前言：尋找寫作靈感？中文期刊網用心挑選的企業信息安全簡析(3篇)，希望能為您的閱讀和創作帶來靈感，歡迎大家閱讀并分享。

第一篇：電力企業信息安全等級保護定級

摘要：

隨著現代化社會和工業化技術的不斷發展，信息化也在不斷的發展，其中最為重要并且發展效果最顯著的便是電力行業。在電力行業的發展過程中，電力設計企業是電網合理設計的重要環節，對于開展信息系統安全等級保護工作有著非常重要的意義。本文詳細分析電力設計企業信息安全等級保護定級方式。

關鍵詞：

電力設計企業；信息安全等級；保護定級

隨著我國智能電網的飛速發展以及電力信息的不斷創新，電力設計企業信息系統是否能夠穩定、持續、安全的運行將影響國家的能源系統的有序性，是確保國家發展的根本措施。依據國家與電力行業所開展的信息系統安全等級保護定級工作的實際標準，必須有序完成安全等級保護定級流程、定級對象、侵害程度、安全等級、信息系統備案等一系列項目工作。

1信息安全等級保護簡介

電力設計企業信息安全等級保護主要是指企業法人、國家安全或其他類型的組織、公民享受的信息、公開信息的儲存、傳輸以及處理這些信息的系統分等級實施安全保護。對信息系統當中所可能涉及的信息安全產品實行分等級的管理，對信息系統當中發生信息安全事件實施分等級受理、響應以及處理等綜合性的安全防護工作。

2電力設計企業信息安全等級保護定級

2.1安全等級保護定級方式

信息系統的定級主要是由業務流程的完整性上實行整體化的分析、考慮，其具體的實施步驟為以下幾步：①明確被定級的目標；②明確業務信息安全在遭受破壞后所侵害的客體或對客體形成的傷害程度；③明確業務信息安全的保護等級；④確定系統服務安全在遭受侵害之后對客體或對客體形成的傷害程度；⑤明確系統服務安全的保護等級；⑥由企業、法人或個人明確對定級系統的安全保護等級。

2.2安全保護定級對象

一般情況下，在信息系統分級過程中，應當按照信息系統的狀況，綜合分析信息系統的業務類型、責任單位、內容的重要性以及物理信息等各類型因素對信息系統進行正確的劃分。電力設計企業信息安全等級之間的關聯性，按照配置最佳優化方式、提高系統內部安全防護能力、通信網絡安全防護以及本地使用與傳輸環境安全防護等定級原則，定級的信息系統在業務流程上需要具備較強的獨立性和全面性。按照上述的方式和定級原則，企業基本上可以被確定為以下幾項定級對象：①設計管理的系統主要包含綜合性信息管理系統、三維設計系統、項目管理系統、經營管理系統以及圖檔信息管理系統；②外部信息主要包含郵件信息系統、企業各類型網站信息系統以及VPN網絡信息系統；③營銷、財務經濟狀況管理系統等。

2.3明確受破壞的程度以及客體

對客體的破壞程度對業務信息安全以及系統服務安全的影響，其中系統服務安全主要是保障整個信息系統的完整性、實用性等特點來實施的。業務信息安全主要可以借助完整性、可用性以及隱秘性等來實施。

2.4明確信息系統安全保護等級

信息系統的安全防護等級主要與業務信息的安全防護等級、系統的服務安全保護等級作為主要設立依據，一般情況下以等級較高決定。業務信息、系統服務安全保護等級。除此之外，還需要參考國家所出臺的安全等級保護定級建議，并最終明確各類信息系統的安全保護等級。

3系統備案以及安全等級保護定級變更

3.1系統備案

電力設計企業信息安全系統應當結合使用單位而明確信息系統的安全保護等級之后，制作并填寫相應的備案表，然后向上級部門審核內容，在經過審核批準之后將備案手續備案到公安機關，從而保障安全等級系統在公安部門有備案數據，保障企業利益。

