在雇用信息安全服務廠商時，企業客戶必須關注一項基本事實——對方將能夠訪問我們的敏感系統及數據。

安全事故指數的持續攀升讓眾多企業客戶開始雇傭安全顧問幫助自身完成審計、滲透測試以及其它系統安全評估工作。但換個角度來看，這些第三方安全專家同時也能夠訪問到企業客戶內部最為敏感的系統及數據，因此我們必須對他們同樣抱有謹慎的態度——然而遺憾的是，實際情況往往并非如此。

通常來講，企業客戶往往急于推進上述評估工作，但卻未能捋順最為基本的合同條款。這不僅會帶來預算超支，更可能導致安全顧問帶來而非解決更多安全隱患。

有鑒于此，在選擇安全顧問廠商時，大家應當始終秉持以下幾項最佳實踐：

使用RFP。如果時間允許，建議大家使用征求建議書(簡稱RFP)流程，這將幫助企業客戶在獲取最具創意建議的同時，以最理想的價格及條款簽訂合同內容。在建議書的支持下，安全方案供應商會意識到自身面對其它競爭對手，從而更為專注地改進合同內容以爭取客戶。

盡職水平。無論是否使用RFP，大家應該花點時間對目標安全廠商的盡職水平進行調查，具體包括聯系原有及當前客戶(最好自主聯系，而非單純參考由廠商提供的客戶清單)。

與每一家重要廠商進行談判。企業客戶在考量安全顧問協議時，往往不像對待其它重要合作協議那么慎重。這一點必須得到有效解決——否則輕者導致預算超支，重者令企業需要保護的業務數據面臨泄露風險。

舉例來說，某家知識安全廠商在協議條款中規定，其有權在未經客戶許可的情況下移除或者保存客戶系統中的數據，包括持卡人及其它高度敏感的個人信息。協議中未包含任何與系統支持合規性相關的要求，而在數據管理違規后該廠商只需承擔極低責任，甚至對被刪除的數據不負任何義務。這顯然不合理亦不應被接受。

下面來看安全顧問協議當中應當包含的保護性措施，各關鍵性條目包括：

· 項目定義。協議中應明確規定安全評估范圍(包括設施、系統、服務器、網絡等等)。這意味著需要起草一份詳盡的工作說明，并對各方所承擔之任務作出明確規定。

· 成本控制。合同內容應包含明確預算，且將所有支出涵蓋在內。顧問方在未經客戶書面授權的情況下不得超預算操作。若供應商無法提供詳盡的預算清單，需“根據推進情況作出評估”并納入相對有限的初始工作表。工作報表的結果應為一套用于實施安全評估的詳盡預算說明。

· 詳盡的安全性及保密性保障。安全咨詢協議當中很少甚至完全不提供任何詳盡的安全及保密措施。更糟糕的是，即使對此作出明確規定，顧問方在違反條款后也幾乎無需承擔任何責任。考慮到廠商將有機會接觸到客戶最為敏感的數據及系統中的高度機密信息，合同中應明確規定需要配合使用的安全手段(例如嚴格控制數據提取、數據加密傳輸以及禁止數據流出至本土之外等)，并對廠商在出現違規情況時需要擔負的責任作出說明。

· 廠商人員控制。鑒于涉及敏感數據，協議當中應當規定廠商方面將任務分包給第三方的具體細則。協議同樣應要求廠商對相關人員進行背景調查，包括犯罪活動記錄，特別是與信托義務相關的背景資料(包括偷盜、竊取以及內幕交易等等)。

· 保障協議。盡管安全廠商并無確保客戶系統完全遵循審計要求的義務，但其仍然應當提供相關保障，旨在幫助客戶最大程度符合安全行業評估標準中的法律法規及最佳實踐。

· 相關責任。大部分安全廠商會嚴格限制自身服務所須承擔的責任。雖然并非不能理解，但大家還是應該向廠商提出期望，要求對方負起相關責任——至少是某些關鍵性層面的責任。

· 通過背景信息查詢實現審計報告保護。考慮到最終審計報告當中可能包含大量敏感信息，大家需要謹慎選擇相關律師，從而實現審計報告內容保護——具體包括查詢其客戶意見以及工作處理原則。

總而言之，通過雇用安全顧問，企業客戶能夠確保在獲取專業建議的同時，使自身系統、數據以及成本控制機制得到保護。而企業客戶則應當堅持這些基本保護效果，并選擇那些樂于提供合理方案且信譽出色的安全廠商。