收藏
下载资源 加入VIP,省得不是一点点

建立一个安全有效的风险模型进行外包决策【外文翻译】.doc

上传人:文初 文档编号:6769 上传时间:2018-04-01 格式:DOC 页数:11 大小:54KB
下载 相关 举报
建立一个安全有效的风险模型进行外包决策【外文翻译】.doc_第1页
第1页 / 共11页
建立一个安全有效的风险模型进行外包决策【外文翻译】.doc_第2页
第2页 / 共11页
建立一个安全有效的风险模型进行外包决策【外文翻译】.doc_第3页
第3页 / 共11页
建立一个安全有效的风险模型进行外包决策【外文翻译】.doc_第4页
第4页 / 共11页
建立一个安全有效的风险模型进行外包决策【外文翻译】.doc_第5页
第5页 / 共11页
点击查看更多>>
资源描述

1、本科毕业论文(设计)外文翻译原文CREATINGANEFFECTIVESECURITYRISKMODELFOROUTSOURCINGDECISIONSBTHASSUBSTANTIALEXPERIENCEOFOUTSOURCINGANDOFFSHORING,PARTICULARLYTOINDIANCOMPANIES,ANDSUPPLIERENGAGEMENTPROCESSESAREWELLESTABLISHEDBTOUTSOURCESINFORMATIONANDCOMMUNICATIONSTECHNOLOGIESICTWORKTOACOMBINATIONOFSTRATEGICANDTACTICA

2、LSUPPLIERSACOMMONCONTRACTUALFRAMEWORKHASBEENIMPLEMENTEDFORSTRATEGICPARTNERSSINCE2003ANDTHISINCLUDESACOMPREHENSIVESETOFBASELINESECURITYREQUIREMENTSTHATCANBEENHANCEDTOAPPROPRIATELEVELS,DEPENDINGONTHENATUREOFTHEINFORMATIONASSETSCONCERNEDBTHASREDEFINEDOFFSHOREOUTSOURCINGFROMBEINGATACTICALMEANSOFREDUCING

3、OPERATIONALCOSTS,INTOASTRATEGICTOOLFORBUSINESSTRANSFORMATIONTHISHASRESULTEDINASIGNIFICANTINCREASEINTHEOUTSOURCINGANDOFFSHORINGOFICTDEVELOPMENT,MAINTENANCE,SUPPORTANDCONTACTCENTREACTIVITIESATTHESAMETIME,CUSTOMERSANDSTAKEHOLDERSAREBECOMINGAWAREOFTHEIRINCREASINGRELIANCEONELECTRONICINFORMATIONANDTHERISK

4、SPOSEDBYNOTJUSTMALICIOUSACTS,BUTALSOACCIDENTALEXPOSUREOUTSOURCINGANDOFFSHORINGPRESENTSAMORECOMPLEXPICTUREFORCONDUCTINGSECURITYRISKASSESSMENTSANDTHEOUTCOMESMAYHAVEAMAJORIMPACTONOPERATIONALANDBUSINESSDECISIONSBTHASTHEREFOREREVIEWEDITSAPPROACHESTOSECURITYRISKMANAGEMENTTOENSURETHATOUTSOURCINGASSESSMENTS

5、AREBUILTINTOTHENEWDYNAMICENVIRONMENTINWHICHICTPROGRAMMESEXISTTHISPAPERDETAILSTHEEVOLUTIONOFPROCESSESTOMEETTHESENEWNEEDSSPECIFICMODELS,TOOLSANDTECHNIQUESHAVEBEENDEVELOPEDTOENSURETHATEFFECTIVEANDTIMELYENGAGEMENTWITHSTAKEHOLDERSOCCURS,THATRISKSANDREQUIREMENTSAREIDENTIFIEDANDCOMMUNICATED,ANDTHATRISKMITI

