《建设工程协议范本信息安全建设不只是“交钥匙”》由会员分享,可在线阅读,更多相关《建设工程协议范本信息安全建设不只是“交钥匙”(5页珍藏版)》请在金锄头文库上搜索。
1、建设工程协议范本2021信息安全建设不只是“交钥匙” 在其它行业建设中普遍采取的“交钥匙工程”的做法,却不适合用于信息安全建设。采取“婚姻模式”,和专业化信息安全厂商形成长久的战略合作伙伴关系,更有利于信息安全的良性建设。从越狱想到的看完越狱以后,不禁反思一个问题:主人公为何能从层层设防、监控严密的监狱中成功越狱?是她的“越狱”小团体组织建设得很好,还是监狱的管理者太笨?答案其实就在一点:她曾经是这个监狱建设项目中的首席结构工程师,掌握这个监狱全部物理结构、保安设施的全部信息。这个小说对我们信息安全建设有什么启示呢?前面提到了EPC这个专业词汇,EPC为Engineering Procurem
2、ent and Construction或Engineer,Procure and Construct的缩写,可译为“设计采购施工”项目协议,汉字的通俗意思就是“交钥匙工程”。曾几何时,这个词汇在很多行业、尤其是网络数据通信建设领域中很流行。“交钥匙工程”是指承包商实施全部的设计、采购和建造工作,完全负责项目标设备和施工,雇主基础不参加工作,在“交钥匙”时,由承包商提供一个配套完整、能够运行的设施。为何“交钥匙工程”能够在中国大行其道?我们来看看其特点就知道了。简而言之,交钥匙工程对于项目甲方来说有三个优点:1)协议关系简单,组织协调工作量小;2)缩短建设周期;3)利于投资控制。有了这三个经典
3、特点,建设单位能够用之来规避建设风险,回避建设经验及管理经验不足的问题,能够在一定意义上省些事端。多年来,伴随网络应用的发展和信息安全事件的增多,我国网络应用建设发展较快的行业如电信、电力、金融等在新的系统、工程上马的时候,也很重视同时考虑信息安全建设。但在项目实际操作中往往还采取传统的“交钥匙工程“模式,即选择一家较大的系统集成商来总承包,安全计划建设也仅仅是大协议中的一部分,由系统集成商面对安全厂商来统一完成。这种模式是否能够实现用户最初的安全建设目标和期望?以笔者在安全行业的实践经验来看,实际上极难做到,通常的结果是事和愿违。不能“交钥匙”大家会问,为何在其它行业甚至相近的IT网络、应用
4、系统建设中普遍采取的“交钥匙工程”,会不适合用于信息安全建设,莫非信息安全建设有什么特殊性?不错,信息安全建设确实有其特殊性。安全是自己的事情,信息安全亦是如此,这是安全的本源。对于IT网络、应用建设能够采取“交钥匙工程”,是因为不论网络建设还是应用建设,最终全部能够进行很好的完工验收。信息安全建设验收工作却不轻易在一个短的时间段中进行有效度量。安全建设的最大绩效是不出事,然而,一出事就是大事。而且出了安全事故,怎样界定是否是系统集成商的问题,这也是一个难点。同时,信息安全是一个很重视专业化、系统化的领域。在系统集成商眼里,网络组成就如同积木,无非是依据用户的要求怎么搭,已经形成模式化了,它们
5、采取的是“脆弱性安全”理念,开出的方子是“头痛医头、脚痛医脚”,根本无法确保长远利益。而真正的信息安全厂商要用结构化的思维来设计结构性的安全,从人员管理到后期维护,方方面面全部要包括到,安全才可能有连续性的保障。最终还有一点,也是承接“交钥匙工程”系统集成商不愿意说明的:从用户总投资来看,安全只是其整体工程的一小部分。同时,因为系统集成商已经有规模化供给链做确保,因此网络、应用建设搞的越复杂,投入百分比越高,其商业利润就越高。回到越狱的启示来看,整个网络结构、应用系统管理和安全方法全部高度集中,而系统集成商的人员流动性比较大,假如一旦因为“交钥匙工程”的关键人员泄密或内控方法没有做好,就如同把
6、鸡蛋放到一个篮子中,其风险可想而知。实际上,很多安全事件全部所以而发生。因此说,信息安全建设不能够采取“交钥匙工程”,因为信息安全的钥匙根本不在系统集成商手中。信息安全的良性建设思绪信息安全建设对于用户关键网络、关键系统来说,不妨采取“婚姻模式”。双方能够形成长久的战略合作伙伴关系,用户站在专业化信息安全厂商角度来思索其利益,而专业化信息安全厂商也站在长远的用户利益角度来考虑。网络、应用建设仍然能够采取“交钥匙工程”给系统集成商,而安全从整个工程中独立出来,三方也能够形成一个制衡的稳态关系。详细步骤以下:在项目计划时期,作为信息安全厂商的专业人员就要参加其中,和用户需求方、系统集成顾问一起讨论
7、整体计划思绪,充足沟通后达成一致,确保信息系统建设和安全建设的统一性、完整性。在项目招投标时期,能够分别发出集成包和安全包,吸引有实力的信息安全产品提供商或服务商参加,而且系统集成商和信息安全厂商在这个时候为了确保项目标中标成功率,能够自主选择联合作战,形成多元化、创新性、完整的商务、技术方案,实现良性竞争,择优录用。在项目工程实施和验收时期,在用户协调和协议约束下,中标的系统集成商和信息安全厂商能够相互监督、分清责任,以后有问题能够很清楚地域分是系统维护问题还是安全建设不足问题。在项目维护时期,三方全部能够站在自己的角度来总结得失和建设成效,发掘新的需求,推进用户的网络、应用和安全向更高层次
8、发展,取得最大投资回报。在理清思绪后,怎样选择适宜的信息安全建设合作伙伴,是一个需要好好斟酌的话题。有多个关键点能够辅助用户作出判定,同时也轻易实际操作:1.不妨请信息安全厂商的CEO或董事长来谈谈其企业的整体战略发展方向,看看其是一个纯粹的商人还是一个好的合作伙伴。2.要关键考察这个厂商的整体组织结构,是否有专门的安全产品、服务管理部门,能够问询一下其整体的产品计划思绪和三年来的落地实施情况。3.了解一下这个厂商的自主研发投入百分比,有没有自主创新的结果,假如是OEM国外的,一定要小心了。同时,一定要看这个厂商有没有一批以攻防技术为关键的安全研究人员和团体。没有这么的团体作为保障,只能是一个软件开发企业而不是专业的信息安全企业。4.调查一下这个信息安全厂商是否把给用户宣讲的理论用于自己的内部安全管理中。如:内部有没有发生过重大安全事件,怎样应急处理?有没有把自己研发的安全产品放到系统中来,利用了多长时间?5.最终,看看相关政府部门和同行业对该厂商的评价怎样,有没有详细的案例,成功的要了解,失败的更要关键分析一下。信息安全建设是一个长线的事情,失败一次不可怕,怕的是一错再错,还不知道问题出在哪里。假如说,信息安全建设一定要有“交钥匙工程”,那么其实并不是只有一把钥匙,用户手中有一把,专业信息安全合作伙伴手中也有一把,只有两把钥匙完全匹配,同时使用,才能打开信息安全的智慧之门。