3.2安全等級定級更變

在信息安全系統的工作過程中，信息安全系統的安全保護等級應當隨著信息系統所對應的信息以及相應的業務形式等內容的變化而進行適當的變更，特別是工作狀態變化較大或者變化形式導致業務信息安全或系統服務在遭受破壞之后形成較大影響時，必須要對安全保護等級重新實行相應的等級評定，在重新平定之后，仍然需要向相關公安機關重新申報備案。

4總結

綜上所述，通過對信息系統定級以及備案的分析，能夠清晰的掌握各個信息系統的重要性以及所需要的相應防護等級等信息，這些信息有利于電力設計企業對信息安全等級保護進行更加合理的定級，并實施相應的管理。隨著電力設計企業的不斷發展以及信息技術的不斷創新，信息系統的安全防護等級必然也會隨之而變。對此，就需要相關工作者按照自身的實際工作狀況，結合安全防護以及項目變化狀態不斷的優化、改善安全防護等級，優化防護措施，確保電力系統的安全、穩定、持續運行。

作者：劉宏嶺 汪江 單位：國網石嘴山供電公司

參考文獻:

[1]于穎黎,吳建華,韓永興.淺談電力設計企業信息安全等級保護定級[J].民營科技,2014(9):30-30.

[2]王偉,謝學富,杜志良.一種用于信息系統安全等級保護的定級技術[J].信息安全與技術,2015,6(7)：16-17.

[3]高陽,王曉磊,尹蕊,等.安全技術在電力行業等級保護中的應用[J].中國科技博覽,2014(3):624-624

第二篇：企業信息安全保密意識強化

隨著綜合國力的提高，我國已成為世界矚目的中心。在經濟活躍的大前提下，中國與世界各國發生著密集的信息交往，而各國也都在想方設法獲取我方各類信息情報。在我國企業經濟信息安全領域，竊密與反竊密的爭斗日益激烈、復雜，層次日益提升，形勢日益嚴峻，可以概括為：企業信息竊密無所不在，危害極其嚴重。

一、技術發展速度超乎想象

在20世紀，高技術竊密往往還只是各國家情報部門和間諜人員層級上的專業手段。而現在，隨著信息技術的發展，大數據、智慧地球、移動互聯、云計算等新技術領域業已形成，技術成果得到充分運用，信息存儲和處理日益數字化，網絡空間已成為竊密的新戰場、泄密的新渠道。這種變化，使普通網民都有能力成為高技術竊密者，甚至擁有或超過專業間諜的能力。計算機病毒技術。據俄羅斯反病毒軟件開發商卡巴斯基統計：1994年，他們每小時檢測到1個新病毒；到2006年，每分鐘檢測到1個新病毒；到2011年，每秒鐘檢測到1個；到現在每天可檢測到20多萬個新病毒（每秒鐘約2.4個）。目前，我國有超過24%的U盤被病毒感染。這些病毒既可以依附于軟件，也可以固化在各類硬件之中；既可占用計算資源，影響信息利用，也可以用于盜取各種技術和經濟數據。同時，我們也應當看到，在計算機及其網絡中流行的病毒還并不太可怕，可以利用殺毒軟件進行防治，而真正可怕的是一些組織或集團開發制作的特種用途程序(也可以稱作病毒)，不易發現、難以查殺，平時處于潛伏狀態，一旦啟動，造成的危害和損失不可估量，只有從源頭上抓起才能有效防范。大數據技術。其發展和運用，使信息的獲取、分析能力顯著提高，使過去隱藏在幕后和后臺的行為、信息無處遁形，給國家和企業的商業秘密，以及個人隱私保護帶來嚴峻挑戰。斯諾登曾曝料，像他這樣的技術人員，可以做到在任何地點，鎖定任何被選定的目標實施行動。有過網上購物經歷的人，會有這樣的體會：當你訪問購物網站時，你會發現，網站隨時在向你推送你過去想要的物品。這是因為網站在利用大數據技術，對你的上網偏好、購物喜好自動進行了統計分析，從而有針對性地為你提供服務。這只是大數據技術應用的一個極其簡單的例子。企業工作人員的上網偏好，同樣也可以反映企業關注的重點、發展方向，如果被競爭對手了解到，也可能帶來商業競爭的被動。網絡入侵技術。以往，網絡入侵行為主要通過特殊的軟件和工具，以直接接觸方式，才能滲透到別的計算機或服務器。隨著無線技術的廣泛應用，網絡入侵已突破物理界限，利用安裝在USB和網絡插頭內的間諜設備，可以以其為天線，將目標設備的信號通過無線信號發射到周邊的監測設備；通過無線局域網，可以攻擊安裝Windows和XP操作系統的計算機，遠程激活無線設備并與周圍的設備進行連接，從而突破內外網的物理隔離。