6、GATIONANDMANAGEMENTSTRATEGIESAREIMPLEMENTEDWITHINAPPROPRIATECOMPLIANCEANDGOVERNANCEFRAMEWORKSTHEAPPROACHUSEDBYBTISBASEDONHMGSINFOSECSTANDARDNO1RESIDUALRISKASSESSMENTMETHODIS1SECURITYISSUESANDRISKSARELIKELYTOCHANGEWHENSOURCINGOUTSIDEYOUROWNORGANISATIONEVENIFWITHINYOUROWNCOUNTRYCOMPLEXITYWILLINCREASEW

7、HENOFFSHORINGTOTHIRDPARTIESBASEDINCOUNTRIESTHATHAVEDIFFERENTPOLITICAL,ECONOMICANDCULTURALENVIRONMENTSSECURITYASSESSMENTSMUSTTHEREFOREBEAUGMENTEDTOADDRESSTHESECHANGESANDTHEASSOCIATEDLEGAL,REGULATORYANDCONTRACTUALREQUIREMENTSMANYOFFSHOREENVIRONMENTSWILLNOTHAVEPRIVACYLAWSEQUIVALENTTOTHOSEMANDATEDWITHIN

8、THEEUROPEANUNIONEUTHEUKINFORMATIONCOMMISSIONERSOFFICEICOHASFOUNDITNECESSARYTOHIGHLIGHTTHATOUTSOURCINGDATAPROCESSINGTOFOREIGNSUPPLIERSDOESNOTABSOLVECOMPANIESFROMPROTECTINGTHEDATAONCEITPASSESTOATHIRDPARTYANDTHATUKCOMPANIESWILLSTILLBELIABLEFORBREACHESOTHERCOMPLIANCEFACTORSALSOCOMEINTOPLAYBT,FOREXAMPLE,

9、ISLISTEDONTHEUSSTOCKEXCHANGEANDMUSTTHEREFOREADHERETOSARBANESOXLEYREQUIREMENTSFOROUTSOURCINGSYSTEMSINGENERAL,CUSTOMERREQUIREMENTSAREBECOMINGMORESPECIFICANDVARIEDANDSOMEMAYINCLUDENOOFFSHORINGCLAUSESBTSPROMINENTPOSITIONWITHINTHEICTMARKETMAKESITATARGETFORTHREATAGENTSSEEKINGTOCAUSEDISRUPTIONTOITSOPERATIO

10、NALCAPABILITY,TOCOMPROMISETHEINTEGRITYOFCRITICALDATAORTOSTEALINFORMATIONBTISACORECOMPONENTOFTHEUKCRITICALNATIONALINFRASTRUCTURECNI,APOSITIONTHATBRINGSWITHITSPECIFICSECURITYRESPONSIBILITIESANDTHENEEDTOCONSIDERAWIDERANGEOFSTAKEHOLDERSTHREATAGENTSSEEKINGTOATTACKINFORMATIONOROTHERASSETSBELONGINGTOUKCNIC

11、OMPANIESMAYFINDTHATTHEYAREABLETOOPERATEMOREEASILYINSOMEOVERSEASCOUNTRIESWHERELEVELSOFPROTECTIONARELOWERINSIDERTHREATSTOINFORMATIONASSETSAREWELLRECOGNISEDHOWEVER,THEUSEOFOUTSOURCINGANDOFFSHORINGSERVICESCANBLURTHEDISTINCTIONBETWEENACOMPANYSEMPLOYEESANDTHIRDPARTYPERSONNELANDGREATCAREMUSTBETAKENTOENSURE

12、THATPHYSICALANDLOGICALACCESSCONTROLSREMAINEFFECTIVEINACHANGINGANDFLEXIBLEENVIRONMENTSTAKEHOLDERCONCERNSREGARDINGSUCCESSFULATTACKSONINFORMATIONAREINCREASING,PARTLYDRIVENBYREPORTSABOUTTHEABUSEOFPERSONALDATATHROUGHFRAUDANDIDENTITYTHEFTWITHINOUTSOURCINGCOMPANIESACTIVITIESANDFUNCTIONSOUTSOURCEDTOTHIRDPAR

