信息科技风险管理，信息科技风险管理指引

大家好，今天小编关注到一个比较有意思的话题，就是关于信息科技风险管理的问题，于是小编就整理了2个相关介绍信息科技风险管理的解答，让我们一起看看吧。

公司想将it这块外包出去，又怕公司的信息数据被泄露，哪位回答我一下外包安不安全？

不安全，就算不是外包，完全自主掌控的话，也不安全。

我认为 IT 的安全可以分成这么几个部分：

数据泄露：比如公司有一些敏感数据的话，是万万不能泄露出去的，比如客户信息，包括客户的姓名、证件号、手机号、家庭住址等等；再比如一些订单信息，甚至每天的订单量，这些都是公司的商业机密。

数据丢失：这里的丢失不是被拷走的意思，而是数据被删除，不能恢复的意思。

代码泄露：有些人可能认为代码泄不泄露也没啥影响，觉得咱们写的大部分项目都是增删查改，没有什么可保密的；抛开一些值得进行保护的代码，一般项目的代码泄露，可能会导致数据库配置的泄露，同样会威胁到数据的安全；已经发生过很多次，开发人员直接将单位的代码上传到网上公开的代码托管平台，导致数据库配置泄露，被不法分子利用。

那么回到题目，想将 IT 外包出去，又担心公司信息泄露，我建议可以这样做：

从事软件开发多年，对于软件这块还是不太建议外包的方式，外包虽然是一种非常快速的让那个企业拥有产品的一种方式，但是外包隐患还是非常巨大，特别是一些规模不是很大的外包公司，本身里面人员就不太稳定，如果出现一个问题很可能当初的代码和相关的技术场景都很难还原，但是外包行业还是存在很大的市场，外包是能够解决这么一种场景需要一种定制化的产品，但本身在资金或者人员配置不够，为了业务的需要还要去做，于是找到外包公司给完成，本来是一种双赢的工作，但因为软件技术开发的特殊性还是会遗留很多问题。

外包里面到底有多深的水

如果条件允许的情况下，还是建议找正规外包公司，虽然费用贵点起码品质能够保证。像华为很多项目都是外包来完成，品质也是能够保证，主要原因华为公司平台比较强，能够源源不断拿到大的订单，所以配套的外包公司重视程度也会不一般，所以在质量以及售后的保障上都能跟得上，哪个外包公司敢得罪华为这个金主，到了这种性质的外包质量还是非常可靠的，而且很多给华为做外包的企业员工，在做完这个项目之后就加入华为公司了，外包公司属于弱势一方。

如果真的需要项目的外包还是建议找正规一点的外包企业，这样在后期维护方面还能跟得上，小的外包公司风险相对会比较大。

小的外包公司风险较大。小的外包公司相对来讲价位会便宜一些，功能的修改也会更加随意一点，但是由于人员的配备问题，在初期功能完善的非常快，关键是后期需要增加新的功能时候，售后很可能跟不上，而且经常遇见之前主要的开发者已经离职的情况，新的技术人员又不了解情况，毕竟软件类的产品，需要更新修改的地方还是相当多，不是简单的一锤子买卖。有些外包公司为了补加额外的功能费用，还会对服务器上做一些手脚，让一些基本的功能不能正常的运转，这种情况在实际开发过程中遇见过，所以外包软件开发如果不是必须不建议去做。

当然不能简单的认为所有的外包公司都不好，很多外包还是服务非常到位，主要这个行业参差不齐很容易就被各种浑水给搅和了，里面欺生的现象太严重，仗着对方不明白在里面做了很多不光彩的事情，甚至还出现极限的删库问题，只要是外包很多数据肯定是暴露出来了，这种是无法避免的，所以很多企业在外包公司完成之后就开始修改服务器的密码。

如果真是到了必须请外包的地步，建议选择公司大点的企业，而且在合同条款要明确清楚，毕竟软件外包产品后期维护的可能性非常大，不要觉得做完了万事大吉了。很多做外包的程序员做不了几年就转行找个有自己产品的公司，开始新的征程了毕竟外包公司给人的感觉还是没有成就感，希望能够帮到你。

