IT服务外包有什么风险

近日360与腾讯之争在网上炒的沸沸扬扬的，但广大网友可能不明白，这其实不是360与腾讯之争，而是中国全体IT界在与腾讯干的一场反垄断、反山寨、反掠夺的战争。360以及多数网站，包括腾讯，其实走的都是免费+增值服务或广告费的盈利模式，不同的是，大多数网站是术有专攻，做杀毒的就做杀毒（360、金山。。。）、做影视的就做影视（PPLIVE、PPS、迅雷。。）、做棋牌的就做棋牌（联众。。），而腾讯不同，它利用自己在QQ客户端高安装率的垄断地位，什么都做，更恶劣的是，它没有创新，从始至终都是山寨。当一个项目别人从创意到实施到培养用户习惯都做到位了以后，腾讯就开始山寨，将别人的劳动果实据为己有，使别人付出的心血及投资化为乌有，这是最恶劣的行为，是也最受广大IT界人士所诟病的。大家想想，现在在腾讯玩棋牌游戏的，是不是多数都是从联众过来的？看QQ直播的，是不是都是从PPS、PPLIVE过来的？种菜偷菜的是不是都是从人人、开心过来的？大家回头再看看，当初给你们带来惊喜、欢乐的这些网站，要么不存在了，要么没有进一步的投入而残喘。这就是腾讯的山寨文化，它山寨别人，确实给Q友们带来了方便，直接在QQ面板上就能启动相应服务，再不用输网址、登陆等等 *** 作，但给广大Q有带来方便的同时，它也在扼杀别人的创新、创意和创业精神。

互联网本应是一个多姿多彩的世界，但如果这样让腾讯干下去，以后互联网的创新意识将逐渐被腾讯扼杀，将没有人或者机构给中小IT公司提供资金助其发展，多彩的互联网将变为黑白，以后大家只能用QQ提供的收费服务了。也许大家会说，腾讯实力那么强，他也可以搞创新啊？呵呵，腾讯从骨子里就是山寨文化，从它诞生开始就是，靠他们的山寨脑袋能有创新，简直是笑话，他们只有收费手段的创新而已。

看了网上网友对该事件的评论，对双方评价基本上是对半开，但在IT界，我想应该基本上是一边倒的，没有几个会支持腾讯，也就是说马化腾在IT界基本上是孤家寡人，前面有网友说“怎么各大网站都是腾讯的负面新闻”就说明了问题。现在搜狐的张朝阳已经站出来公开支持360了，其他的IT界大佬暂时还没露面，但可以看出来都在背后以行动默默的支持360。腾讯在中国的IT界是一大鳄，无论是资金、用户资源还是政府关系方面，暂时没有一家IT公司能够直接对抗，所以多数IT界精英都选择是沉默，最多是暗中支持360，只有360的周鸿祎是个真汉子，敢于直面腾讯，我想这也是被腾讯逼急了，他不愿再沉默中灭亡，而是选择是反抗。

目前腾讯所拥有的业务中，除了搜索和网购业务无法和BAIDU和淘宝（阿里巴巴）抗衡外，其他业务对手基本上都被腾讯绞杀了，而百度和淘宝能够对抗腾讯的进攻，除了他们的实力不俗的原因外，有没有其他原因呢？我们从百度、淘宝和腾讯这三家公司的股份结构可以看出，这三家公司都有IDG、高盛等国外风投的影子，也就是说，这三家公司基本上都有共同的股东，这也说明了为什么这三家公司能相安无事了，所以腾讯其实一直在干着绞杀国内IT创业人士的勾当，是一个十足地汉奸公司。现在的国内IT界，成了这种现象，有了创意也不敢创业，创业本身就有风险，做不好是死，做好了呢？呵呵，如果被腾讯盯上，也是死，而且死的更冤。当初联众的创始人说过，他今后只投资腾讯不能干的项目，他也算是一个在IT界成功创业的典范，如今确躲着腾讯走，真是悲哀啊。是啊，现在的有钱人宁可去炒房、炒绿豆、炒大蒜，也没人敢给IT创业人士投资，长此以往，中国互联网必死。

前段时间胡总到腾讯总部视察，对腾讯评价很高，讲话内容别的我没记住，只记住了一个词“创新的企业”，听到这个词我笑了，呵呵，英明的胡总啊，你赶快把给您写发言稿的家伙拉出去q毙吧，这不是让您老人家在全国人民面前闹笑话吗，哎。

