11、IT 服务组织中的系统安全管理

IT 服务组织中的系统安全管理

在当今的 IT 服务领域，系统安全至关重要。一家业务广泛的公司，旗下有众多涉及安全相关的 IT 服务项目，如机场运营 IT 服务、铁路基础设施资产管理、全国辐射监测以及医院医疗记录服务等。近期的内部审计对这些服务的系统安全管理流程和文档进行了审查，并提出了一系列改进建议。

1. 公司概况

该公司是一家业务和技术服务公司，在 36 个国家拥有 39,000 名员工。公司提供业务咨询、系统集成和外包服务，涵盖所有行业和业务职能。在英国，有大约 5,500 名员工，业务范围广泛，从帮助卫星进入外层空间到支持武装部队、保护民众以及管理法院系统中的人员等。

公司的全球外包服务在 9 个欧洲国家开展业务，并在 4 个离岸国家设有生产中心，包括三个服务线：
- 应用程序管理（AM）
- 业务流程外包（BPO）
- 基础设施管理（IM）

目前，该公司在英国有大约 30 个与安全相关的服务项目，包括机场管理应用、健康记录系统、医院临床数据展示系统、全国辐射监测、供水管理、铁路基础设施应用、发电管理和维护系统、海上平台人员跟踪以及武装部队健康和安全事件管理等。这些服务主要围绕 IT 系统，但合同内的软件开发活动通常较少，重点在于按合同要求提供服务，包括维护、支持和增强功能。

2. 服务模式描述

服务交付通常意味着以下一些或全部内容：
- 负责为客户提供 IT 服务，支持其业务，通常为期较长（如 5 年或 10 年）。
- 责任通常由服务水平协议定义，成功与否也以此衡量，而非控制规范。
- 从另一个（通常是内部）供应商接管现有服务（可能包括员工和其