我不做外包，但从一个长期合作伙伴以及自己公司的使用外包的情况，说一下吧

IT外包在我们公司很正常，我们公司是外企，全球的IT都外包。他们有驻场的，也有远端集中的服务中心。我们公司也会有人衔接外包公司，包括所有IT外包期间的项目和运维。员工信息外泄，觉得好像没有什么防范。不过公司内部的客户信息，项目信息，商务上的文件和数据倒是有很严格的规范，权限管理还是很严的。就算员工也只能找到和自己相关的信息的授权，其他依赖系统。就连邮件系统都是使用微软的云端的outlook。

我觉得我们公司是极度相信大企业提供的IT服务。

我们的一个长期合作的伙伴是一家国企，他的IT是使用人力外包的方式从外包公司雇人驻场服务，少量自己公司的员工，大量的外包人员。感觉上还是很多漏洞，部分敏感的信息的归自己员工负责，其他都交给外包的人。外包公司的人员流动虽说不频繁，但工资待遇和正式员工还是有差距，活又多又累，人还是浮躁的。对于这家企业，也习惯了，活只要有人干，流动就流动吧。

信息外泄也是他们头等大事，现在也在出台很多规范补漏。随机突击检查，定期扫描，CCTV监控，完善门禁登记等。搞到最后，总要在效率和严防之间有一个取舍？

本人从事金融软件工作，就结合自己的工作来谈谈楼主对it外包的数据泄密风险问题。就拿我们公司的系统来说，以前几乎90%都是通过外包公司开发的，这几年随着金融科技的高速发展，科技人才队伍不断壮大，系统自主可控率才逐步提升。但仍有相当多的系统仍然依赖外包公司来开发，今天就从以下几个方面来谈谈外包对信息安全的影响：

1、人力外包模式，俗称的“卖人头”。这种模式基本外包公司就是提供人头，结算以人力投入为依据，说白了就是外包公司一个月在甲方投入多少人力，就拿多少钱，具体外包人员干什么活，完全由甲方安排。这种模式的外包合作，个人认为对信息数据的保护还是存在比较大的风险的，因为外包公司无法直接管控到每个外包人力的工作内容，而甲方大部分也仅仅是分配任务，对外包人力的管理存在局限性，也仅仅只能靠规章制度来约束外包人力。

2、项目外包模式。这种模式一般就是将整个项目打包给外包公司完成，外包公司一般都有成熟的产品，在现有产品基础上结合客户需求进行改造，同时项目会配备完善的项目管理，组建项目组，项目经理对整个项目负责，能有效的降低数据泄密的风险。

3、不管是人力外包还是项目外包，当前软件开发的模式大部分都要求进驻甲方的办公场所，而且一般甲方会提供办公设备或开发终端，在安全部门的严格监督下，数据一般都是只进不出，从技术上提供了防止数据泄露的保障。

4、生产环境的信息数据才有利用价值，而外包人员一般很难能直接从生产环境提取到信息数据，哪怕要提取也要经过一道道的程序，很容易被发现。

5、如果担心外包引起信息数据泄露，那在与外包合作的合同上明确权责，这样出现了泄露事件，可以第一时间对外包公司进行追责，外包公司也就会更加重视信息安全。

信息安全关乎每个人的切身利益，大家务必重视！！！

我做外包的。

安全是相对的。一般前期外包，运营起来后自己招人开发，基本用的到原来的数据，很多东西都是累计叠加的。

再者，外包公司靠谱不靠谱不在于会不会卖你东西。而是能不能保障产品开发推进的进度。会不会撂挑子半途跑路。

相对于外包和自建团队，外包公司比员工还是靠谱点。毕竟公司和个人承担责任不一样。谁能保证自己的技术不会吃里扒外？

黑科技具体指什么？

谢邀！“黑科技”一词出自轻小说《全金属狂潮》，本意是人类现阶段还没有办法实现的科学技术，同时这些技术已经有一定的理论基础，并非仅存在幻想之中，有实现的可能性或者已经被部分实现。后来被小米引用到手机行业当中，泛指一些比较酷炫且实用的新技术，比如高性能处理器、快速充电等。不过目前手机行业的“黑科技”只是一种夸张的宣传首发，现在所谓的“黑科技”还远远没有达到应有的高度。我个人认为，就手机产品而言以下几种技术才能称为“黑科技”：