二、監控、竊密的強度不斷加強

世界各主要經濟體的經濟監控活動由來已久且發展迅速。從斯諾登披露的材料看，美國已經建立了全方位、系統化、網絡化的監控系統。在監控手段上，美國已建立了覆蓋全球的信號情報監控網；在監控對象上，既包括針對骨干網絡、產品供應商和服務商的“中間”監控，也包括針對特定對象的“終點”監控；在攻擊對象上，既包括服務器、路由器、基站、防火墻等典型的網絡設備，也包括計算機、打印機、手機等普通用戶的終端。例如，利用“棱鏡”項目，美國政府可以直接訪問微軟、雅虎、谷歌、臉譜、蘋果等美國九大互聯網服務器，獲取郵件、網絡通話、即時信息、視頻會議、存儲的數據等。在強大的技術優勢面前，只要企業或者個人成了關注重點、竊密對象，在互聯網內就沒有秘密可保，也沒有隱私可言。除技術竊密外，各主要經濟體的商業間諜活動也很猖獗，金錢、美色、威逼利誘，無所不用其極，并且往往是直接的、赤裸裸的，對一些意志薄弱的人員很容易奏效，因而也成了獲取商業秘密的重要手段。

三、觀念認知誤區

在企業商業秘密的保護問題上，一些企業工作者的意識中或多或少存在這樣幾種模糊認識，如果不澄清和克服，是非常危險的。其一，誤以為自己不掌握企業核心技術，不參與重大決策，保守秘密與己無關。一條繩子所能承受的拉力，是由應力最小的部分決定的。歷史反復告誡我們，防線往往是從內部突破的。在一個保密防范嚴密的企業，由于核心人員的安全保密觀念強，手段有力，往往不易被攻破。然而，非核心人員卻可能成為獲取核心商業秘密的迂回渠道。企業如不注重全員防范，個人警惕性不高，那些不把保密作為己任的人員，可能會成為竊取企業秘密的工具，被對手所利用。其二，誤以為自己是專家，自己的防范措施無懈可擊。企業在信息安全上盲目自信，或者心存僥幸都是非常危險的。世間沒有攻不破的防護手段，突破防線只是時間和投入問題。真正的高手，是總會有危機感的。企業信息安全工作的攻與防，從來是對立統一的兩個主體，無論你站在哪一方，都要感受到來自另一方的潛在威脅，都要清醒地意識到問題的另一面。越是企業信息專家，越是要更加小心，因為你是技術高手，也就有人希望與你過招；因為你掌握企業的商業秘密，你也就成了竊密的重點。企業要樹立嚴謹科學的防范意識，為企業經濟信息安全打造人防、物防、技防和制度防的綜合防護系統，決不能給蒼蠅留下侵入的縫隙。其三，誤以為寫的材料不標示密級就不屬于秘密。特別是涉及國家秘密的材料，企業工作者們要認識到：是否屬于國家秘密，不是以標示形式確定的，而是以內容是否涉及到國家秘密來確定的。國家秘密范圍是法定的，只要涉及到這些特定的內容，不管你標不標識，它就是秘密。進一步講，定密還分為原始定密和派生定密。通俗地說，原始定密是指所處理的事項和產生的信息都屬原創，但屬于法定的國家秘密范圍的，就需要按照相應密級做出標識，并采取相應的保密措施；派生定密是指引用的內容來自于秘密資料，這就要根據所引用資料的密級和引用的內容來確定新材料的密級，并采取相應的保密措施。因此，無論是摘抄還是復印涉及企業技術和商業秘密資料，或者引用了涉密數據，都應該做出明確標示，一方面是落實保密法規制度，另一方面也是給接觸者一個警示和提醒，讓企業工作人員更好地保管有關材料，防止隨意傳播、丟棄，造成無意泄密。其四，誤以為網絡是法外之地，自己使用的是匿名，在網上干些什么、說些什么都沒人知道。這種認識是完全錯誤的。事實上，在上網時，雖然IP地址的獲取是隨機的，但在某個時段、某個IP地址是何用戶使用的，在服務器中記錄得清清楚楚，網上的任何信息都可以追根溯源，任何行為都會留下電子信息。其五，誤以為信息被刪除了，就真的不存在了。在計算機里，刪除信息通常有兩種方式：一種是直接刪除，并從回收站里清除；另一種是利用粉碎工具粉碎。這兩種方式其實都是可以恢復的。因為前一種只是刪了文件名，后一種只是采取了數據覆蓋的方式，它可以對付一般恢復技術，但對專業人員一點用都沒有。為此，企業應當加強對處理過的技術和商業秘密的存儲介質的管理，決不能因信息清除不徹底而造成泄密。其六，誤以為拔掉網線不上網，處理涉密信息后再拷出來并刪掉就不會泄密。這種認識是不對的，如果計算機或者移動外接設備（移動硬盤、U盤）被植入了專用木馬（習慣上稱為擺渡工具），它就會在使用者毫無察覺的情況下，把涉密信息臨時儲存在計算機內。當你再次上互聯網時，它又會在不知不覺中將這些信息傳到特定的服務器。企業必須加強內網管理，內部網絡設備必須專用，要采取行政和技術手段杜絕在互聯網上交叉使用，以確保內外網的物理隔離。其七，誤以為信息在網上了就是信息公開，也就不涉密了。解密分為兩種，一是按照保密期限或者解密條件解密。定密要確定保密期限或者解密條件，當到期或者解密條件具備后，定密機關或者企業單位沒有異議的，就視為解密。另一種是決定解密，也就是機關、企業單位在決定和處理事項工作中確定需要保密的事項，根據工作需要決定公開的，正式公布即視為解密。這種解密是由原定密機關單位決定的，那種非正式渠道或者非定密機關、企業單位擅自公布的是泄密，而非解密。個人或企業單位擅自轉載會造成秘密在更大范圍內擴散，因此企業官網或者個人轉載信息，要看信息機關和部門是否具備和解密的資格、信息是否權威。