其实腾讯完全可以做的更好，完全可以做一个负责任的大公司，完全可以采用收购、入股、接入合作的方式，做到双方共赢，即发挥了自己的优势，也达到了自己的目的，同时也能保持互联网的创新和创业积极性，使更多资金投入中小IT创业公司，这样，不但能够保持互联网的多样性，而且能创造更多的工作岗位，更大的社会效益。但是腾讯很令人失望，这里面也许有国外风投为了利益对其的施压原因，使他不顾民族大义，毅然走上了为帮主子实现利益最大化而绞杀国内IT同行的不归路。

那些为腾讯摇旗呐喊的网友们，殊不知，你们其实是在培养下一个中石油、中石化、中移动。但中石油、中石化起码还是中国的公司，起码能保证我们的石油和通讯需求，但当腾讯真的垄断了互联网，当互联网没有了创新，广大网友还能这么滋润吗？IT界还能提供那么多的工作岗位吗？资本都是血腥的，当国外投资机构在腾讯身上赚的盆满钵溢的时候，才不管你中国的互联网是生是死，才不管你中国的IT界有多少人失业。

难道腾讯你就甘愿为了主子的最大利益，不顾民族大义，将中国的IT业绞杀到底吗？

IT战略风险：主要包含企业IT与企业发展战略一致性、IT的价值呈现、IT的创新发展等战略部署漏洞和威胁。

业务支撑风险：主要包含IT对业务需求的响应能力、IT对业务流程的支撑能力、IT内控合规的保障能力、IT的履约能力、IT的业务绩效等业务支撑能力漏洞与威胁。

数据资产保护风险：主要包含企业的生产运行数据、服务运营数据、经营决策数据，以及与之相关的中间业务数据的不完整、不准确、不合规等质量问题与威胁。

信息安全风险：主要包含日志安全、数据安全、内容安全、接口传输安全、终端显示安全、业务敏感信息安全和信息系统安全等方面的安全漏洞与威胁。

信息技术风险：主要包含企业信息技术创新所需要的相关技术不配套、不成熟，或者技术创新所需要的相应环境、设施、设备不够完善所造成的问题与威胁。

信息系统开发风险、测试与维护风险：主要包含信息系统全生命周期过程活动（包括信息系统计划管理、需求分析、规划、采购、开发、测试、部署、维护、升级和报废等）带来的合规性、健康性和防御能力的漏洞与威胁。

信息科技运行风险：主要包含数据资产访问与管理、IT服务运行 *** 作、IT服务级别管理等方面带来的运行能力漏洞与威胁。

业务连续性管理风险：主要包含常规和特殊业务场景下，IT服务组合的中断和异常，对于企业带来的经济和社会声誉损失和威胁。

外包管理风险：主要包含外包选型、外包能力部署、外包服务实施、外包绩效管理、外包资源管理等方面对外包目标实现和知识产权保护方面带来的漏洞和威胁。

瞬息万变的市场环境和激烈的市场竞争压力 迫使企业利用有限的企业资源来缩短产品交货期、提高产品质量、降低生产成本，因此，孕育并产生“外包“在企业寻求IT外包时，面临一系列的管控和运营风险，特别是在信息安全风险方面!

任何服务都是一柄双刃剑外包与不例外，其好处是可以向企业灌输技术与人才，帮助企业摆脱繁琐的IT业务，有效的外包能让公司更好的专注于核心业务。但是如果处理不好，反而会变成一场噩梦和致命的灾难。

IT外包服务要成为一种商品，就必须形成一套规范和标准，以约束买卖双方。目前国内IT外包服务领域既无统一规范也无公认标准，对于如何评估、签合同、质量控制和定价等都是潜在的风险。此外，IT外包还面临着 IT管理的复杂性、软件缺失、知识产权以及IT外包服务提供商自身能否健康成长等风险。

在IT外包服务的过程中，IT外包服务商作为这项服务的承担者，中小企业以合同方式对其明确了服务内容和服务标准，但仍不能确定外包服务商最后是否能够提供合同约定的服务。从外包服务商的角度来说，主要会带来以下几方面风险。

IT外包服务商内部的不稳定性带来的风险。

在外包模式下，中小企业的IT应用在技术上依赖于外包服务商，服务商内部的不稳定性成为重要的风险来源。内部稳定性主要包括组织架构的稳定性、关键人员的稳定性和技术能力的稳定性。当前IT产业的高速发展使外包服务商的内部稳定性受到极大威胁，在合同执行期间，服务商的组织架构、关键人员、技术能力等方面的任何变化都有可能使IT外包服务陷入困境，最终导致服务商无力提供外包合同中规定的服务。

IT外包服务商对中小型企业业务需求理解不透彻带来的风险。

外包服务商的技术水平一般比较高，对IT的理解很透彻。但由于不了解行业，他们对企业的内部流程等业务需求有时不能充分了解。如果外包服务商没有和企业进行充分的沟通和交流，就容易导致在需求分析阶段无法进行高质量的需求分析，使后续阶段为改正需求分析阶段产生的错误付出高昂的代价。

