3.3確定信息安全外包的流程
??? 企業要根據企業的商業特性、地理位置、資產和技術來對信息安全外包的范圍進行界定。界定的時候需要考慮如下兩個方面:(1)需要保護的信息系統、資產、技術;(2)實物場所(地理位置、部門等)。信息安全的外包商應該根據企業的信息安全方針和所要求的安全程度，識別所有需要管理和控制的風險的內容。企業需要協同信息安全的外包商選擇一個適合其安全要求的風險評估和風險管理方案，然后進行合乎規范的評估，識別目前面臨的風險。企業可以定期的選擇對服務外包商的站點和服務進行獨立評估，或者在年度檢查中進行評估。選擇和使用的獨立評估的方案要雙方都要能夠接受。在達成書面一致后，外包商授予企業獨立評估方評估權限，并具體指出評估者不能泄露外包商或客戶的任何敏感信息。給外包商提供關于檢查范圍的進一步消息和細節，以減少任何對可用性，服務程度，客戶滿意度等的影響。在評估執行后的一段特殊時間內，與外包商共享結果二互相討論并決定是否需要解決方案和/或開發計劃程序以應對由評估顯示的任何變化。評估所需要的相關材料和文檔在控制過程中都應該予以建立和保存，企業將這些文檔作為評估的重要工具，對外包商的服務績效進行考核。評估結束后，對事件解決方案和優先級的檢查都將記錄在相應的文件中，以便今后雙方在服務和信息安全管理上進行改進。
　　3.4制定信息安全外包服務的控制規則
??? 依照信息安全外包服務的控制規則，主要分為三部分內容:第一部分定義了服務規則的框架，主要闡明信息安全服務要如何執行，執行的通用標準和量度，服務外包商以及各方的任務和職責;第二部分是信息安全服務的相關要求，這個部分具體分為高層服務需求;服務可用性;服務體系結構;服務硬件和服務軟件;服務度量;服務級別;報告要求，服務范圍等方面的內容;第三部分是安全要求，包括安全策略、程序和規章制度;連續計劃;可操作性和災難恢復;物理安全;數據控制;鑒定和認證;訪問控制;軟件完整性;安全資產配置;備份;監控和審計;事故管理等內容。
　　3.5信息安全外包的企業結構管理具體的優化方案如下:
??? (1)首席安全官:CSO是公司的高層安全執行者，他需要直接向高層執行者進行工作匯報，主要包括:首席執行官、首席運營官、首席財務官、主要管理部門的領導、首席法律顧問。CSO需要監督和協調各項安全措施在公司的執行情況，并確定安全工作的標準和主動性，包括信息技術、人力資源、通信、法律、設備管理等部門。
??? (2)安全小組:安全小組的人員組成包括信息安全外包商的專業人員以及客戶企業的內部IT人員和信息安全專員。這個小組的任務主要是依照信息安全服務的外包商與企業簽訂的服務控制規則來進行信息安全的技術性服務。
??? (3)管理委員會:這是信息安全服務外包商和客戶雙方高層解決問題的機構。組成人員包括雙方的首席執行官，客戶企業的CIO和CSO，外包商的項目經理等相關的高層決策人員。這個委員會每年召開一次會議，負責審核年度的服務水平、企業的適應性、評估結果、關系變化等內容。
??? (4)咨詢委員會:咨詢委員會的會議主要解決計劃性問題。如服務水平的變更，新的技術手段的應用，服務優先等級的更換以及服務的財政問題等，咨詢委員會的成員包括企業內部的TI’人員和安全專員，還有財務部門、人力資源部門、業務部門的相關人員，以及外包商的具體項目的負責人。
??? (6)安全工作組:安全工作組的人員主要負責解決信息安全中某些特定的問題，工作組的人員組成也是來自服務外包商和企業雙方。工作組與服務交換中心密切聯系，將突出的問題組建成項目進行解決，并將無法解決的問題提交給咨詢委員會。
??? (7)服務交換中心:服務交換中心由雙方人員組成，其中主要人員是企業內部的各個業務部門中與信息安全相關的人員。他們負責聯絡各個業務部門，發掘出企業中潛在的信息安全的問題和漏洞，并將這些問題報告給安全工作組。
??? （8）指令問題管理小組:這個小組的人員組成全部為企業內部人員，包括信息安全專員以及各個業務部門的負責人。在安全小組的技術人員解決了企業中的安全性技術問題之后，或者，是當CSO發布了關于信息安全的企業改進方案之后，這些解決方案都將傳送給指令問題管理小組，這個小組的人員經過學習討論后，繼而將其發布到各個業務部門。
??? (9)監督委員會:這個委員會全部由企業內部人員組成。負責對外包商的服務過程的監督。
　　3.6管理與外包商的關系
??? 管理好與外包商之間的關系，意味著企業應致力于和外包商建立長期合作關系，這將有助于安全服務的外包商更多地了解企業文化，從而提供更好的服務。在管理與外包商關系的過程中，企業應該在注重監督與控制的同時，同樣注重對外包商的激勵和協作。以建立良好的可發展的關系為關系管理的基礎。保持外包商行為規范的基本方法就是監督和控制。監督是用來觀察外包商是否在做他應該做的事情。如果通過監督發現外包商正在偏離預定的行為目標，此時就需要控制，控制就是使外包商返回到正確的軌道上去。在有了控制規則來規范外包商服務績效之后，要保持外包商和企業客戶經常的溝通，以便能夠及時發現問題，進行標準化的控制活動。