13、TIESWILLVARY,FOREXAMPLE,SOMECOMPANIESWILLSPECIALISEINSOFTWAREDEVELOPMENTWHILEOTHERSWILLSPECIALISEINOPERATIONALSUPPORT,ANDITISPOSSIBLETHATANUMBEROFTHIRDPARTIESWILLBEPROVIDINGSERVICESFORTHESAMEICTPRODUCTTHENATUREOFTHECONTRACTWILLUSUALLYDETERMINETHETYPEOFACCESSPROFILESTHATTHIRDPARTYPERSONNELWILLHAVETOB

14、TANDCUSTOMERINFORMATION,EGPOWERFULROOTACCESSFORSUPPORTFUNCTIONSVERSUSSTANDARDUSERACCESSFORHELPDESKACTIVITYINALLCASES,ITISRECOMMENDEDTHATINFORMATIONSECURITYREQUIREMENTSAREDECOMPOSEDINTOTHESPECIFICSUBJECTSOFCONFIDENTIALITY,INTEGRITYANDAVAILABILITYANDTOCONSIDERTHESEFROMTHESYSTEMLIFECYCLESTAGESCOVEREDBY

15、THEOUTSOURCECONTRACTEGREQUIREMENTSCAPTURE,DESIGN,DEVELOPMENT,TEST,OPERATEANDSHUTDOWNTHISWILLCREATETHEGRANULARITYNEEDEDTOIDENTIFYSPECIFICLEVELSOFSECURITYFORDIFFERENTLIFECYCLESTAGESORCONTRACTS,EGAPPLICATIONDEVELOPMENTUSINGDUMMYDATAMAYREQUIRELOWERLEVELSOFSECURITYTHANOPERATIONALSTAGESACCESSINGLIVECUSTOM

16、ERDATAITISALSOIMPORTANTTOADDRESSSECURITYTHROUGHOUTTHECONTRACTLIFECYCLEASWELL,IETHROUGHTOCONTRACTTERMINATIONANDTHEUKNATIONALINFRASTRUCTURESECURITYCOORDINATIONCENTRENISCCHASISSUEDGUIDELINESTOFACILITATETHISONEOFFSECURITYASSESSMENTSAREINSUFFICIENTANDPLANNEDLIFECYCLEANDCONTRACTCHANGESOVERTIMEPROVIDEANEFF

17、ECTIVETRIGGERFORRISKMANAGEMENTREASSESSMENTS,IEONTOPOFTRADITIONALTRIGGERSFORREVISIONSUCHASMAJORCOMPONENTCHANGESORANNUALREVIEWMANYFACTORSMUSTTHEREFOREBEASSESSEDTOIDENTIFYSECURITYRISKSANDSUBSEQUENTSECURITYREQUIREMENTSANDMITIGATIONOPTIONS,FOREXAMPLEINTERNATIONALSTANDARDS,SUCHASISO/IEC27001,BS7799PART220

18、05,BS7858,BTSCORPORATESECURITYPOLICYANDPRIVACYMARKINGS,REGULATIONANDLEGALREQUIREMENTS,EGUKDATAPROTECTIONACT,UKTELECOMSSTRATEGICREVIEW,THESARBANESOXLEYACT,CUSTOMERSECURITYREQUIREMENTSINDIVIDUAL,COMPANYANDUKGOVERNMENT,INCLUDINGIMPORTEDPRIVACYMARKING,CNIREQUIREMENTS,COUNTRYSPECIFICFACTORS,EGPOLITICAL,E

19、CONOMIC,SOCIAL,TECHNOLOGICALANDLEGALENVIRONMENTALCONDITIONS,SYSTEMLIFECYCLESTAGE,CONTRACTLIFECYCLESTAGE,BASELINECONTRACTUALSECURITYREQUIREMENTS,ENHANCEDCONTRACTUALSECURITYREQUIREMENTSTHETIMELYCAPTUREOFTHESEREQUIREMENTSINAFORMREADILYUSABLEFORINPUTTORISKMODELSCAN,HOWEVER,PROVEDIFFICULTMANYSOURCESOFREQ

