眾所周知，保證IT系統(tǒng)的安全、穩(wěn)定和可靠運行是IT部門義不容辭的職責(zé)，問題是安全、穩(wěn)定和可靠永遠(yuǎn)是相對的，得看企業(yè)IT投入和ROI。比如基礎(chǔ)設(shè)施和基礎(chǔ)應(yīng)用系統(tǒng)雖非核心IT應(yīng)用，但因應(yīng)用面廣，一旦出問題影響面大。

IT外包雖能降低成本、提高服務(wù)質(zhì)量等，但也面臨很多風(fēng)險。首先是信息安全的風(fēng)險，任何企業(yè)都有商業(yè)秘密，把IT系統(tǒng)尤其核心信息系統(tǒng)的建設(shè)、運營和維護(hù)外包給IT服務(wù)提供商后，如何保證企業(yè)的商業(yè)秘密文件不被泄露出去是一個關(guān)鍵考慮的因素。因此，在外包時CIO既要謹(jǐn)慎又要積極防范風(fēng)險。

IT外包中的信息安全風(fēng)險也是很多CIO遲遲不能邁出外包步伐的原因之一。但是也不能因噎廢食，放棄利用外包，減輕IT負(fù)擔(dān)的機(jī)會。

在最近的一次會議上，多位CIO和IT外包供應(yīng)商談到了它們對IT外包安全風(fēng)險的看法，并提出了規(guī)避IT外包風(fēng)險的建議。

1.減少核心業(yè)務(wù)外包。根據(jù)調(diào)查，企業(yè)信息泄露的80%來自企業(yè)內(nèi)部，例如來自對公司或領(lǐng)導(dǎo)不滿的員工等。公司在決定IT外包之前，必須確定外包的部分包含的公司數(shù)據(jù)量較少。例如，拉法基瑞安的CIO陳梅女士表示，拉法基將公司的電腦維修業(yè)務(wù)外包。這部分業(yè)務(wù)的工作量比較龐大，包含的信息較少。因此，外包是否會泄露公司信息取決于外包的業(yè)務(wù)內(nèi)容。

2.制定外包工作進(jìn)行期間的規(guī)范，例如，不得攜帶存儲設(shè)備進(jìn)入工作場地等。

3.法規(guī)制約。檢查外包公司是否遵循數(shù)據(jù)隱私法案和特殊行業(yè)法規(guī)，例如薩班斯法案、HIPPA、ISO20007等。

4.技術(shù)保證。檢查外包供應(yīng)商是否具備保障信息安全的技術(shù)條件。

5.公司在選擇外包供應(yīng)商之初，應(yīng)該首先查看外包供應(yīng)商的保密政策，并在外包合同中明確保密協(xié)議和信息泄露后的責(zé)任歸屬。

IT外包的信息安全保障正在被越來越多的公司和CIO們認(rèn)可。AmplITudeResearch的調(diào)查數(shù)據(jù)證明了對外包安全的認(rèn)可：認(rèn)為IT外包對安全有積極影響的比例至少從2009年的24%上升到了2011年的36%，而認(rèn)為有負(fù)面影響的比例從2009年50%下降到了今年的36%。350位來自各公司的CIO和CTO們參與了該調(diào)查。