使中小企业隐性成本增加的潜在风险。

选择IT外包的一个重要目标是减少IT运行和投资的费用。随着对外包服务商的依赖性越来越强，中小型企业付出的隐性成本会在不知不觉中增加，如选择服务商时发生的交易成本、将IT业务交给服务商时发生的转换成本等。更严重的是，如果服务商不断追求先进的IT技术，却不能使IT设备得到有效运行或运行质量难以达到合理水平，中小企业会由于业务停顿而蒙受巨大损失。在实际外包过程中，很多中小型企业往往忽略了隐性成本的核算。

信息泄漏及知识产权风险

在IT外包服务过程中，中小型企业将自己的部分或全部信息系统提供给外包服务商运行和管理，服务商及其员工就有了接触公司机密资料的机会，这样中小型企业的商业秘密及其相关信息就极有可能会泄漏给竞争对手。此外，在些核心项目外包的过程中，外包服务商往往比中小型企业更具有知识产权意识，可能将共同设计、开发的项目抢先占为己有，从而导致知识产权纠纷。

中小型企业必须清醒地认识到，IT外包过程中的信息泄露和知识产权风险有可能导致严重后果，使中小型企业蒙受巨大损失。

那么如何避免或者减少这些风险，权衡中间的利弊关系呢

当前，中小型企业的信息化建设不是很成熟，基础仍然比较薄弱，还不具备实施应用系统外包或者业务流程外包的条件。但是，行业各级单位将最底层的IT基础服务外包出去的条件已经成熟，而且需求非常迫切。

根据以上情况，中小型企业在制定IT外包服务战略规划时应首先明确信息化业务的主次之分，划分优先等级，区分核心业务和非核心业务。

中小型企业应以逐步推进的方式，首先选择IT知识培训、桌面终端维护、通信网络维护等外围项目进行外包，取得预期效果后再考虑防病毒系统维护、数据中心运作管理、数据备份和灾难恢复等系统的外包。

对于影响中小型企业关键业务的核心应用系统的外包要谨慎对待，要进行充分的考察和评估。

1、 全面评估IT外包风险

2、 科学选择外包服务商

3、 管理好外包合同外包合同

4、严格监控IT外包服务

5、做好IT外包服务的过程管理

—————— 北京海宇勇创科技

你好，您想问的是中国电信安全应急响应平台简称是什么吗？中国电信安全应急响应平台简称是电信紧急响应平台。以电信运营商为核心的应急响应平台构想旨在建设一个全网流量监控分析系统、异常流量清洗系统、安全管理平台为一体的安全事件应急响应服务平台，在此基础上结合当前“软件即服务、平台即服务”（简称SaaS/Paas）的IT服务新思想，建立新型的全网安全应急响应服务模式，将领先的软件技术及强大的技术支持覆盖能力用于安全应急响应服务中，为重要信息系统提供全面的安全应急响应服务。安全应急响应服务依托于安全监控与应急响应平台，平台作为一种集中安全管理统一应急协调的形式，它包含集中安全设备管理、安全事件收集、事件分析、状态监视、分析报表等重要技术组件。安全应急响应服务平台主要包括以下单元模块。

对于机房来说，机房可以提供三种服务形式。

SaaS

软件即服务，就是机房为用户搭建所需要的所有网络基础设施以及软硬件运作平台，用户只需要通过网络便可使用此服务。通常就是普通用户，通过软件直接使用服务。

PaaS

平台即服务，就是将相应的服务器平台或者开发环境作为一种服务，用户控制应用程序，以及运行应用程序的环境。通常是IT人员或者程序员，创建管理程序

Iaas

基础设施即服务， 就是将硬件等基础资源提供给用户使用。用户可部署和运行任意软件。

这通常是机房可提高的服务方式，也是云供应商提供服务的方式。

标准iso9001 是对数据中心的管理要求，包括数据中心人员管理、数据中心基础设施管理、数据中心环境管理、服务设计过程、客户体验管理等。

标准iso27001 是对信息安全、完整性和可用性的要求，通过建立信息安全管理体系方针，指定、实行、监控、改进流程，持续改进数据中心信息安全管理水平。

标准iso20000 关注it服务质量，相关产业的财务、信息安全等。

ITIL 信息技术基础架库 包含了大量对信息技术的管理，其中包括配置管理、变更管理、发布管理、事件管理、问题管理、服务级别管理、财务管理、可持续管理、容量管理和可用性管理。