20、UIREMENTSANDSYSTEMSECURITYINFORMATIONFROMACROSSTHEORGANISATIONMUSTBEIDENTIFIEDANDCONSOLIDATEDTOCREATETHEBIGPICTUREOFINFORMATIONSECURITYATTRIBUTESGLOBALSOURCINGALSOBRINGSWITHITANINCREASINGLYDYNAMICENVIRONMENTFORWHICHFLEXIBLERESPONSESAREREQUIREDFROMBTSPERSPECTIVE,THERECENTINCREASEINTHEVOLUMEOFSYSTEMSA

21、NDAPPLICATIONSEARMARKEDFOROUTSOURCINGPRESENTSANOTHERSIGNIFICANTCHALLENGEFORTHESECURITYCOMMUNITYBOTTLENECKSANDCONSTRAINTSINRISKASSESSMENTSCOULDCAUSEDELAYSINPRODUCTLAUNCHORINVOKECONTRACTUALPENALTIESINSUMMARY,OUTSOURCINGSECURITYRISKSAREBECOMINGINCREASINGLYCOMPLEX,HAVEPOTENTIALLYHIGHIMPACTANDMUSTBEBUILT

22、INTOBUSINESSRISKMANAGEMENTPROCESSESBTHASTHEREFOREREVIEWEDITSAPPROACHTOSECURITYRISKMANAGEMENTTOENSURETHATOUTSOURCINGASSESSMENTSARECONDUCTEDUSINGACONSISTENTMETHOD,AREBUILTINTOTHEDYNAMICENVIRONMENTINWHICHICTPROGRAMMESEXIST,ANDTHATTHEOUTCOMESAREINTEGRATEDINTOBUSINESSDECISIONSITISRECOGNISEDTHATTHEREARELI

23、MITATIONSTOTHERM2MODELITISADECISIONAIDRM2,WHEREOUTPUTSSHOULDNOTBEUSEDINISOLATIONHOWEVER,RM2HASBEENJUDGEDTOBEANEFFECTIVETOOLFORSPEEDYRISKASSESSMENTPROVIDINGSTAKEHOLDERSWITHUSEFULANDTIMELYRESULTSTOAIDDECISIONSATVARIOUSSTAGESOFPROJECTANDCONTRACTLIFECYCLESWHERENECESSARY,RM2WILLBECOMPLEMENTEDWITHOTHERRIS

24、KMANAGEMENTTECHNIQUES,EGTHEINFORMATIONASSURANCEPROGRAMMERISKMODELWILLBEUTILISEDTOASSESSCERTAINCNIRELATEDRISKS,IMPACTSORTHREATSASWITHALLRISKMANAGEMENTPROCESSES,RM2ISDESIGNEDFORITERATIVEUSETOASSESSCHANGESINRISKOVERTIMEALLBUSINESSESAREINACONSTANTSTATEOFFLUXANDANYCHANGESWILLAFFECTTHERISKPROFILESTHEUSE,A

25、CROSSAWIDERANGEOFICTPROGRAMMES,OFACOMMONRISKMODELANDSUPPORTINGTOOLFOROUTSOURCERISKASSESSMENTSHASTHEFOLLOWINGBENEFITSBETTERUNDERSTANDINGOFTHEDRIVERSFORTHECOSTSANDCONSTRAINTSOFSECURITY,PROVIDINGANINPUTTOTHEOUTSOURCECOSTBENEFITANALYSIS,OUTSOURCEVENDORSCANBETTERUNDERSTANDTHEREQUIREDSECURITYCONTROLSANDTH

26、ELISTOFLEGAL,REGULATORYANDCOMPLIANCESTANDARDSWHICHMAYAPPLY,WHERETHERESIDUALRISKISDEEMEDTOBEOFANUNACCEPTABLELEVELANDTHEPROGRAMMEDIRECTORCHOOSESTOACCEPTTHISRISK,ITCANBEMANAGEDTHROUGHTHEAPPROPRIATERISKREGISTERAND/ORGOVERNANCEFRAMEWORK,CONSISTENCYINASSESSMENTMEANSTHATSYSTEMSCANBEPREFERENTIALEARLYINTHEPR