四、幾點建議

1.企業的計算機無論涉密與否都要設密碼。設密碼不是為了防范企業內部人員，而是防止本企業以外的人員利用企業的計算機來胡作非為。如果企業的上網計算機不設密碼，那就等于對網上所有人士開放了最高權限，略懂網絡技術的人就可以隨意訪問企業計算機，調取企業信息資料，或者上傳與企業無關的信息資料，或者把企業的計算機作為跳板，也就是通常所說的“中間機”，對其它計算機發起攻擊，而被攻擊對象一旦發起追溯，這臺“中間機”就成為攻擊者的替罪羊。所以，為了企業信息的自身安全，為了避免可能引起的不必要的麻煩，最好是設上密碼。還要注意：不要用某人的生日來作密碼，這是“撞庫”攻擊最為常用的密碼。

2.企業的涉密計算機和設備堅決不能接入互聯網。這里說的“接入”是指以下兩種行為：一是將企業的涉密計算機直接連接互聯網；二是將企業的涉密設備（如移動硬盤、U盤以及其它具有存儲功能的設備）在企業的涉密計算機和上網聯網的計算機之間交叉使用。如果接入互聯網，便有兩個危害：首先是違規，說得嚴重一點是犯法。我國《保密法》第24條明確規定，不得“將涉密計算機、涉密存儲設備接入互聯網及其它公共信息網絡”。一旦接了，就是違法行為；其次，如果企業的計算機被人控制了，這些信息就可能被人瀏覽、竊走，從而造成泄密。什么是泄密呢？秘密信息失去控制，而又無法證明不被不得知悉的人知悉了，就可以認定為泄密。企業工作人員一旦把帶有企業涉密信息的設備連接到上互聯網的計算機，嚴格來講，這種行為就已經造成了信息失控，認定泄密并不冤枉。