1IT安全策略

管理人员应该审视那些能够管理特权账户（如域管理员账户、应用程序管理员账户、数据库管理员）的IT安全策略，要保障安全策略的存在，还要清楚存取访问是如何被处理、验证、证明的，要确保对这些策略定期进行审查。否则，基本上就不存在管理特权访问的基础了。在没有相关报告的情况下，管理特权账户的策略是不完整的。特权账户的口令审核报告经常要涉及到如下的问题：口令何时更新、更新失败有哪些，以及在一个共享账户下，个别用户如何执行任务等等。

制定的策略应具有这样的目标：能够终止明显的不可防御的用户活动。要确保所有的雇员、订约人和其它用户清楚其责任，从而与IT的安全策略、方法以及与其角色相适应的相关指导等。

2“超级用户”账户和访问

了解公司与用户访问有关的暴露程度是很重要的。应该决定拥有访问特权的账户和用户的人员，并获得对网络、应用程序、数据和管理功能的访问有较高权力的所有账户列表。包括通常被忽视的所有计算机账户。由此，要确保用户访问能够被检查，并确保其拥有恰当的许可。一个好方法是定期地审查用户访问，并决定数据和系统的“所有者”已经得到明确授权。

3账户和口令配置标准

要保证所有的管理员账户能够根据策略更新。在特定设备上，不应存在默认的口令设置。对那些拥有足够的默认账户和口令资源的用户来说，其信息是很丰富的。有一些安全账户，其账户名就是口令，这简直是自寻烦恼。设置口令的期限也是很重要的，禁用某些明显的临时账户也是很聪明的作法。

4对口令的受控访问

对权力有所提升的账户和管理员的口令存取要加以管理。其道理可能很明显，不过对口令的共享访问并非总能得到控制。离线的记录或开放性的访问，如包含口令的电子邮件，就不应当存在。即使一个加密的口令文件也是不足取的。在最糟的情形中，口令文件的口令并没有得到控制。

5服务账户( “机器” 账户)

服务器也可以被提升权限，并用于各种罪恶的目的。这些账户典型情况下并不分配给人类用户，并且也不包括在传统的认证或口令管理过程中。这些账户可被轻易地隐藏。管理员应该保障服务账户只拥有必要的访问权。这些账户应该定期检查，因为它们经常拥有超级用户的能力。这种用户的数量是很多的，而且还有许多不用的账户也需要注意。

6高风险用户和角色

有一些公司积级地监视某些角色，这些角色对企业会造成极高的风险，企业的监视会发现其潜在的“不可接受”的行为。许多企业拥有一些风险极高的关键角色。例如，一位采购经理为谋求一个职位可能会将自己能够访问的敏感数据带到另外一家竞争公司那里去。这种情况下，其访问是被授权的，不过却存在着滥用的情况。岗位、职责的轮换以及设定任命时间是对付高风险的一个重要方案。注意：IT安全专家通常都属于高风险角色的范围。

7安全知晓项目

任何雇员或用户都可能造成一种威胁。贯彻执行一个可以处理上述所有要点的安全知晓项目，并能保证其强制实施势在必行。现在有许多方案能够确保所有的用户已经阅读并同意有关规则和政策。其中一种工具是在用户登录时要求其在一个警告消息上签名，要求用户确认其同意并选择窗口中的“接收”或“同意”复选框。

8背景筛选

背景筛选就是要认真地问雇员一些措词严格的问题，以揭示其特定行为和态度的危险信号，例如：

·违规的或异常的工作经历：离开工作的可疑理由、长期未被雇用的原因

·欺诈：在某些事实上（例如教育、以前的雇佣关系）的虚伪陈述

·人格/态度问题：与同事或管理人员的糟糕关系

·挫败、威信问题、猜疑、无力接受改变等

9事件记录

安全事件记录提供了实时使用和活动的透明度。精确而完整的用户及其活动的记录对于事件分析和制定额外的安全措施是至关重要的。获取访问的方法、访问范围和过去的活动是很重要的。为保证有充足的记录，应考虑改善对较高风险领域和服务的记录利用。

10证据

管理人员应熟悉所使用的不同存储设备，如果有任何可疑迹象，还应具备 “指纹”知识的足够知识水平。这可以是cookie数据、隐藏的 *** 作系统数据等。从公司系统中获取关键文件并将其放置到闪速存储器上是很简单的事情，这些闪速设备可被伪装为数码相机、个人数字助理（PDA）或移动电话等。还有一些调查人员从移动电话中收集和分析信息，因为这种设备可包含语音邮件、正文消息、地址文件、电话号码和许多遗漏电话、已接电话等。如果有任何可疑的非法活动，就应保留相关证据，直至最终决定其结果。

以上就是关于腾讯QQ和360大战的事情经过全部的内容，包括:腾讯QQ和360大战的事情经过、科技风险种类、IT服务外包有什么风险等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！