27、OJECTLIFECYCLEFORPOTENTIALOUTSOURCINGOPPORTUNITIESORFORADDITIONALLEVELSOFPROTECTION,RESULTSCANBEEXPRESSEDINICTPROGRAMMEMANAGEMENTSPECIFICTERMINOLOGY,RESULTSCANBEAGGREGATEDTOFORMTHEBIGPICTUREVIEWREQUIREDBYSTAKEHOLDERSANDSENIORMANAGEMENT,STAKEHOLDERCONFIDENCEANDRELIANCEONRESULTSINCREASESOVERTIMEASAHIS

28、TORICALRECORDOFDATAISBUILTANDUSERSGROWTHEIREXPERIENCELEVELSRESULTSFORMAKEYPARTOFTHEOUTSOURCEBUSINESSCASE,COMMONSTRATEGIESFORRISKMITIGATIONCANBEIDENTIFIEDANDLEADTOTHERAISINGOFBASELINESECURITYORPOLICYTHELEVELOFUNDERSTANDINGOFSECURITYRISKSAMONGSTAKEHOLDERSHASINCREASEDTOTHEPOINTWHERETHEINFORMATIONREQUIR

29、EDTOMAKEASUITABLEASSESSMENTISBECOMINGINCREASINGLYAVAILABLE,RISKMANAGEMENTISNEVERAONEOFFPROCESS,ITISANITERATIVEPROCESS,USINGOFCOMMONMODELTOALLOWDIFFERENTSCENARIOSTOBERERUNWITHDIFFERENTINPUTSANDOUTPUTSCHANGESTOASPECTSOFTHERISKPROFILECANBERAPIDLYREMODELLEDTOMEASURECHANGESTOTHERESIDUALRISK,ANEFFECTIVEPR

30、OTECTIVEMONITORINGANDAUDITREGIMEISAKEYPARTOFTHECOMPLIANCEFRAMEWORKANDBTHASASERIESOFVENDORSECURITYAUDITSSCHEDULEDTHISDEMONSTRATESACOMMITMENTTOSECURITYANDHELPSTODEVELOPSECUREPARTNERSHIPSWITHANINCREASEDLEVELOFTRUSTANDASSURANCE,ANDSO,WHENEVERAGAPISIDENTIFIEDTHROUGHAUDIT,VENDORSARECOMMITTEDTOCLOSINGITAND

31、CONSTANTLYRAISINGLEVELSOFBASELINESECURITY,BOILERPLATESECURITYCLAUSESARENOWSTANDARDFORALLOUTSOURCECONTRACTSTHESPECIFICATIONOFBTSSECURITYREQUIREMENTSHASBEENINSTRUMENTALFORANUMBEROFSTRATEGICVENDORSINACHIEVINGCOMPLIANCETOINTERNATIONALSTANDARDS,EGISO27001BTSSECURITYCOMMUNITYHASSUCCESSFULLYREVIEWEDITSAPPR

32、OACHTOOUTSOURCINGSECURITYRISKMANAGEMENTTOINTRODUCEANEWRISKMODELANDSUPPORTINGPROCESSTHESEHAVEBEENEFFECTIVELYINTEGRATEDWITHDECISIONMAKINGPROCESSESANDCOMPLIANCEANDGOVERNANCEFRAMEWORKSANDHAVEPUBLICISEDSENIORMANAGEMENTENDORSEMENTITISRECOGNIZEDTHATSECURITY,THOUGHONLYONEINPUT,ISAKEYINPUTTOMAKINGCOMMERCIALD

33、ECISIONSOUTSOURCINGBUSINESSDRIVERSHAVESTIMULATEDINNOVATIONANDAUTOMATIONFORCOLLECTINGINPUTFORRISKASSESSMENTS,PERFORMINGTHECALCULATIONSANDDISSEMINATINGTHERESULTSTHEWIDESCALEREVIEWOFDATASOURCESANDSECURITYATTRIBUTESHASLEDTONEWAPPROACHESTOCATEGORISINGSYSTEMSANDAPPLICATIONSANDTOTHEUNDERSTANDINGOFDATAINTER

