丛 | 被引量 : 0次 | 上传用户:jonh0521
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  幸运的是,企业获取全球范围内熟练开发商和珍贵资源供应的障碍越来越少了。企业几乎可以在任何地方找到人员和服务,这仍然要归功于一个组织的软件开发或网上业务。
  好消息是资源都摆在那里。坏消息是,对日常商务中经常失控的人员和做法,你得设法维护安全并保持警觉。
  无论你在外包开发、服务还是维护,底线是你依据他人来写代码或运行服务,这样你的客户会把这些看做是你提供的——这意味着你必须对任何功能问题或安全漏洞负责。
  
  外包是否意味着放弃农场?
  
  根据Gartner的最新研究,超过60%的外包开发的企业不会采取任何缓解安全危机的措施。一个简单危机的缓解措施的示例将会在合约中规定外包开发商在安全编码方面遵循最佳的做法。允许外部的软件开发商进入你的商店,然而你却不要求他们编写安全代码,这会助长任何编写恶意或不安全代码的行为。
  当然,一旦你允许外部供应商在你的服务器上运作或集成到你的网上业务时,保障你的程序和数据的安全性就不是一件容易的事。但是有一些方法你可以运用从而尽可能地确保你可以掌控你的企业和客户信息的安全
  一个富有责任心的首席信息安全官该做什么?
  确保你的服务供应商重视安全性的最佳时间是在你签合同之前。确保你在合同里对你可以接受或不接受什么做了有针对性和详细的要求。
  对代码的处理能力和资源获取能力进行尽职调查。识别对于那些为了提供服务而释放给供应商的最小单位的敏感信息。
  在你和供应商的每一个规范中约定代码标准和安全性要求。
  索取关于供应商那些可重复和可核查代码安全性的度量报告。
  严格执行安全要求,第一次在你的环境中非合规执行代码必须施以惩罚。
  如有可能,对那些允许在你的服务器上执行的每一段代码开展全面的检查程序。
  要求供应商使用源代码自动分析仪检查代码的安全性后再把代码提交给你。
  需要对利用现有服务经营新的对外服务可能产生的漏洞进行全面检查。
  要求报告指定供应商交付的每项任务的安全问题和应对措施。
  确保安全程序得以执行,以确保遵循最佳做法,例如加密密钥不传入数据流。
  
  帮助就在眼前
  
  安全特定公司能够向组织建议:如何让大部分外包合作伙伴确保代码和服务的使用符合风险缓解软件、应用程序漏洞检测和安全的软件开发的最佳做法。
  通过培训,研究,实践和软件工具,企业可以达到最好的外包,允许生产性和协作开发环境,以及能够维持其数据的完整性和环境安全。
其他文献
2010年,随着中央及地方政府陆续出台多项调控政策和住房商品化的改革,房地产企业和房地产市场向有序化、规模化、品牌化、规范运作方向转型。在这个过程中,如何保障企业成功实现管理变革与发展,保持企业的核心竞争力,是房地产企业首要考虑的问题,而信息化无疑是非常有效的手段。    后危机时代信息化需求快速增K    房地产是典型的资金密集型行业,具有投资大、周期长、风险高、项目地域性、政策性强等特点。20
期刊
后金融危机时代的2010年是物流行业信息化投入持续减少的一年,整个行业依然在等待这个黑暗之后的黎明。这个让众多企业抱有期望的最大的原因是国家物流行业振兴规划。规划中多处提到提高物流信息化水平、建设公共信息平台工程、完善和推广包括物流信息系统和物流专用信息技术在内的物流新技术,这些都为物流信息化市场带来更多的机会,从而促使物流业进入发展快车道。    追求整体效应 信息化整合进入新周期    我国物
期刊
前两年,高科子电子行业受到了金融危机的强烈冲击,空前衰退。进入2010年,伴随全球经济的逐步复苏,高科技电子产业的发展也得到迅速反弹。但高科技电子行业的转型升级之路仍非一片坦途,仍面临着降低生产成本、缩短产品上市周期、提高产品质量等挑战。而且,新技术层出不穷,价格波动频繁而激烈,都迫使企业借助信息化来提高自己的经营管理水平和竞争力。    ERP和PLM是两条主线    伴随着高科技电子产业的迅速
期刊
继被评为“中国汽车产业元年”的2009之后,汽车行业的2010年同样是焦点、热点不断:从丰田大规模开启“召回门”,到吉利成功收购沃尔沃;从大众等车企在国内拓张扩产,到海外建厂变成潮流;从汽车“十二五”规划草案出炉,到新能源汽车渐成趋势……哪一件大事小情的背后都脱不开信息化的干系。    “召网”事什使全面质量管理备受重视    召回近800万辆汽车、损失1800多亿日元、丧失全球消费者的信赖,使丰
期刊
关键词:战略 战略梳理 战略保障体系    战略是什么?战略的意义与价值为何?  企业如何制定战略?选择什么时机制定战略?  制定战略与执行战略的保障体系如何建立?    什么都可以出错,战略不能出错;什么都可以失败,战略不能失败。战略的失败是最彻底的失败!无论是一个国家、一个地区、一个行业,还是一个微观组织,都面临着发展战略管理的问题。作为一个现代公司,如果没有明确发展战略,就不可能在当今激烈的
期刊
目前,医药行业信息化建设的方向更为清晰明了。医药集团型企业的基本战略是按“科研、工业、商业”对各业务板块分别进行垂直管理,并在横向进行产业链协调。在信息化手段的支撑下,推行“研发、工业、商业”一体化策略,全面提升集团的管控能力和对新医改的适应能力。医药研发类企业重点关注医药研发平台管理的建设;医药工业企业重点关注建立产销一体化管理平台;医药商业企业重点关注分销、物流、零售信息化平台的集成应用。  
期刊
无论是金融危机当前还是后危机时期,信息化都是捍卫金融体系安全稳定度过金融业寒冬的有力武器。专家指出,加强风险控制、推动IT外包、加快金融信息服务普及化是目前金融业信息化的主要着力点。    加强风险控制 迎接互通互联    就银行方面而言,我国普遍投入大量资金建立了较为先进的业务系统,但是风险管理系统的建设相对比较薄弱。相关金融信息安全的监管要求缺位,同时存在不少对外包的银行信息化建设管理的问题。
期刊
近年来,随着电力体制改革的进行,各大电力集团公司都在有效管理上采取了一系列重要举措,并大力推行信息化建设。我国电力行业信息化市场也因此获得了巨大的发展。据统计,2009年我国电力信息化投资额达187.97亿元,未来随着国家智能电网建设规划实施、新兴应用领域的不断出现以及产品更新换代需求的推动,2010-2015年我国电力信息化投资规模将保持稳步增长。  实际上,经过这么多年的发展,中国电力行业信息
期刊
2010年度中国商用软件行业供应商TOP100榜单
期刊
自1999年进入中国市场,IFS在中国已经走过了十余年的历程。正可谓十年征程,十年成就,这家具有28年生存历程的瑞典公司,通过在中国企业级软件市场十余年的沉淀与积累,已经收获颇丰。至今,IFS已为近300家中国企业成功实施了ERP,业务足迹遍及中国各大主要行业,包括公用事业、汽车、高科技、工业制造等领域。  在业界,IFS被看作是一家低调的软件公司,没有大量的造势宣传,而IFS在中国的业绩却很难用
期刊