Quản lý thuê ngoài gia công phần mềm, Thuê ngoài dịch vụ công nghệ thông tin

Khi một hệ thống thông tin được giao cho một hoặc nhiều bên cung cấp dịch vụ, quá trình bảo mật phải đi cùng với việc bảo vệ dữ liệu, cũng như giảm nhẹ tất cả rủi ro bảo mật liên quan tới dự án hoặc dịch vụ công nghệ thông tin.

*Quản lý nguồn lực thuê ngoài về trong ngành CNTT*

Dưới đây là những phạm vi cần được chú ý:
1. Khi chuẩn bị một hợp đồng thuê ngoài dịch vụ, doanh nghiệp nên miêu tả yêu cầu bảo mật thông tin một cách rõ ràng, ví dụ như tất cả các thông tin cá nhân hoặc thông tin nhạy cảm nên được xử lý như thế nào thông qua hợp đồng. Những điều kiện này sẽ hình thành nền móng của hợp đồng và trở thành một thước đo hiệu suất.
2. Hợp đồng thuê ngoài nên bao gồm cả những yêu cầu dành cho tất cả nhân viên trực thuộc bên cung cấp dịch vụ và các nhà cung cấp phải ký vào thoả thuận không tiết lộ thông tin (NDA) với mục đích bảo vệ những thông tin nhạy cảm. Hợp đồng cũng nên bao gồm những thoả thuận về cấp độ dịch vụ (SLAs). SLAs được dùng để định nghĩa những mong muốn trong tương lai đối với những yêu cầu kiểm soát an ninh thông tin, diễn tả được đầu ra, và xác định được những biện pháp khắc phục đối với những trường hợp không tuân thủ hợp đồng. Để định nghĩa rõ hơn về SLAs, hợp đồng nên đưa ra quy trình giải quyết vấn đề và sự cố gồm nhiều bước kiểm soát, để những sự cố đó có thể được giải quyết theo các trình tự được đề ra từ trước với mục đích tối thiểu hoá các tác động gây ảnh hưởng tới cơ quan doanh nghiệp.
3. Khi tìm kiếm nhà cung cấp dịch vụ thuê ngoài công nghệ thông tin, doanh nghiệp nên đảm bảo rằng các nhân viên của nhà cung cấp dịch vụ sẽ được kiểm soát an ninh một cách đầy đủ theo các chính sách bảo vệ thông tin của chính doanh nghiệp đó đề ra, rộng hơn các yêu cầu thông thường (ví dụ như yêu cầu của cơ quan tiền tệ về các khu vực ngân hàng) hoặc những yêu cầu thực tiễn nhất trong ngành. Các công ty cung cấp dịch vụ nên tập trung vào những yêu cầu bảo mật thông tin như vậy và có cùng trách nhiệm bảo mật thông tin như là bảo mật thông nội bộ nhân viên.
4. Sự tuân thủ những quy định về bảo mật thông tin giữa công ty cung cấp dịch vụ và người dùng nên được theo dõi và xem xét tích cực định kỳ. Doanh nghiệp phải đảm bảo có được quyền kiểm soát về những trách nhiệm được nêu trong thoả thuận, và những quyền kiểm soát đó được thi hành bởi một bên thứ 3.
5. Doanh nghiệp nên đảm bảo tính đầy đủ của kế hoạch dự phòng và các quy trình sao lưu được cung cấp bởi nhà cung cấp dịch vụ.
6. Vai trò và trách nhiệm bảo mật của nhà cung cấp dịch vụ, nội bộ nhân viên và những người có liên quan đối với hệ thống thông tin nên được xác định và tạo tài liệu một cách rõ ràng.
7. Cần thiết phải đảm bảo rằng tất cả các dữ liệu được xử lý bởi đội ngũ thuê ngoài cần phải rõ ràng và phân loại đúng cách, và các quyền truy cập chỉ nên được đăng ký khi nó cần thiết đối với hiệu suất công việc của họ hoặc để thực hiện nghĩa vụ của hợp đồng.
8. Mặc dù hệ thống thông tin có thể được thuê ngoài, toàn bộ trách nhiệm pháp lý đối với bất kỳ vi phạm nào về dữ liệu cá nhân hoặc dữ liệu nhạy cảm vẫn hoàn toàn thuôc về doanh nghiệp.

Nguồn : IT Outsourcing Security

Biên dịch: MP Telecom

Tags: IT outsourcing IT Outsourcing Management Thuê ngoài Công nghệ thông tin

Trả lời Hủy