34、MSOFITSVALUEANDIMPACTTOBTANDSTAKEHOLDERSTHEABILITYTOIDENTIFYTHEKEYRISKFACTORSAPPLICABLETOOUTSOURCING,NAMELY,SPECIFICENVIRONMENTALCONDITIONS,THENUMBEROFTHIRDPARTYPERSONNELINVOLVEDINTHECONTRACTANDTHELEVELOFTRUSTGIVENTOTHESEPERSONNEL,PROVIDEFACTORSTHATWILLDRIVEMITIGATIONSTRATEGIESITISNOWRELATIVELYSTRAI

35、GHTFORWARDTOIDENTIFYSITUATIONS,EGBASEDONTHECONSOLIDATEDIMPACTVALUEOFTHEDATA,WHEREITISKNOWNTHATNOCURRENTCOSTEFFECTIVEOUTSOURCINGSOLUTIONEXISTSTHEIMPORTANCEOFPROTECTIVEMONITORINGANDAUDITREGIMESHASBEENHIGHLIGHTEDFORBTANDITSOUTSOURCINGPARTNERSFROMBOTHACOMPLIANCEANDASSURANCEPERSPECTIVEANDISBEINGUSEDTOCRE

36、ATEEFFECTIVEENGAGEMENTTORAISESECURITYTHRESHOLDSANDDISCUSSSECURITYISSUESFURTHERWORKISPLANNEDTOINTEGRATECOMPLIANCEANDAUDITREGIMESCOMPLACENCYMUSTBEAVOIDEDASCUSTOMERSBEGINTOAPPRECIATETHEVALUEOFTHEIRDATAANDTHEIMPORTANCEOFACCESSINGITWHEREANDWHENTHEYNEEDIT,THETOPICOFSECURITYWILLCONTINUEITSRISEINSIGNIFICANC

37、EGLOBALIZATION,COUPLEDWITHTHEREQUIREMENTFORMOREOPENNETWORKS,WILLCONTINUETOINCREASEANDRESULTINCORPORATEINFRASTRUCTUREFRAGMENTATIONANDTHEBREAKINGDOWNOFTRADITIONALBOUNDARIESATTHESAMETIME,APPROACHESTOSECURITYMUSTALSOEVOLVEMOVINGTHEFOCUSFROMTHEINFRASTRUCTURETOTHECLIENT,APPLICATIONANDEVENTUALLYTHEDATALEVE

38、LSOURCECCOLWILL,AGRAY,2007“CREATINGANEFFECTIVESECURITYRISKMODELFOROUTSOURCINGDECISIONS”BTTECHNOLOGYJOURNALVOL25,NO1JANUARYPP7987译文建立一个安全有效的风险模型进行外包决策英国电信有着经验丰富的外包和离岸外包经验,尤其是印度公司和供应商建立着良好的关系。英国电信的信息和通信技术外包工作提高一个供应商的组合战略和战术。自从2003年起,战略合作伙伴的共同契约框架已经实施,这里面包括了基本安全,根据有关资讯资产可以适当提高综合设置的水平。英国电信重新被定义为一种降低运营成本

39、的一个战术手段,是业务转型的战略工具。这导致了信息和通信技术外包的发展,维护、支持和联络中心活动的外包显著增加。与此同时,客户和利益相关者逐渐意识到他们增加了电子信息的依赖不仅带来了风险,但意外的是恶性行为也随着曝光。离岸外包为了开展安全风险评估提出了一种更为复杂的方案,结果可能对营运及业务决策产生重大影响。因此,英国电信已经审查了其安全风险管理方法,以确保外包的评估是在新的存在信息和通信技术方案的动态环境中。本文详细介绍了进程的发展,以满足这些新的需求。具体的模型、工具和技术已被开发,以确保利益相关者及时有效地运用,在适当的合规性和治理框架中实施、确定和传达这种风险要求,来进行风险缓解和管理

