在上一篇文章中，小编为您详细介绍了关于《抗击疫情，服务不停——帝隆科技助力融易盈保理供应链金融平台成功上线》相关知识。本篇中小编将再为您讲解标题从远程办公的风险应对看SaaS产品选型。

原标题：从远程办公的风险应对看SaaS产品选型

庚子年初，荆楚大疫，民生多艰，忧愁艰怀。远程办公，大展身手，同气连枝，共盼春来。

受新型冠状病毒肺炎影响，为尽快复工，很多企业都主动或被动地开启了远程办公模式。近期“远程办公”成为搜索热门词，网络搜索工具中以“远程办公”为关键字的搜索指数在疫情期间呈急剧增长态势，而这背后也折射出我国能快速有效开展远程办公的企业并不多，远程办公化程度尚不高的客观现状。

企业基于安全、保密、隐私等方面的风险考量，往往独立部署支撑业务开展的信息系统，远程办公作为辅助化功能往往并非企业信息化规划与发展的重点。面对这场突如其来的破坏性疫情，多数企业在现有沟通方式的基础上采用点对点或点对多点的“通讯”方式将员工及工作人为地整合与连接，通过VPN线路作为载体或开放公网端口的方式，实现远程办公，满足复工诉求。该运作模式多为应对疫情的临时方案，其机动性差、效率低、共享协作能力不足等弊端显而易见。同时，部分企业因信息技术容灾准备不足，求助于网络搜索相关信息以获取快速解决方案。

实上远程办公并非新鲜事物，技术和市场也是百花齐放，新的模式与技术革新总会带来全新的风险与挑战。疫情之下，“远程办公”类SaaS（Software-as-a-Service）产品纷纷大展身手，为各行各业实现高效复工提供支撑。为解燃眉之急，企业对市场上已有的成熟产品快速选型。而事实上，远程办公模式在未来会越来越普遍，因此在快速选型时，除了满足当前紧急需求，企业还应该考虑未来长远的需求。SaaS产品的选型除实现远程办公的连接、沟通等直接功能之外，还应对服务商提供的产品及配套服务体系的安全性、可用性、隐私保护能力等多重深层因素进行考量。

这次疫情是对企业IT环境和应急能力的一次大考。疫情之后，企业势必会针对疫情应对中暴露出的短板和不足，着手提升并健全IT系统的应急能力。除了远程办公类产品外，其他各类SaaS产品（如：人力资源管理、财务管理、商旅费用管理等），鉴于其快速实施、低成本、可配置及高可用性的特性，预计也将逐渐成为企业信息化转型的方向。本文将以企业管理者的视角对SaaS产品选型中的风险考量和应对进行分析，分享见解，共同思考，共克时艰，服务长远。

SaaS产品选型的关注点

工欲善其事，必先利其器。企业在日常流程管理、财务/人力资源管理和业务运营等多个方面部署SaaS产品来支撑自身业务正常运转的模式越来越常见。为确保企业自身业务的安全和稳定，在选择成熟的SaaS产品提供商时，企业还应注意供应商是否能为产品在以下几个方面提供充分且持续有效的安全防控和内部控制体系。

