建设工程合同范本XX【信息安全建设不只是“交钥匙”】

建设工程合同范本XX【信息安全建设不只是“交钥匙”】 在其他行业建设中普遍采用的“交钥匙工程”的做法,却不适用于信息安全建设。采用“婚姻模式”,与专业化信息安全厂商形成长期的战略合作伙伴关系,更有利于信息安全的良性建设。 从越狱想到的 看完越狱之后,不禁反思一个问题:主人公为什么能从层层设防、监控严密的监狱中成功越狱?是他的“越狱”小团队组织建设得非常好,还是监狱的管理者太笨?答案其实就在一点:他曾经是这个监狱建设项目(应该是个EPC工程)中的首席结构工程师,掌握这个监狱全部物理结构、保安设施的所有信息。 这个故事对我们信息安全建设有什么启示呢? 前面提到了EPC这个专业词汇,EPC为Engineering Procurement and Construction或Engineer,Procure and Construct的缩写,可译为“设计采购施工”项目合同,中文的通俗意思就是“交钥匙工程”。曾几何时,这个词汇在很多行业、特别是网络数据通信建设领域中非常流行。“交钥匙工程”是指承包商实施所有的设计、采购和建造工作,完全负责项目的设备和施工,雇主基本不参与工作,在“交钥匙”时,由承包商提供一个配套完整、可以运行的设施。 为什么“交钥匙工程”能够在中国大行其道?我们来看看其特点就知道了。简而言之,交钥匙工程对于项目甲方来说有三个优点: 1)合同关系简单,组织协调工作量小; 2)缩短建设周期; 3)利于投资控制。 有了这三个典型特点,建设单位可以用之来规避建设风险,回避建设经验及管理经验不足的问题,可以在一定意义上省些事端。 近年来,随着网络应用的发展以及信息安全事件的增多,国内网络应用建设发展较快的行业如电信、电力、金融等在新的系统、工程上马的时候,也非常注重同步考虑信息安全建设。但在项目实际操作中往往还采用传统的“交钥匙工程“模式,即选择一家较大的系统集成商来总承包,安全规划建设也仅仅是大合同中的一部分,由系统集成商面对安全厂商来统一完成。这种模式是否能够实现客户最初的安全建设目标和期望?以笔者在安全行业的实践经验来看,事实上很难做到,通常的结果是事与愿违。 不能“交钥匙” 很多人会问,为什么在其他行业甚至相近的IT网络、应用系统建设中普遍采用的“交钥匙工程”,会不适用于信息安全建设,难道信息安全建设有什么特殊性? 不错,信息安全建设确实有其特殊性。安全是自己的事情,信息安全亦是如此,这是安全的本源。对于IT网络、应用建设可以采用“交钥匙工程”,是因为无论网络建设还是应用建设,最后都可以进行很好的竣工验收。信息安全建设验收工作却不容易在一个短的时间段中进行有效度量。安全建设的最大绩效是不出事,然而,一出事就是大事。而且出了安全事故,如何界定是否是系统集成商的问题,这也是一个难点。 同时,信息安全是一个非常注重专业化、系统化的领域。在系统集成商眼里,网络组成就如同积木,无非是根据用户的要求怎么搭,已经形成模式化了,它们采用的是“脆弱性安全”理念,开出的方子是“头痛医头、脚痛医脚”,根本无法保证长远利益。而真正的信息安全厂商要用结构化的思维来设计结构性的安全,从人员管理到后期维护,方方面面都要涉及到,安全才可能有持续性的保障。 最后还有一点,也是承接“交钥匙工程”系统集成商不愿意说明的:从用户总投资来看,安全只是其整体工程的一小部分。同时,由于系统集成商已经有规模化供应链做保证(如网络设备、服务器等),所以网络、应用建设搞的越复杂,投入比例越高,其商业利润就越高。 回到越狱的启示来看,整个网络结构、应用系统管理和安全措施都高度集中,而系统集成商的人员流动性比较大,如果一旦由于“交钥匙工程”的核心人员泄密或内控措施没有做好,就如同把鸡蛋放到一个篮子中,其风险可想而知。事实上,许多安全事件都因此而发生。所以说,信息安全建设不可以采用“交钥匙工程”,因为信息安全的钥匙根本不在系统集成商手中。 信息安全的良性建设思路 信息安全建设对于客户关键网络、关键系统来说,不妨采用“婚姻模式”。双方可以形成长期的战略合作伙伴关系,客户站在专业化信息安全厂商角度来思考其利益,而专业化信息安全厂商也站在长远的客户利益角度来考虑。网络、应用建设依然可以采用“交钥匙工程”给系统集成商,而安全从整个工程中独立出来,三方也可以形成一个制衡的稳态关系。具体步骤如下: 在项目规划时期,作为信息安全厂商的专业人员就要参与其中,和客户需求方、系统集成顾问一起讨论整体规划思路,充分沟通后达成一致,保证信息系统建设和安全建设的统一性、完整性。 在项目招投标时期,可以分别发出集成包和安全包,吸引有实力的信息安全产品提供商或者服务商参与,而且系统集成商和信息安全厂商在这个时候为了保证项目的中标成功率,可以自主选择联合作战,形成多元化、创新性、完整的商务、技术方案,实现良性竞争,择优录用。 在项目工程实施和验收时期,在客户协调和合同约束下,中标的系统集成商和信息安全厂商可以互相监督、分清责任,以后有问题可以很清楚地区分是系统维护问题还是安全建设不足问题。 在项目维护时期,三方都能够站在自己的角度来总结得失和建设成效,发掘新的需求,推动客户的网络、应用和安全向更高层次发展,取得最大投资回报。 在理清思路后,如何选择合适的信息安全建设合作伙伴,是一个需要好好斟酌的话题。有几个关键点可以辅助客户作出判断,同时也容易实际操作: 1.不妨请信息安全厂商的CEO或董事长来谈谈其公司的整体战略发展方向,看看其是一个纯粹的商人还是一个好的合作伙伴。 2.要重点考察这个厂商的整体组织结构,是否有专门的安全产品、服务管理部门,可以询问一下其整体的产品规划思路以及三年来的落地执行状况。 3.了解一下这个厂商的自主研发投入比例,有没有自主创新的成果,如果是OEM国外的,一定要小心了。同时,一定要看这个厂商有没有一批以攻防技术为核心的安全研究人员和团队。没有这样的团队作为保障,只能是一个软件开发公司而不是专业的信息安全公司。 4.调查一下这个信息安全厂商是否把给客户宣讲的理论用于自己的内部安全管理中。如:内部有没有发生过重大安全事件,如何应急处理?有没有把自己研发的安全产品放到系统中来,运用了多长时间? 5.最后,看看相关政府部门以及同行业对该厂商的评价如何,有没有具体的案例,成功的要了解,失败的更要重点分析一下。信息安全