海尔集团将顾客服务系统、电话中心系统、分销系统等业务系统的安全维护与保障工作外包给东软集团有限公司（下称“东软集团”）。为此，海尔集团制订了定期维护与呼叫服务、本地支持和远程服务相结合的服务策略。东软集团每月对系统定期做两次全方位的保养，检查系统的安全性、稳定性、数据库备份等情况，得出分析报告，并且在青岛设立服务中心，部署一支软件支持队伍，采用现场、远程、电话相结合的方式进行全国范围的维护。这项外包涉及到海尔集团商流本部及42家工贸公司的计算机、外设、网络设备、操作系统等庞大硬件群，范围遍布全国，完善的服务策略保证了外包的顺利进行。

只有了解了自身业务和应用系统，企业才能制订出合理的外包策略。徐欢说：“现在很多企业对自身的应用系统都缺乏了解，在这样的情况下进行外包，出现问题以后，用户很难清晰定义出这个问题对业务的影响有多大，自己该采取什么手段来应对。”

探索合作模式

海尔集团与东软集团探索出了成功的外包模式，这得益于双方在长期合作中建立的相互了解。

从1998年开始，东软集团就参与了海尔集团的信息化建设，对于海尔集团的系统情况相当熟悉。但对于更多的企业来说，引入信息安全的外包伙伴仍然需要探索合适的模式。

IBM公司的徐欢说：“信息安全的外包实际上是安全风险的转移，企业把信息安全领域的风险转移到服务商。”如何确定这种转移的量和度是一个难题。“企业当然希望风险转移越多越好，但服务商又不敢夸口全盘接下。比如大家都说外包要达到5个9（99.999%）的系统稳定性，但那只是对某些系统而言，而企业整个系统要达到5个9的稳定性是不可能的。以这种标准去要求服务商很难有合作基础。”他说。

另外，外包合作方的选择也很重要。北京电力公司信息中心副主任汪皓说：“选择合作伙伴就像打地基，地基不牢，楼建得再高，也会轰然倒塌。”汪皓对合作伙伴的要求是：首先要有丰富的行业经验，其次有超强的技术实力，然后是能够与用户沟通默契。

虽然在国内还只是一些大企业进行了安全领域的外包尝试，但根据《InformationWeek》的统计，在美国已经有接近50%的企业进行了系统维护层面上的安全外包。 “安全外包现在不再存在争议。” Gartner公司分析师佩斯卡特说，“未来用户不需要购买他们自己的客户端设备（CPE，Customer Premises Equipment），尤其是用于边界防御的客户端设备。通过外包，网络传输流在进入企业之前，就被清除了垃圾邮件、病毒、攻击流和其他安全问题，因为防火墙和入侵检测系统（IDS）安装在运营商那里。”