3.傳遞涉密信息要選擇正確的渠道。這里要特別提醒的是：企業不能用普通電子郵件和郵政、快遞傳遞涉密信息或載體。電子郵件的存在背景就是互聯網，是絕對不允許的。但郵局、快遞呢？也是不允許的。企業工作人員一定要注意：傳遞涉密信息，電子方式的要使用專用加密設備；光盤和紙質的信息載體，要么選擇機要交通，要么安排專人傳送，其它途徑都是不允許的，更不允許擅自攜帶涉密載體出國境，或者將涉密信息、載體郵寄或傳遞到國境外。

4.企業處理涉密信息要用專用計算機和存儲介質。企業如需處理涉密信息，就要配備專用計算機、移動硬盤等工具，且確保這些工具只用于處理涉密信息和涉密事項，絕對不能“使用非涉密計算機、非涉密存儲設備存儲、處理國家秘密信息”以及企業重要經濟信息。

5.企業要按規定物理銷毀報廢的涉密載體和設備。企業處理過涉密信息的計算機、移動存儲介質報廢后，要按照企業相關規定，按程序報批后，采取物理銷毀的方式實施銷毀，絕對不能“贈送、出售、丟棄或者改作他用”。

6.企業要組織員工加強《保密法》的學習。5800多字的《保密法》，不僅是我們處理涉密問題的基本依據，更是保護我國企業健康安全發展的護身符。中國企業正在“走出去”，在“一帶一路”以及更加廣闊的國際經濟合作中發揮作用。科學有效地保護企業商業信息，防范企業的專有技術、專利成果、重大商業信息等無形資產不致遭遇風險，特別是把防范工作做在事前，對迅速發展著的中國企業至關重要。企業要積極組織全體員工認真學習《保密法》，從保護企業信息安全的高度出發，樹立新形安全文化意識，加強企業信息安全警示教育，加大信息安全投入，常抓不懈。

作者：尹新建 單位：北京市思想政治工作研究會

第三篇：企業級云服務商信息安全研究

摘要：

文章著重研究了企業在選擇SaaS服務時如何評估服務提供商的安全管理能力，旨在為企業選擇各種SaaS服務時提供參考和指引。

關鍵詞：

云服務；SaaS；安全評估；信息安全

隨著云計算關鍵技術的不斷突破，中國企業級軟件服務化（SoftwareasaService，SaaS）服務市場百花齊放，企業對SaaS服務的認可度進入快速上升的軌道，應用規模迅速擴大。然而，由于我國云計算標準體系尚不完備，保護個人隱私數據的法律法規、市場監管方式有待完善，各公司的SaaS產品的安全性參差不齊，部分SaaS產品存在較大的安全隱患。據易觀智庫2014年度的調查，在影響用戶選擇企業級SaaS服務的因素當中，產品的安全性和可靠性排名第二，比例高達87.2%[1]。為了消除企業對SaaS云服務存在的安全風險顧慮，本文著重研究評估SaaS云服務及提供商的安全管理能力的第二方評估方法，旨在為企業選擇SaaS服務時提供參考和指引。

1用戶主要關注的SaaS服務安全問題

用戶關注的SaaS服務安全問題主要可以分為3類。首先是數據泄露或丟失問題。信息是企業的核心資產，如果發生數據泄露，公司可能遭受巨大損失、巨額罰款，還可能面臨民事訴訟。因此，SaaS軟件中的數據會不會丟失、被竊，會不會發生泄露是企業主要關注的問題之一。其次是云服務中斷問題。企業將關鍵工作負載遷移到云中，云服務僅僅幾分鐘的宕機都可能會極大地損害企業與客戶的關系，而停電、錯誤軟件更新、服務器過載、數據庫錯誤等都有可能導致云服務中斷。最后是云服務可持續性問題。企業投入了大量的資源去學習SaaS軟件、開發接口以實現系統間的集成，一旦云服務商停止對外提供服務將導致之前的系統集成投入歸零。

