化解第三方风险

普华永道《2010年全球信息安全状况调查》显示，超过60％的中国受访者认为。在全球经济放缓的背景下，自己的企业正在面临着更多来自于第三方的安全风险。当企业的发展越来越依赖于商业伙伴的合作与共享，当信息化已经成为企业提升竞争力的必由之路，CFO该如何有效地管理信息系统并规避相关风险?面对如此高的第三方安全风险预期，CFO又该从中获得哪些警示?近日，本刊记者专访了此项调查的发起人、普华永道风险管理及内部控制服务部北京合伙人季瑞华。类型

从全球范围来看，第三方风险的第一种类型是商业伙伴风险。由于商业伙伴包括了供应商和客户两个层面，这一风险又可以进一步细分为来自供应商的风险和来自客户的风险。

由于此次调查是面向全球的，鉴于国情与经济发展水平不同，中国企业所面临的第三方风险类型与表现程度跟欧美企业可能存在_定的差异，这无疑是中国的CFO们在面对相关调查结论时首先要明确的问题，季瑞华表示。

从供应商层面来看，国内外情况大不相同。部分信息系统较为发达的欧美企业，已经能够实现与供应商一对一的联接，比如制造类企业，当原材料达到最低存货水平时，系统会根据两家企业间的框架协议自动生成采购要求并进行数据和信息的交换，供应商也会及时补充货源。此外这种联接也可以设置成一对多的，即企业自动生成的采购要求可以同时传达给多家供应商，接到信息的供应商可以自行决定是否供货与供货的价格等问题，这就为企业的原材料采购流程提供了一个商业平台。相比之下，国内企业与供应商实现信息系统对接的还比较少。

从客户层面来看，国内外的情况比较相似。企业通常会提供一些渠道允许客户登入系统以完成信息的查询、修改等任务。比如金融业的网上银行，无论是个人客户还是企业客户都可以自由登入，而其登入的口令和密码银行却是不知道的。即使很多企业，尤其是金融行业，已经采取了技术于段去加强系统安全，但这里面仍然潜藏着一个固有的风险，即当客户通过自身的账户从事不合规甚至违法的操作时，或由于其他第三者利用客户的账户进行违规违法操作时，企业却很难知晓与监控。这种风险对于企业来说，尤疑是来自第三方的安全风险。

正如信息技术在诞生伊始就被冠以“双刃剑”的称谓一样，当业务伙伴能够自由进入企业内部系统，及时掌握相关信息时，安全风险也就接踵而来，而且随着这种联接与开放程度的提高，风险也相应地增大。

第三方风险的第二种类型是来自外包服务的风险。相对于来自商业伙伴的风险，其风险水平要更高一些。所渭外包(Outsoureing)，是企业为了维持自身的核心竞争能力，将非核心业务委派给外部的专业公司，以实现降低营运成本，提高服务品质的战略管理模式。外包又可以细分为多种类型，其中的业务流程外包(Business Process Outsoureing，BPO)在国外被大量使用，诸如薪酬的支付、系统的开发与机器设备的维护等。由于工作职权和内容的转移，当外包服务的提供者能够随意登陆企业内部系统时，安全风险势必由于控制的缺失而提高。

相比之下，中国企业对外包的理解与国外存在一定的差异，真正意义上的外包还做得比较少，即便是有，通常也是在同一个集团下面完成的。基于整体经济层面发展的考量，我国采取了相关举措，鼓励与推动国内信息技术业务外包的发展，因此在未来，中国企业使用外包服务将会更为普及。源于这类服务的风险很多，最关键的是客户信息未经允许而被披露或出售(如近期媒体曾经报道的多个非法贩卖客户信息的案例)。“很显然，这是中国企业未来发展的一个方向，而随着企业适用外包的情况逐渐增多，第三方可能导致的安全风险也会随之提高。”季瑞华表示。