40、战略。英国电信使用的这种方法是根据英国政府发布的信息安全标准第1号残余风险评估方法来确定的。组织在外采购时,即使在自己的国家,安全问题和风险也可能会发生改变。当离岸发生在有不同的政治基础经济和文化环境的第三方国家时,离岸外包的复杂性将增加。因此,安全性评估,必须增加应对这些变化的相关法律、法规和合同的要求。欧洲联盟的规定许多近海环境的法律没有隐私权。英国信息办公室专员认为有必要强调指出数据处理外包给外国供应商并不能免除保护数据公司,一旦它传递给第三方,英国公司仍可对行为负责。其他合规因素也开始发挥作用。例如,股票在美国证券交易所的公司系统外包必须依照萨班斯法案的要求。总的来说,客户的要求越来越

41、具体越多样,有些还可能包括“不外包”条款。英国电信在信息通讯技术市场的显眼位置使它成为威胁造成破坏寻求其业务代理人的目标,会致使数据的不完整性和数据的被窃取。英国电信是英国国家的一个核心部分,是关键基础设施地位,相关利益者需要考虑具体的安全责任。英国长青国际集团受到代理信息或其他资产的攻击威胁,可能会发现自己是能够更轻松地在国外的一些国家那里等到低水平的保护,内线的威胁是信息资产计入当期损益。然而,使用外包和服务之间的差别模糊的公司的员工以及第三方的人员和必须非常小心,采取措施保证物理和逻辑的访问控制一直有效在变化和灵活的环境。干系人的需要考虑成功的攻击信息在增加,部分被报告的个人资料滥用因欺

42、诈和身份盗窃在外包公司。活动和功能外包给第三方将会发生变化,例如一些公司将专注于软件开发而其他的人将擅长于运营支撑、还有可能存在许多第三方为相同的信息与通信技术产品提供服务。合同的性质通常会决定访问类型,第三方人员将不得不将BT和客户信息发出,例如强大的根的准入和支持功能的标准下的用户访问求助的活动。在所有的情况下,建立信息安全要求的具体对象分解为保密的、诚信的和可用性的,考虑到这些从系统生命周期阶段涵盖了外包合同。这将会产生在不同的生命周期阶段需要识别的特定的安全级,如合同的应用程序开发使用虚拟的数据比运行阶段访问的现场客户数据可能存在较低水平的稳定性。同样重要的是要解决整个合同即生命周期的

43、安全,通过对合同终止的英国国家基础建设安全协调中心颁布的指导方针,促进这一次性安全评估不足和计划生命周期和合同随时间变化而变化提供了有效的诱因,即风险管理上等传统触发了修订的主要成分变化或年度回顾。因此必须对多种因素的识别安全风险评估及随后的安全要求及缓解选项,例如国际标准,如ISO/IEC27001BS7799电信企业安全政策和隐私条例调节和法律要求,例英国数据保护法、英国电信战略性评估、萨班斯奥克斯利法案客户的要求,个人、公司和英国政府的安全,包括进口隐私标志CNI要求各国经济发展的因素,如政治、经济、社会、技术和法律环境条件系统生命周期阶段合同生命周期阶段基础合同的安全要求加强合同安全要

44、求很容易及时抓获这些要求,可以以一种形式输入,不过风险模型证明了存在的困难,许多要求的来源和系统安全信息必须标明在组织形成巩固大局信息的安全属性。全球采购也带来了越来越动态的环境,柔性反应是必需的。从英国电信的观点来看,近期增加的大量资金用于系统和应用程序,瓶颈和限制的风险评估对外包的安全提出了一个巨大的挑战,可能引起产品延迟投放市场或着出现调用合同处罚。综上所述,外包安全风险越来越复杂,会造成高冲击,必须建立业务风险管理环节。因此,重点介绍了它右上方有风险管理安全处理方法,以确保外包评价进行了使用一致的方法,被带进动态的环境中,信息与通信技术课程所带来的风险存在,根据有关因素进行商业决策。人