2從信息安全的視角選擇SaaS服務

企業在選用SaaS服務時應當遵循最基本的底線—職責可以轉移，但責任不可轉移。在簽署SaaS服務協議前應進行盡職調查，可以由IT部門對SaaS服務及提供商的安全管理能力進行評估。進行評估時，應以風險為導向，重點關注數據安全、應用安全，確保“數據不丟、應用不停、持續服務”。其中，“數據不丟”主要評估SaaS服務的租戶身份識別和訪問管理、數據加密管理、日志及審計管理；“應用不停”主要評估云服務數據中心安全、變更和配置管理、安全事件管理及供應鏈管理；“持續服務”主要評估業務連續性管理、公司的穩定性及增長性、可移植性和互操作性。最后，很重要的一點，將對SaaS服務商的服務水平要求、安全管控要求以及責任等落實到合同中。具體來說，企業對SaaS服務及提供商的安全管理能力進行評估時，可參照以下安全域檢查清單進行評估[2]。

（1）風險管理。每種環境都具有某種程度的脆弱性，都面臨一定的威脅，關鍵在于識別這些威脅，評估它們實際發生的可能性以及可能造成的破壞，并采取適當的措施將環境中的風險降低到可接受范圍。企業可以通過查閱服務商的風險管理程序和風險評估報告，判斷云服務商的風險管理能力，例如對云服務風險和殘余風險的可接受級別是否已定義，如何識別、分析威脅和脆弱性對資產的潛在影響，影響分析標準是否可測量、可重復執行，是否定期對SaaS服務運行的硬件和軟件系統進行安全性檢測等。

（2）身份識別和訪問管理。身份識別和訪問控制作為信息安全管理過程中的關鍵環節，在云計算環境下，面臨著惡意的內部人員、不安全的應用程序接口等更復雜的風險。企業可以通過檢查身份認證及訪問控制程序，判斷云服務商的身份識別和訪問控制管理水平。例如在SaaS系統創建租戶初始密碼時是否隨機生成租戶默認密碼，租戶首次登陸系統時是否強制要求修改默認密碼，密碼是否有復雜度要求，能否支持雙因子驗證租戶身份，能否檢測租戶異常登陸并通知等。

（3）數據加密管理。數據是企業的重要資產，云平臺中的數據需要避免出現數據泄露、丟失、被竊等問題。通過加密來保證數據的機密性是云平臺中數據保護的一項最佳實踐，在某些情況下也是某些國家和地區的法律法規所強制要求的。企業可以通過檢查密鑰管理策略及加密管理程序，判斷云服務商的數據保護水平，例如SaaS系統所使用的密鑰能否進行生命周期統一管理，通過瀏覽器訪問SaaS系統時能否支持安全傳輸協議，SaaS系統能否對租戶數據加密，是否使用公開的標準加密算法等。

（4）日志及審計管理。審計工具會記錄用戶的登錄和退出時間、用戶角色、用戶行為等信息。通過全面的系統日志，能及時發現各種安全威脅、異常行為事件，提供事件追責依據。企業可以通過檢查安全審計管理策略，判斷云服務商的安全審計水平，例如SaaS系統是否支持系統管理員、安全管理員、安全審計員三元分立，且系統中沒有同時擁有3種權限的超級管理員，系統日志是否包括系統運行日志、系統管理員操作日志、租戶登陸和使用云資源日志，如何確保日志的非授權刪除、修改，能否支持實時監控收集到的各類日志等。

（5）數據中心安全。數據中心是組織信息系統的核心，通過網絡系統向服務對象提供各種信息服務。與傳統的數據中心相比，在云計算時代的數據中心的對安全的要求也在不斷提高，包括高性能、彈性擴展、可靠性保障、虛擬化和可視化、立體安全防護等要求。企業可以通過檢查數據中心管理策略，判斷云服務商的數據中心管理水平，例如是否24小時持續看管，有沒有部署安防監控系統、門禁系統，是否記錄訪問者的進入和離開日期、時間、進入理由，計算、存儲、內存等資源池有多大，是否簽署特定的服務水平協議（ServiceLevelAgreement，SLA）等。

（6）變更和配置管理。云計算環境下計算資源被不同的組織共享，在帶來便利的同時也增加資源分配的復雜度，如果未合理有序地處置變更請求，將對組織及云服務用戶造成重大影響。企業可以通過檢查變更管理程序，判斷云服務商的變更配置管理水平，例如對現有系統進行升級時，是否已進行變更影響分析，質量測試是否包括的功能測試、兼容性測試及性能測試，新版本的是否采用灰度以實現平滑過渡等。

