想找到安全可靠的信息安全咨詢？試試這些最佳實踐吧

2015-09-10 09:40:08 大云網(wǎng)　點擊量：評論 (0)

外包工作涉及到有可能賦予承包商或合作伙伴敏感信息和系統(tǒng)的訪問權(quán)時，企業(yè)應該特別謹慎。安全事件激增的今天，令很多企業(yè)膽顫心驚，唯恐成為下一個新聞頭條。如何在保障安全的同時將業(yè)務理順并發(fā)展壯大，已經(jīng)成

外包工作涉及到有可能賦予承包商或合作伙伴敏感信息和系統(tǒng)的訪問權(quán)時，企業(yè)應該特別謹慎。

安全事件激增的今天，令很多企業(yè)膽顫心驚，唯恐成為下一個新聞頭條。如何在保障安全的同時將業(yè)務理順并發(fā)展壯大，已經(jīng)成為企業(yè)的頭等大事。這時，越來越多的企業(yè)逐漸將目光轉(zhuǎn)向聘請優(yōu)秀的安全咨詢公司來進行審計、滲透測試和系統(tǒng)的評估。這種選擇無疑是非常有益的，值得任何謹慎行事的企業(yè)加以考慮。但在正式開展工作的時候，要在賦予企業(yè)敏感系統(tǒng)和數(shù)據(jù)訪問權(quán)的時候，多加考慮、小心謹慎。

很多時候，在匆匆實施這些安全評估之時，企業(yè)沒有充分處理好最基本的合同條款。不用說預算超支這種常有的事，甚至在一些案例里，安全顧問帶來的風險比解決的都要多。

如何聘用安全可靠的安全顧問呢？企業(yè)應該考慮以下最佳實踐：

1. 使用征求意見書（RFP）

如果時間允許，RFP過程將幫助公司收獲最具創(chuàng)新性的意見，連同最好的報價和合同條款。知道自己要跟其他應征者競爭的廠商遠比篤定已經(jīng)手握合同的那些更傾向于協(xié)商。

2. 做盡職調(diào)查

無論用不用RFP，花點時間對任何有意向的安全廠商進行盡職調(diào)查，包括聯(lián)系以前和現(xiàn)在的客戶，而不僅僅是廠商提供的推薦參考名單上的那些。

3. 像與關(guān)鍵供應商談判一樣與安全顧問協(xié)商

理想是豐滿的，現(xiàn)實卻總是很骨感。大多數(shù)公司簽訂安全顧問協(xié)議時往往沒有拿出與其他關(guān)鍵供應商談判一樣的謹慎態(tài)度。這種狀況，往好了說，會導致嚴重超支。往壞了說，公司千方百計試圖避免的敏感商業(yè)數(shù)據(jù)泄露事件就有可能發(fā)生。

舉個例子。一家著名安全廠商在正式協(xié)議中包含了一個條款：廠商可以不經(jīng)客戶同意就將數(shù)據(jù)從客戶系統(tǒng)中轉(zhuǎn)儲到自己的系統(tǒng)里，并將數(shù)據(jù)從客戶系統(tǒng)中刪除。這些數(shù)據(jù)可能包括持卡人和其他個人敏感隱私信息。廠商的協(xié)議沒有涉及支付卡行業(yè)（PCI）和數(shù)字簽名標準（DSS）合規(guī)問題，只有一兩句話談到安全，如果廠商損害了數(shù)據(jù)幾乎不需要負責，甚至沒有在使用完畢后刪除數(shù)據(jù)的義務，這怎么能讓人接受呢？但這種情況的確是事實。

適當?shù)暮贤Ｗo在每個安全顧問協(xié)議中都應該協(xié)商好。應解決的關(guān)鍵點如下列所示：

1. 定義項目

合同應清晰定義進行安全評估的范圍（如：設(shè)備、系統(tǒng)、服務器、網(wǎng)絡(luò)等等）。這意味著要起草一份詳細的工作明細單，各方負責的任務都要明確列出。

2. 控制成本

合同應包含明確的預算，所有費用都要定好。顧問沒有經(jīng)過客戶的書面授權(quán)不能超支。如果廠商以“隨評估進程事態(tài)可能升級”為由不能提供一份詳細的預算，可以考慮用一份更有限制性的初始工作說明書來更好地界定任務。工作說明書所產(chǎn)出的應該是對完整安全評估的一份更詳細的預算。

3. 細化安全和保密

很多情況下，安全顧問協(xié)議幾乎不提供或只提供粗略的對所用安全和保密措施的描述。更糟的是，即使這些措施定義良好，顧問沒執(zhí)行也不會有什么責任。因為顧問將對客戶最重要的敏感數(shù)據(jù)和有關(guān)其系統(tǒng)安全的機密信息擁有訪問權(quán)，合同中應清晰定義將用到的安全措施（如：控制從客戶系統(tǒng)中對數(shù)據(jù)的刪除行為、加密、限制將客戶數(shù)據(jù)傳輸出國等等）、詳細的機密保護措施，以及避免以任何限制或免除責任的條款違反這些要求。

4. 控制廠商人員

鑒于該項工作的敏感性，協(xié)議中應包括對廠商將工作外包給第三方的控制條款。協(xié)議還應要求廠商對其人員進行背景調(diào)查，調(diào)查內(nèi)容包括犯罪活動，尤其是那些涉及背信行為的罪行（如：小偷小摸、盜竊、內(nèi)幕交易等等）。

5. 保證條款

盡管沒有安全廠商能夠保證客戶的系統(tǒng)一定能通過審計，安全廠商也應該要承諾在評估中將遵守所有安全業(yè)內(nèi)適用的法律法規(guī)和最佳實踐。

6. 責任

大多數(shù)安全廠商在其服務中嚴格限制自己承擔的責任。這種做法沒有任何不對，但也不能放任廠商規(guī)避責任以致不用承擔違反保密或自身重大過失或瀆職的責任。絕大多數(shù)案例中，客戶應預期廠商在這些領(lǐng)域預設(shè)無限，或者，至少，非常重要的責任。

7. 考慮保護審計報告免遭公開

鑒于最終審計報告的潛在敏感性，讓商業(yè)律師以律師－當事人特權(quán)或工作成果保護原則來保證審計報告不被公開。

聘傭安全顧問時更加積極主動可以使公司保證自己收獲期望的專家建議，同時保護自身系統(tǒng)和數(shù)據(jù)的安全，以及控制成本。公司應當期待得到這些基本的保護，而信譽良好的安全公司也理應提供這些保護。