




已阅读5页,还剩2页未读, 继续免费阅读
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
建设工程合同范本XX【信息安全建设不只是“交钥匙”】 在其他行业建设中普遍采用的“交钥匙工程”的做法,却不适用于信息安全建设。采用“婚姻模式”,与专业化信息安全厂商形成长期的战略合作伙伴关系,更有利于信息安全的良性建设。 从越狱想到的 看完越狱之后,不禁反思一个问题:主人公为什么能从层层设防、监控严密的监狱中成功越狱?是他的“越狱”小团队组织建设得非常好,还是监狱的管理者太笨?答案其实就在一点:他曾经是这个监狱建设项目(应该是个EPC工程)中的首席结构工程师,掌握这个监狱全部物理结构、保安设施的所有信息。 这个故事对我们信息安全建设有什么启示呢? 前面提到了EPC这个专业词汇,EPC为Engineering Procurement and Construction或Engineer,Procure and Construct的缩写,可译为“设计采购施工”项目合同,中文的通俗意思就是“交钥匙工程”。曾几何时,这个词汇在很多行业、特别是网络数据通信建设领域中非常流行。“交钥匙工程”是指承包商实施所有的设计、采购和建造工作,完全负责项目的设备和施工,雇主基本不参与工作,在“交钥匙”时,由承包商提供一个配套完整、可以运行的设施。 为什么“交钥匙工程”能够在中国大行其道?我们来看看其特点就知道了。简而言之,交钥匙工程对于项目甲方来说有三个优点: 1)合同关系简单,组织协调工作量小; 2)缩短建设周期; 3)利于投资控制。 有了这三个典型特点,建设单位可以用之来规避建设风险,回避建设经验及管理经验不足的问题,可以在一定意义上省些事端。 近年来,随着网络应用的发展以及信息安全事件的增多,国内网络应用建设发展较快的行业如电信、电力、金融等在新的系统、工程上马的时候,也非常注重同步考虑信息安全建设。但在项目实际操作中往往还采用传统的“交钥匙工程“模式,即选择一家较大的系统集成商来总承包,安全规划建设也仅仅是大合同中的一部分,由系统集成商面对安全厂商来统一完成。这种模式是否能够实现客户最初的安全建设目标和期望?以笔者在安全行业的实践经验来看,事实上很难做到,通常的结果是事与愿违。 不能“交钥匙” 很多人会问,为什么在其他行业甚至相近的IT网络、应用系统建设中普遍采用的“交钥匙工程”,会不适用于信息安全建设,难道信息安全建设有什么特殊性? 不错,信息安全建设确实有其特殊性。安全是自己的事情,信息安全亦是如此,这是安全的本源。对于IT网络、应用建设可以采用“交钥匙工程”,是因为无论网络建设还是应用建设,最后都可以进行很好的竣工验收。信息安全建设验收工作却不容易在一个短的时间段中进行有效度量。安全建设的最大绩效是不出事,然而,一出事就是大事。而且出了安全事故,如何界定是否是系统集成商的问题,这也是一个难点。 同时,信息安全是一个非常注重专业化、系统化的领域。在系统集成商眼里,网络组成就如同积木,无非是根据用户的要求怎么搭,已经形成模式化了,它们采用的是“脆弱性安全”理念,开出的方子是“头痛医头、脚痛医脚”,根本无法保证长远利益。而真正的信息安全厂商要用结构化的思维来设计结构性的安全,从人员管理到后期维护,方方面面都要涉及到,安全才可能有持续性的保障。 最后还有一点,也是承接“交钥匙工程”系统集成商不愿意说明的:从用户总投资来看,安全只是其整体工程的一小部分。同时,由于系统集成商已经有规模化供应链做保证(如网络设备、服务器等),所以网络、应用建设搞的越复杂,投入比例越高,其商业利润就越高。 回到越狱的启示来看,整个网络结构、应用系统管理和安全措施都高度集中,而系统集成商的人员流动性比较大,如果一旦由于“交钥匙工程”的核心人员泄密或内控措施没有做好,就如同把鸡蛋放到一个篮子中,其风险可想而知。