（7）安全事件管理。云計算按需自服務、資源池化、多租戶等特性將使信息安全事件管理活動更具有直接的挑戰。企業可以通過檢查信息安全事件管理程序，判斷云服務商的信息安全事件管理水平，例如云服務商是否建立了事故響應團隊，能否提供事件響應的歷史記錄并協助查驗，能否提供安全事件響應計劃的測試記錄等。

（8）供應商管理。隨著云計算這種服務模型的應用，IT供應鏈已逐步從產品供應鏈向服務化供應鏈轉變，產品服務化供應鏈管理的核心和關鍵問題是能力管理。企業可以通過檢查供應商評估管理程序，判斷云服務商的供應鏈管理水平，例如能否提供與重要供應商之間的供應鏈協議，與重要供應商之間的供應鏈協議中是否涉及用戶數據保密內容及合作到期后用戶數據處理方式，是否有對與上下游供應鏈之間的SLA進行持續的評審等。

（9）業務連續性管理。業務連續性目的是防止業務活動中斷，保護關鍵業務過程免受信息系統重大失誤或災難的影響，并確保它們的及時恢復。企業可以通過檢查業務連續性計劃來判斷云服務商的業務連續性管理水平，例如查看業務影響分析表，企業的關鍵業務過程和支持性業務過程識別是否清晰，查看業務連續性測試報告，有沒有對測試的結果進行分析和評估，查看數據備份記錄及數據備份恢復測試記錄等。

（10）公司穩定性及增長性評估。這幾年，經常有企業級SaaS服務商倒閉或被收購，公司一旦倒閉停止運營，用戶應用及數據只能遷移或者丟失。企業可以通過調查云服務商的客戶流失率、盈利性以及財務報告等資料判斷云服務商的生存能力。

（11）可移植性和互操作性。如果存在可移植性與互操作性問題，租戶遷移到SaaS環境后，數據被鎖定在云平臺。如果問題得到解決，將增強用戶使用云服務的信心，且可方便用戶進行遷移，因而可移植性與互操作性安全非常重要。企業可以通過檢查云平臺技術來判斷云服務商的可移植性和互操作性水平，例如云服務商的應用程序編程接口是否采用公開的行業標準或國際標準，非結構化數據是否以行業標準向用戶提供等。

（12）服務協議內容。由于SaaS服務商提供了設施、IT系統及應用系統，SaaS服務商不僅負責物理和環境安全控制，還應解決基礎設施、應用和數據相關的安全控制，租戶應該在服務合同中將服務等級、隱私保護、合規性、安全控制等內容進行約定，以確保安全需求在合同層面上是可強制執行的。

（13）第三方安全評估認證。評估SaaS服務信息安全是一項復雜綜合的工作，企業往往不一定能夠執行到所有方面的檢查，此時采信專業的第三方安全評估認證是一個最佳的方式。企業可以選擇通過建立了完整的信息安全管理體系的云服務商，尤其是通過了權威的云安全認證的服務商，如C-STAR、可信云[3]等第三方安全認證。

3結語

信息安全是影響用戶選擇SaaS服務的重要因素，本文向企業提供了評估SaaS服務及提供商的安全管理能力的方法，為企業評估SaaS服務安全提供了參考依據，而當企業不具備完全的評估能力時，建議企業可直接采信主流的第三方云安全評估認證，尤其是通過了諸如C-STAR、可信云等權威評估認證的云安全服務商。

作者：鐘世敏 李堯 高智偉 程廣明 單位：廣州賽寶認證中心服務有限公司

[參考文獻]

[1]易觀國際.中國企業級SaaS市場年度綜合報告[R].中國連鎖，2014（5）：82-83.

[2]趙國祥，劉小茵，李堯，等.云計算信息安全管理—CSAC-STAR實施指南[M].北京：電子工業出版社，2015.

[3]栗蔚.可信云服務安全認證體系[J].電信網技術，2014（4）：5-7.