45、们认识到RM2模型的局限性模型是一个决策辅助模型,在使用时不应该单独输出。然而,RM2模型能帮助利益相关者在不同阶段对项目和合同的生命周期决策评估,已经被作为一个迅速地提供有益和及时成果的有效工具。如有需要,RM2模型能够与其他风险管理技术融合,例如信息保证方案的风险模型将被用来评估巴西全国工业联合会的有关风险、影响或威胁。如同所有的风险管理,RM2模型专门用于评估能随着时间推移而产生变化的风险,因为所有的企业都在不断地发生变化,任何改变都会影响的风险状况。使用各种跨越不同的信息与通信技术,要有共同的风险模型和支持工具,外包风险评估有下列好处更好地理解成本与约束驱动的安全,提供了一个从输入到输

46、出地外包成本效益分析;外包供应商可以更好地了解安全的必要性和法律法规可以申请标准的灵活性;剩余风险被认为是一个无法接受的风险,总监要是想要选择接受这种风险,它可以通过合适的治理结构进行风险管理;一致性评估意味着系统可以早在生命周期对潜在项目的外包机会加强保护;结果可以用信息与通信技术课程管理的特定术语;结果聚集起来可以形成股东和高级管理人员所要求的更大画面;利益相关者的信心和依赖随时间增加而作为一种历史记录而产生的数据是建立用户拓展的经验值结果形成外包业务的一个关键组成部分;共同策略可以减轻风险,可以确认并提高安全,利益相关者之间的安全风险信息要想增加到各个地方,必须制定一个合适的安全评估才会

47、逐渐变得可以运用;风险管理不是一次性的过程,它是一个反复迭代的过程,利用公共模型允许不同的情景来重播不同的输入和输出等各个方面的变化风险状况能迅速改变测量剩余风险;一个有效的保护监察及审核政权是合规框架的一个关键部件,就如同BT供应商有一系列的安全审查计划这说明了一种安全的承诺,帮助增加安全合作发展程度的信赖和保障,因此,只要一个差距审核通过确定,销售商致力于基础水平的合作,并不断提高安全系数;现在,标准条款的安全标准规格合约外包的安全要求是需要的,有一系列战略供应商符合国际标准,例如ISO27001。英国电信的安全社区已成功地回顾了安全风险管理外包方法提出一个新的风险模型和支持的过程。这些都

48、是有效集成与决策的过程,合规的治理框架有高级的宣传和管理支持。意识到安全,虽然只有一个输入,但是却是在输入一个商业决定。外包业务创新刺激会去收集一些执行风险评估报告,即输入和传播的计算结果。适应性的数据源和安全属性导致了新的方法产生,来运用到系统和应用程序中,数据的理解价值将影响英国电信和利益相关者。能够确定外包的关键风险因素,即特定环境条件下,第三方的数据在合同中得到有关人员的信任,这些数据给这些专业人员提供信任因素,推动减量策略的决定。现在是相当的简单明了,如在识别情况下合并冲击值的数据,众所周知,目前还没有符合成本效益的外包解决方案存在。英国电信和他的外包伙伴已经凸显出安全保护监察及审核制度的重要,出于合规和保障视角,来提高安全的门槛。进一步的工作计划是调整合规和审计体制。自满是必须要避免的。随着客户欣赏数据的价值和随时随地需要访问他的重要性,安全问题重要性的意义将继续上升。全球化,再加上开放的网络并将会继续发展,打破了传统界限导致企业基础设施支离破碎。与此同时,安全的方法必须发展起来,从重视基础设施到客户端,再到应用程序和最终的数据级别。出处美科威尔,格瑞建立一个安全有效的风险模型进行外包决策,电信技术,第25卷1,200717987

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 学术论文资料库 > 财务管理毕业论文

Copyright © 2018-2021 Wenke99.com All rights reserved

工信部备案号浙ICP备20026746号-2  

公安局备案号:浙公网安备33038302330469号

本站为C2C交文档易平台,即用户上传的文档直接卖给下载用户,本站只是网络服务中间平台,所有原创文档下载所得归上传人所有,若您发现上传作品侵犯了您的权利,请立刻联系网站客服并提供证据,平台将在3个工作日内予以改正。