事实上,许多安全事件都因此而发生。所以说,信息安全建设不可以采用“交钥匙工程”,因为信息安全的钥匙根本不在系统集成商手中。 信息安全的良性建设思路 信息安全建设对于客户关键网络、关键系统来说,不妨采用“婚姻模式”。双方可以形成长期的战略合作伙伴关系,客户站在专业化信息安全厂商角度来思考其利益,而专业化信息安全厂商也站在长远的客户利益角度来考虑。网络、应用建设依然可以采用“交钥匙工程”给系统集成商,而安全从整个工程中独立出来,三方也可以形成一个制衡的稳态关系。具体步骤如下: 在项目规划时期,作为信息安全厂商的专业人员就要参与其中,和客户需求方、系统集成顾问一起讨论整体规划思路,充分沟通后达成一致,保证信息系统建设和安全建设的统一性、完整性。 在项目招投标时期,可以分别发出集成包和安全包,吸引有实力的信息安全产品提供商或者服务商参与,而且系统集成商和信息安全厂商在这个时候为了保证项目的中标成功率,可以自主选择联合作战,形成多元化、创新性、完整的商务、技术方案,实现良性竞争,择优录用。 在项目工程实施和验收时期,在客户协调和合同约束下,中标的系统集成商和信息安全厂商可以互相监督、分清责任,以后有问题可以很清楚地区分是系统维护问题还是安全建设不足问题。 在项目维护时期,三方都能够站在自己的角度来总结得失和建设成效,发掘新的需求,推动客户的网络、应用和安全向更高层次发展,取得最大投资回报。 在理清思路后,如何选择合适的信息安全建设合作伙伴,是一个需要好好斟酌的话题。有几个关键点可以辅助客户作出判断,同时也容易实际操作: 1.不妨请信息安全厂商的CEO或董事长来谈谈其公司的整体战略发展方向,看看其是一个纯粹的商人还是一个好的合作伙伴。 2.要重点考察这个厂商的整体组织结构,是否有专门的安全产品、服务管理部门,可以询问一下其整体的产品规划思路以及三年来的落地执行状况。 3.了解一下这个厂商的自主研发投入比例,有没有自主创新的成果,如果是OEM国外的,一定要小心了。同时,一定要看这个厂商有没有一批以攻防技术为核心的安全研究人员和团队。没有这样的团队作为保障,只能是一个软件开发公司而不是专业的信息安全公司。 4.调查一下这个信息安全厂商是否把给客户宣讲的理论用于自己的内部安全管理中。如:内部有没有发生过重大安全事件,如何应急处理?有没有把自己研发的安全产品放到系统中来,运用了多长时间? 5.最后,看看相关政府部门以及同行业对该厂商的评价如何,有没有具体的案例,成功的要了解,失败的更要重点分析一下。信息安全
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 水族馆展示缸打蜡保护与清洁协议
- 高端写字楼租赁及综合服务合同范本
- 知识产权纠纷调解与保密合同
- 重庆社区考试试题及答案
- 2025年首脑礼仪考试题及答案
- 土木专业测试题及答案解析
- 幼教专业即兴面试题及答案
- 刘馨教授解读指南健康领域
- SMT设备工程师述职报告
- 急性坏死性肠炎患儿护理要点
- 2022年安康市交通建设投资集团有限公司招聘笔试试题及答案解析
- 煤矿井下电气设备防爆检查知识课件
- 华为TaiShan200-X6000服务器技术白皮书
- 地质勘查单位安全检查表-(修订本)
- 解读《义务教育体育与健康课程标准(2022年版)》2022年体育与健康新课标专题PPT
- GB∕T 40853.1-2021 高频感性元件 电特性及其测量方法 第1部分:纳亨级片
- 建筑识图题库及答案
- 氨基酸溶解性(共1页)
- GDX2包装机组工艺流程简介
- 张家口至涿州公路张家口段(含连接线)建设项目水资源论
- 异质结TCO设备:RPD与PVD比较分析(2021年).doc
评论
0/150
提交评论