叶　锴， 喻义勇， 叶　兵， 王丽媛

(南京市环境监测中心站，南京　210013)

· 环境监测 ·

浅议环境监测信息化项目服务外包的安全管理

叶锴， 喻义勇， 叶兵， 王丽媛

(南京市环境监测中心站，南京210013)

信息化项目服务外包在促进环境监测行业信息化建设发展的同时，也给该行业的信息安全也带来了风险。本文对监测行业信息化项目服务外包现状进行了阐述，分析了监测信息化项目服务外包存在的风险，并对避免风险的防范措施进行了探讨。

环境监测; 信息化; 服务外包; 安全管理

随着环境监测领域的不断拓宽以及信息技术与监测业务的不断融合，监测行业对于信息化项目的需求也在逐步扩大，加之监测行业对监测数据的准确性、规范性要求较高，对数据挖掘和信息提取的需求较大，因此对于信息化项目的依赖性也在不断增加，这就从客观上加大了信息技术在环境监测行业中的推进力度。另外基于信息技术本身，环境监测业务信息系统建设的复杂性，以及信息系统依赖的软硬件环境运维的系统性，仅仅依靠监测行业自身的信息管理部门是不科学也是不现实的，为了避免信息化项目建设和运维工作成为监测行业提高工作效率、增进管理水平的制约因素，积极引入服务外包机制已成为保证监测行业信息化项目快速健康发展的必要手段，也是监测行业信息化建设的必然趋势。

1　项目服务外包的现状

目前环境监测信息化项目服务外包已成为监测行业摆脱繁琐的信息化工作，专注核心业务，提高服务质量，降低服务成本的有效手段。南京市环境监测中心站(以下简称南京站)信息化项目服务外包经历了多年的探索，已初步建立了相应的工作机制，主要集中在几个方面，管理方面，聘请专业的信息技术服务机构协助制定信息化建设规划及方案，评估信息安全风险、咨询和监理信息工程项目等；硬件方面，要求承包方派驻工程师驻点提供终端PC、服务器、存储系统、网络设备和UPS备用电源等日常维护和运行保障服务，同时协助开展网络架构设计、虚拟化结构完善和数据库异地容灾备份等；软件方面，遵循“谁建设、谁运维”的原则，要求承包方除了做好通用软件的升级维护外，还要做好业务信息系统设计、开发与集成，数据信息分析、挖掘和处理等建设后的运维工作。

2012年～2014年，南京站在网络硬件维护方面年维护量均在1千件次以上；软件维护方面涉及行政办公(门户及OA)、实验室信息管理(LIMS)、污染源在线监测、环境质量自动监测、环境应急监测等所有业务系统，3年来这些系统承载的数据总量已达到1亿余条，具体见下表。

表1　南京站各业务信息系统数据承载量统计

注：2014年污染源在线监控职能划归其他部门。

2　项目服务外包的风险

随着信息化服务外包项目的不断细化分工，现已延伸到监测行业信息化工作的各个触角，并带来了推进作用，但是信息化项目是监测核心业务和数据信息的载体，其服务外包存在着诸多潜在的安全隐患，因此在深化推进服务外包的同时，应密切关注其中的风险。

2.1信息化项目承包方的选择风险

一方面环境监测是业务性较强的环保行业，过于片面的追求承包方的信息技术水平，会导致忽略承包方的环境监测业务水平和综合服务能力，致使服务外包无法满足项目需求，最终影响项目的完成质量；另一方面承包方在履行合同的基础上，追求利润最大化，这与监测行业信息管理部门追求技术服务质量与项目建成效果的目标截然不同[1]，因此会造成服务外包管理的难度成本提高，进而影响双方的合作与服务响应的及时性，进而加大了风险隐患。

2.2项目服务外包界定范围的风险

由于环境监测原始数据在未列入地方政府信息化公开目录前均属于涉密信息，而这些原始数据主要在业务信息系统及数据库中流转，在服务器和存储系统等设备中存储，因此如果没有做好信息化项目服务外包范围的界定，很可能会导致承包方在项目运维过程中接触并掌握原始的监测数据，这就增加了监测行业对数据信息维护管理的成本，加大了监测数据信息被篡改、窃取和泄露的安全风险。

2.3外包合同制定和执行方面的风险

在合同签订时，监测行业由于缺乏全面的、专业的信息化技术和管理知识，使项目建设和后期维护等方面的条款缺乏灵活性性，管理方与承包方在突发事件处理方面的权力、义务、费用不够明确，涉密信息与工作范围的界定缺乏专业化的认定，这些因素都会因合同签订而带来风险，致使双方产生矛盾，造成服务无法保质保量的完成；在合同执行时，由于存在着对承包方过分的依赖，致使监测行业信息化管理部门的职能逐步弱化，造成信息化项目无人管理或管理混乱，信息安全得不到保障。

2.4承包方团队质量和人员素质方面的风险

项目建设和运维过程中，承包方逐步接触到监测行业的网络架构、系统结构、参数设置和敏感数据，假如承包方自身的出现了问题，包括经营困难、技术团队人才流失、人员职业素质不高等因素，都可能造成运维保障能力和服务质量的下降，出现网络瘫痪、信息系统运行故障或数据信息丢失、泄密等风险。

3　服务外包风险防范措施

对于信息化项目服务外包带来的风险，环境监测行业在借鉴行业内外先进经验的基础上，努力做好事前预防事中控制和事后监督，经过不断的实践与摸索后，逐步探寻出自身一套信息化项目服务外包的安全管理模式与风险防范措施，有效地增强了服务外包的安全性。