1、屏下摄像头。现在智能手机广泛使用“刘海屏”、“水滴屏”、“升降摄像头”等外观设计，一个重要的原因就是“全面屏”手机没有太多的空间容纳前置摄像头。所以不少手机厂商都在研发“屏下摄像头”技术，也就是把前置摄像头埋在屏幕下方，不拍照的时候它就是一块屏幕，拍照的时候屏幕变得完全透明，因此不会影响成像效果。

今年早些时候OPPO、小米曾经宣传过屏下摄像头技术，OPPO甚至还在MWC 2019上海中展示了屏下摄像头的真机。不过现在屏下摄像头还存在一定的技术难度。比如屏幕覆盖摄像头的部分会存在明显的色差，由于屏幕不能完全透明，影响拍照效果等。因此现阶段的屏下摄像头技术并不实用。尽管如此，由于屏下摄像头是实现全面屏手机的前置条件，所以这项技术仍然受到广泛的关注。

2、柔性折叠屏。从2014年开始，三星就推出了“柔性屏”的概念，这种屏幕最大的特点就是可以完全甚至折叠，普通尺寸的手机通过折叠屏，展开之后就变成大尺寸的平板。因此这项技术也被视作是未来手机的进化方向之一，属于“黑科技”的一种。

虽然今年三星、华为都推出了各自的折叠屏手机，但是仍然存在一定的缺陷。比如三星折叠屏手机Fold由于外屏采用了塑料的材质，所以非常脆弱，人的指甲都可以在屏幕表面留下划痕，因此并不实用。华为折叠屏手机Mate X尚未开卖，但也会存在中缝折痕等问题。这是因为现在OLED屏幕虽然实现了折叠了，但用来保护屏幕的玻璃却无法折叠，同时又找不出一种可以代替玻璃，同时又足够坚韧的材料作为外屏。可见这种基础材料突破，往往才是实现“黑科技”的重要条件。

3、大容量电池。现在限制智能手机和便携电子产品性能的一个主要原因就是电池的续航不足，现在即使配备5000mAh电池的手机，续航时间也只有两到三天。电池更小的智能手表甚至用1天就得充电。现在流行的“电动汽车”，也因为电池的续航问题，迟迟无法普及。大名鼎鼎的特斯拉电动汽车的电池实际上是用数千枚小型锂离子聚合物组合起来的，技术含量并不高。

其实智能手机常用的锂离子聚合物电池已经十几年没有突破了，现有的升级只不过是小修小补，并没有根本上的改变。目前各大科技企业都在研究硫锂电池和锂空气电池，这类“黑科技”有望大大延长智能手机和电动汽车的续航时间。

黑科技是在《全金属狂潮》中登场的术语，原意指非人类自力研发，凌驾于人类现有的科技之上的知识，引申为以人类现有的世界观无法理解的猎奇物。黑科技是指远超越现今人类科技或知识所能及的范畴，缺乏目前科学根据并且违反自然原理的科学技术或者产品。黑科技没有科学依据但很厉害又挂着科技名义，用起来和魔法一样的东西，如高达的GN粒子，星际的幽能。通常情况下，当前人类无法实现或根本不可能产生的技术或者产品统称为“黑科技”，其标准是不符合现实世界常理以及现有科技水平。如政府未公开的科技，像SARS AIDS（HIV）之类以及其变种。也有引申指现实中某些超乎寻常厉害的事或物。如ACGN中，为使剧情合理化而空想出的科学技术，这些技术大多没有理论根据。另网络新名词 也指一切“不明觉厉”的新硬件、新软件、新技术、新工艺、新材料。例如 “盘点中国让世界为之色变的十大黑科技：只能说太强了”“三星黑科技:一块芯片=3GB内存+32GB存储+控制器"

到此，以上就是小编对于信息科技风险管理的问题就介绍到这了，希望介绍关于信息科技风险管理的2点解答对大家有用。