成因

第三方风险通常会表现为IT的风险，但它绝不仅仅是一个技术问题，因为风险最终都会影响到企业的业务层面，从而构成业务风险。

在过去的5至10年中，相当多的企业也为实现信息化做了很多的功课，同时也在信息安全领域投入了很大的力量，购置了大量的技术工具，但从实际结果来看，中国企业的信息安全水平和国外企业相比还是有一定的差距。季瑞华认为，中国企业信息安全风险水平整体偏高的原因主要体现在如下几个方面：

1　组织结构不到位

中国企业很少会有CIO或者CSO等高层职位，取而代之的是诸如信息中心主管和经理之类的中层职位，且管理职权较为分散，这就决定了企业信息系统运行的相关问题，包括系统风险的问题，较难在公司的战略层面得到适当的关注。再加上公司内部条块制的部门设置，更加大了技术部门和业务部门的沟通成本和协调难度，最终造成在企业层面复杂信息系统的推广与管理不到位的局面，或是出现多头管理的情况，最终导致系统安全未能从企业整体层面得到考虑。

2　技术与业务结合不够

信息安全风险通常被看成为一个技术的问题，由技术部门通过开发或购买安全系统来解决。实际上，信息安全是一个业务层面的问题，涉及到的不仅仅是技术，更需要企业人员和流程的配合，而规范人员和流程，又是通过企业的相关制度来实现的。因此，过度重视技术而忽略人员和流程是无法提升企业的信息安全管理水平的。

3　商业环境与法律制度不健全

国外发展成熟的企业，会与第三方签订相关的配套协议，从而有效地规避对方的违约行为给自己带来的安全风险，并确保合作进行过程中出现的任何问题，都有相应的解决机制。相比之下，由于中国企业在与第三方合作方面还处于起步阶段，再加上很多“第三方”也往往是同一个集团的成员，因此缺少类似的法律框架和商业制度，这样在危机的背景下，企业显然要承担额外的风险，诸如信息的泄露、数据的丢失等，可见在法律与制度层面，中国还有很多工作要做。

对策

当企业要和第三方完成系统的结合与数据的交换，或进行信息服务外包时，与技术手段相比，业务目标显然应该获得更多的关注。企业要做到以业务为核心，围绕着业务来选择合适的技术手段。

同时，鉴于不同行业不同企业交易类型的差别，信息技术的选择也会有较大的差异，除了要考虑到技术本身固有的风险之外，待处理信息的私密性和敏感性也会对技术手段的选择产生较大的影响。正如超市的信息系统与商业银行的信息系统相比，虽然交易量同样很大，但由于价值较低，信息的私密性和敏感性程度相对不高，所以二者在技术手段的处理上就会完全不同。

此外，特定的行业和企业也要参考实施相关的行业标准(比如信息安全领域的ISO 27000系列标准；信息系统外包服务的ITIL标准；以及金融行业的国际结算银行相关行业监管指引和当地监管机构的具体制度安排等)，通过合规性处理来提升企业整体的风险管理能力。

整体上，企业可以通过如下手段加强信息安全管理水平和执行力度：

一　与第三方制订明确的服务水平协议或其它商业协议，特别针对一些敏感的领域，如客户的信息保密义务。针对第三方的服务，也考虑增加审核权的条款，使企业有权利对第三方服务机构进行不定期的审核。

二　定期审阅评价第三方的服务，如通过双方同意的关键业务和关键风险指标进行评价。

三　对第三方的安全管理和控制进行审核，如很多企业委托其内部审计人员或外部审计师执行专项审计。

四　鼓励第三方委托对立的专业人员进行有关服务机构的专项审计。国际上常见的如根据SAS70审计机制所进行的工作。

总之，企业信息系统的构建要突破纯粹的技术层面，虽然IT是支撑企业发展的支柱，但是以业务为出发点考虑问题才是核心的原则，也只有从业务的角度来看待IT，才能管好IT。