3.1积极适应角色的转变

在信息化项目服务外包的过程中，行业内的信息管理部门应逐步适应项目管理的角色[2]，在不断学习信息技术的基础上，还要掌握一定的项目管理知识，提升自身的项目管理能力和水平，以适应项目服务外包管理的需求，做好规划、组织、管理和协调等工作，同时还要增加监测行业内部人员的信息安全意识，形成信息管理部门和应用、使用部门齐抓共管的工作局面，建立一支懂技术、精业务、拿得起、用得上的管理队伍。

3.2做好配套制度的建设

配套的服务外包制度是规范承包方基本行为、工作方式和规避各类风险的重要准则，包括安全管理策略、风险评估体系、技术规范标准、操作流程手册和应急预防措施等，环境监测行业在制定服务外包制度的基础上，应根据实际情况和不断变化的需求进行完善，形成一个全面、循环、可修复、可信任的安全体系。

3.3考察承包方的全面情况

环境监测数据的挖掘、分析和传输，信息的提取、整合和报送都需要安全稳固的网络环境、业务系统和硬件设施作为载体，而这些就需要具有专业性强、技术性高和延续性好的信息化项目承包方来承担建设和运维，因此在承包方的选择上，首先要考察承包方的技术水平和综合能力，以及与环保行业合作的业绩成果；其次要考察承包方的自身管理水平，具备规范管理、健全制度和有力执行的团队，才是各项工作高效、有序开展的基础；再次要考察承包方的用人理念，具备合理的人才结构和较高的职业素养，才会在项目建设和运维过程中不会因人员的流动造成工作的断档，在矛盾处置过程中才会以服务大局为先、以责任为重；最后是在选择承包方的同时，监测行业信息化管理部门也要充分认识到自身与承包方的目标差异，给予承包方合理的利润空间[3]，要本着长期合作的目标去选择，坚决抵制试图低价中标的承包方，防止因低价中标而降低成本、打折服务的风险。

3.4认真制定合同的条款

合同条款的制定是否全面详细，直接关系到项目服务外包的成败，因此重视合同的签署，有助于环境监测行业规避和防范风险的发生。一是明确界定外包工作的范围，应以监测行业的实现目标、实施策略和安全要求为基础来认定外包的范围和制定合同条款，对于附加值低、建设维护成本高的非核心业务首当施行外包，对于敏感程度高的设备、数据、信息及密钥的管理维护要始终坚持行业内部人员进行；二是明确双方在合同中的权力和义务，以及解决争端的程序和方法，避免矛盾出现时项目建设工期或运维服务质量受到影响；三是明确保密协议的签署，当出现安全问题或突发应急事件时，应明确承包方承担的具体责任和应采取的应急措施；四是要明确出现外包成本显著增加、服务未达到建设或运维的需求目标、不能及时响应应急情况、承包方出现自身问题不能履行合同等情况时，监测行业有权终止合同和限制服务费用支出，并要求承包方提供数据、方案、手册等所有项目资源，并补偿转换承包方的相关费用。

3.5强化外包的监督管理

监测行业在外包合同执行期间，应严格按照合同条款或相关协议，对承包方的服务过程开展持续有效的监督和管理，并作阶段的和最终的成果考核和业绩评估，如监测行业信息管理部门缺乏相应的专业技术或管理知识，可引入第三方专业监理机构协助开展监督、控制和协调，进而实现进度、成本和质量方面的既定目标。同时监测行业在明确自身需求的基础上，强化与承包方的交流，既可以在项目建设或运维过程中熟悉彼此工作方式与方法，还可以对项目建设进度、运维质量进行跟踪管理。另外注重流程化管理和节点安全控制，对于服务外包项目开展正常建设或日常维护外，必须加强漏洞查找修正[4]、安全检查通报、事故预防咨询和技术知识响应等管理措施。

4　结　语

实践证明，环境监测行业信息化项目服务外包虽然还有很多亟待完善和改进的地方，但是通过对承包方的正确选择和服务外包过程管理，完全能够最大限度的规避和控制安全风险。同时，信息化项目服务外包还可以降低相关成本，有助于监测行业信息管理部门从繁杂琐碎的运维工作中解放出来，集中精力施行信息化方面的规划研究、组织管理和制度建设等，进而不断提升行业的信息化水平。

[1]刘鹏,曹红. 监测信息化思考 [J]. 环境保护科学,2010,36(3):96-98.

[2]李洪伟. 从运营走向管理——论IT服务外包趋势下政府信息化部门的角色转换[J].现代经济信息, 2011, (21)：70-71.

[3]曹卫京,夏凌宏. 论电子政务服务外包模式下的安全管理[J].计算机安全,2008,(8):104-106.

[4]许维明,尉飞新.政府信息化服务外包管理体系研究[J].电子政务，2009,(8):86-91.

Discussion on the Safety Management of Environmental Monitoring Information-based Project Service Outsourcing

YE Kai, YU Yi-yong,YE Bing,WANG li-yuan

(NanjingEnvironmentalMonitoringCenter，Nanjing210013,China)

Outsourcing information technology projects, while promoting information technology development of environmental monitoring industry, brings risk to information safety as well. In this paper, current status of information-based project service outsourcing in monitoring industry was described, the risks of information-based project service outsourcing were analyzed, and measures to prevent the risks were discussed.

Environmental monitoring; information-based; service outsourcing; safety management

2014-09-29

叶锴(1981-)，男，江苏徐州人，2006年毕业于南京审计学院计算机科学与技术专业，工程师、从事环境监测信息化工作及研究。

X84

A

1001-3644(2015)02-0039-03