• 在数据安全性方面，企业应关注服务供应商是否建立了充分的数据隔离措施，以实现不同企业之间业务数据的访问及交互限制，了解SaaS产品是否配置了充分的身份验证和权限管控机制，以确保企业间、企业内不同群组间的数据互相隔离，同时当企业员工退出相关群组后无法再次访问群组内的数据的情况。例如，人力资源管理SaaS产品中往往需要存储大量企业员工的个人数据及隐私信息，企业应关注该类SaaS产品是否在不同企业租户间建立了有效的租户隔离机制，是否提供如多因素认证等身份校验措施，是否对有权限接触企业员工主数据、薪资福利等数据的人员账号，在产品中提供了有效的权限管理功能以实现职责分离及权限最小化的管理要求。
• 在产品可用性方面，企业应关注服务供应商是否就所提供的产品实现了多节点化部署，是否建立监测系统对各个节点的运行情况进行实时监控，是否建立热备集群及异常节点动态切换能力，确保当某节点运行出现异常时，产品可以自行切换至其他正常节点并同步最新的备份数据，从而保障产品和服务的高可用性。例如，企业在远程办公模式下，往往需要通过视频会议、文档共享以协调各地员工的工作分配和信息互通。为提升视频会议期间及文档共享时信息及数据交互的高效执行，企业需关注所使用的SaaS产品是否采用了多地多节点的部署模式以应对单点故障，是否有能力及时提供扩容，是否拥有成熟有效的业务连续性应急响应方案和程序。
• 在产品保密性方面，企业应关注服务供应商是否针对所提供的产品配置了基于服务器端、数据库及各类终端的数据加密传输措施和加密存储功能；同时是否建立了适当的数据归档或销毁机制，以确保当企业不再使用产品后的适当期间内执行数据加密归档或及时删除，或应对企业特定需求时实现企业业务数据的可控恢复。例如，使用人力资源管理SaaS产品的企业在终止产品服务使用后，仍可能要求SaaS产品提供商提供历史数据，如历年社保缴纳记录等。企业应关注SaaS产品供应商是否能够从可控环境中仅由适当人员从归档数据库中恢复并提取所需数据，这考验SaaS产品服务商的保密措施。
• 在数据完整性方面，企业应关注产品的数据分析处理是否采用了完整性和准确性校验机制，是否对输入及输出的数据进行质量检查，是否对数据处理过程中发生的数据出错进行及时的检测和更正，从而在数据处理的完整性及准确性方面获得合理保证。例如，商旅费控报销SaaS平台往往会对接上游大量供应商的系统，下游又与企业内部财务系统对接，企业需对该类SaaS产品在数据传输过程中的完整性保证及防篡改机制予以关注。又如，远程办公过程中常常需要进行信息或文档的协同编辑，而远程办公员工使用的终端、系统、办公软件等可能参差不齐。企业需关注SaaS产品是否在不同平台均可有效运行，准确处理信息或文档编辑。
• 在产品隐私性方面，企业应关注服务供应商如何就产品收集的个人信息提供完善的隐私保护能力，并满足各项国内外隐私保护的合规性要求，特别是在支持企业内部管理职能的产品中，如何实现个人信息收集的最小化、如何实现个人信息访问权限的适当管理、如何确保个人信息在传输及存储过程中的安全性、如何实现在适当场景下个人信息的及时删除，都是企业在评估服务商隐私保护能力的重点。例如，SaaS产品可能会向第三方开发者开放API[1]以接入第三方应用扩展产品功能。企业应关注该类SaaS产品在向第三方共享、转发个人信息时，是否经过数据拥有者授权，服务供应商是否采取措施以确保个人信息在传输及存储过程的安全及合规性。

除上述对产品安全、可用性、隐私保护等方面的考量外，在特定业务形态的SaaS产品使用中（如：与薪酬流程有关的人力资源管理SaaS产品、与费用有关的商旅费控报销SaaS产品、与重要合同管理流程有关的企业协同办公SaaS产品等），企业，特别是上市公司，还需关注那些依赖于SaaS产品但与企业自身财务报告流程有关的内部控制的有效性。这些内部控制是由SaaS产品服务商负责执行的，但内控责任仍在企业本身。企业在选择这类SaaS产品服务商时，需要充分评估以下事项，避免因服务商的原因导致企业在内部控制方面的不合规：

• SaaS产品提供商是否可在提供服务的过程中，设计并实施有效的与企业客户财务报告流程相关的内部控制，以支持企业满足上市公司内部控制或其他行业性的合规要求。
• SaaS产品提供商在应对数量庞大的企业客户审计需求时，是否可长期持续并及时提供支持、提供有效的审计证据，对企业用户的审计要求予以满足。
• SaaS产品提供商是否可提供有效的证明，以披露其代替企业客户执行的与企业自身财务报告流程相关的内部控制均已设计恰当并有效执行。

岂曰无衣，与子同袍。其疾如风，其徐如林。侵略如火，不动如山。面对疫情，坚定信念，科学选型，精准施策。安永将携手企业，一起在疫情防控和保障经济活力之间找准平衡点、突破点。让我们一起共克时艰，展望长远！

本文作者：安永科技风险咨询服务团队

注：

[1] API: Application Programming Interface，应用程序接口游戏网

编后语：关于《从远程办公的风险应对看SaaS产品选型》关于知识就介绍到这里，希望本站内容能让您有所收获，如有疑问可跟帖留言，值班小编第一时间回复。 下一篇内容是有关《「体验」OPPOFindX2Pro的川藏之旅：只有顶级影像才能配上如此美景》，感兴趣的同学可以点击进去看看。