外包工作涉及到有可能賦予承包商或合作伙伴敏感信息和系統的訪問權時,企業應該特別謹慎。
安全事件激增的今天,令很多企業膽顫心驚,唯恐成為下一個新聞頭條。如何在保障安全的同時將業務理順并發展壯大,已經成為企業的頭等大事。這時,越來越多的企業逐漸將目光轉向聘請優秀的安全咨詢公司來進行審計、滲透測試和系統的評估。這種選擇無疑是非常有益的,值得任何謹慎行事的企業加以考慮。但在正式開展工作的時候,要在賦予企業敏感系統和數據訪問權的時候,多加考慮、小心謹慎。
很多時候,在匆匆實施這些安全評估之時,企業沒有充分處理好最基本的合同條款。不用說預算超支這種常有的事,甚至在一些案例里,安全顧問帶來的風險比解決的都要多。
如何聘用安全可靠的安全顧問呢?企業應該考慮以下最佳實踐:
1. 使用征求意見書(RFP)
如果時間允許,RFP過程將幫助公司收獲最具創新性的意見,連同最好的報價和合同條款。知道自己要跟其他應征者競爭的廠商遠比篤定已經手握合同的那些更傾向于協商。
2. 做盡職調查
無論用不用RFP,花點時間對任何有意向的安全廠商進行盡職調查,包括聯系以前和現在的客戶,而不僅僅是廠商提供的推薦參考名單上的那些。
3. 像與關鍵供應商談判一樣與安全顧問協商
理想是豐滿的,現實卻總是很骨感。大多數公司簽訂安全顧問協議時往往沒有拿出與其他關鍵供應商談判一樣的謹慎態度。這種狀況,往好了說,會導致嚴重超支。往壞了說,公司千方百計試圖避免的敏感商業數據泄露事件就有可能發生。
舉個例子。一家著名安全廠商在正式協議中包含了一個條款:廠商可以不經客戶同意就將數據從客戶系統中轉儲到自己的系統里,并將數據從客戶系統中刪除。這些數據可能包括持卡人和其他個人敏感隱私信息。廠商的協議沒有涉及支付卡行業(PCI)和數字簽名標準(DSS)合規問題,只有一兩句話談到安全,如果廠商損害了數據幾乎不需要負責,甚至沒有在使用完畢后刪除數據的義務,這怎么能讓人接受呢?但這種情況的確是事實。
適當的合同保護在每個安全顧問協議中都應該協商好。應解決的關鍵點如下列所示:
1. 定義項目
合同應清晰定義進行安全評估的范圍(如:設備、系統、服務器、網絡等等)。這意味著要起草一份詳細的工作明細單,各方負責的任務都要明確列出。
2. 控制成本
合同應包含明確的預算,所有費用都要定好。顧問沒有經過客戶的書面授權不能超支。如果廠商以“隨評估進程事態可能升級”為由不能提供一份詳細的預算,可以考慮用一份更有限制性的初始工作說明書來更好地界定任務。工作說明書所產出的應該是對完整安全評估的一份更詳細的預算。
3. 細化安全和保密
很多情況下,安全顧問協議幾乎不提供或只提供粗略的對所用安全和保密措施的描述。更糟的是,即使這些措施定義良好,顧問沒執行也不會有什么責任。因為顧問將對客戶最重要的敏感數據和有關其系統安全的機密信息擁有訪問權,合同中應清晰定義將用到的安全措施(如:控制從客戶系統中對數據的刪除行為、加密、限制將客戶數據傳輸出國等等)、詳細的機密保護措施,以及避免以任何限制或免除責任的條款違反這些要求。
4. 控制廠商人員
鑒于該項工作的敏感性,協議中應包括對廠商將工作外包給第三方的控制條款。協議還應要求廠商對其人員進行背景調查,調查內容包括犯罪活動,尤其是那些涉及背信行為的罪行(如:小偷小摸、盜竊、內幕交易等等)。
5. 保證條款
盡管沒有安全廠商能夠保證客戶的系統一定能通過審計,安全廠商也應該要承諾在評估中將遵守所有安全業內適用的法律法規和最佳實踐。
6. 責任
大多數安全廠商在其服務中嚴格限制自己承擔的責任。這種做法沒有任何不對,但也不能放任廠商規避責任以致不用承擔違反保密或自身重大過失或瀆職的責任。絕大多數案例中,客戶應預期廠商在這些領域預設無限,或者,至少,非常重要的責任。
7. 考慮保護審計報告免遭公開
鑒于最終審計報告的潛在敏感性,讓商業律師以律師-當事人特權或工作成果保護原則來保證審計報告不被公開。
聘傭安全顧問時更加積極主動可以使公司保證自己收獲期望的專家建議,同時保護自身系統和數據的安全,以及控制成本。公司應當期待得到這些基本的保護,而信譽良好的安全公司也理應提供這些保護。