外包工作涉及到有可能赋予承包商或合作伙伴敏感信息和系统的访问权时,企业应该特别谨慎。
安全事件激增的今天,令很多企业胆颤心惊,唯恐成为下一个新闻头条。如何在保障安全的同时将业务理顺并发展壮大,已经成为企业的头等大事。这时,越来越多的企业逐渐将目光转向聘请优秀的安全咨询公司来进行审计、渗透测试和系统的评估。这种选择无疑是非常有益的,值得任何谨慎行事的企业加以考虑。但在正式开展工作的时候,要在赋予企业敏感系统和数据访问权的时候,多加考虑、小心谨慎。
很多时候,在匆匆实施这些安全评估之时,企业没有充分处理好最基本的合同条款。不用说预算超支这种常有的事,甚至在一些案例里,安全顾问带来的风险比解决的都要多。
如何聘用安全可靠的安全顾问呢?企业应该考虑以下最佳实践:
1. 使用征求意见书(RFP)
如果时间允许,RFP过程将帮助公司收获最具创新性的意见,连同最好的报价和合同条款。知道自己要跟其他应征者竞争的厂商远比笃定已经手握合同的那些更倾向于协商。
2. 做尽职调查
无论用不用RFP,花点时间对任何有意向的安全厂商进行尽职调查,包括联系以前和现在的客户,而不仅仅是厂商提供的推荐参考名单上的那些。
3. 像与关键供应商谈判一样与安全顾问协商
理想是丰满的,现实却总是很骨感。大多数公司签订安全顾问协议时往往没有拿出与其他关键供应商谈判一样的谨慎态度。这种状况,往好了说,会导致严重超支。往坏了说,公司千方百计试图避免的敏感商业数据泄露事件就有可能发生。
举个例子。一家著名安全厂商在正式协议中包含了一个条款:厂商可以不经客户同意就将数据从客户系统中转储到自己的系统里,并将数据从客户系统中删除。这些数据可能包括持卡人和其他个人敏感隐私信息。厂商的协议没有涉及支付卡行业(PCI)和数字签名标准(DSS)合规问题,只有一两句话谈到安全,如果厂商损害了数据几乎不需要负责,甚至没有在使用完毕后删除数据的义务,这怎么能让人接受呢?但这种情况的确是事实。
适当的合同保护在每个安全顾问协议中都应该协商好。应解决的关键点如下列所示:
1. 定义项目
合同应清晰定义进行安全评估的范围(如:设备、系统、服务器、网络等等)。这意味着要起草一份详细的工作明细单,各方负责的任务都要明确列出。
2. 控制成本
合同应包含明确的预算,所有费用都要定好。顾问没有经过客户的书面授权不能超支。如果厂商以“随评估进程事态可能升级”为由不能提供一份详细的预算,可以考虑用一份更有限制性的初始工作说明书来更好地界定任务。工作说明书所产出的应该是对完整安全评估的一份更详细的预算。
3. 细化安全和保密
很多情况下,安全顾问协议几乎不提供或只提供粗略的对所用安全和保密措施的描述。更糟的是,即使这些措施定义良好,顾问没执行也不会有什么责任。因为顾问将对客户最重要的敏感数据和有关其系统安全的机密信息拥有访问权,合同中应清晰定义将用到的安全措施(如:控制从客户系统中对数据的删除行为、加密、限制将客户数据传输出国等等)、详细的机密保护措施,以及避免以任何限制或免除责任的条款违反这些要求。
4. 控制厂商人员
鉴于该项工作的敏感性,协议中应包括对厂商将工作外包给第三方的控制条款。协议还应要求厂商对其人员进行背景调查,调查内容包括犯罪活动,尤其是那些涉及背信行为的罪行(如:小偷小摸、盗窃、内幕交易等等)。
5. 保证条款
尽管没有安全厂商能够保证客户的系统一定能通过审计,安全厂商也应该要承诺在评估中将遵守所有安全业内适用的法律法规和最佳实践。
6. 责任
大多数安全厂商在其服务中严格限制自己承担的责任。这种做法没有任何不对,但也不能放任厂商规避责任以致不用承担违反保密或自身重大过失或渎职的责任。绝大多数案例中,客户应预期厂商在这些领域预设无限,或者,至少,非常重要的责任。
7. 考虑保护审计报告免遭公开
鉴于最终审计报告的潜在敏感性,让商业律师以律师-当事人特权或工作成果保护原则来保证审计报告不被公开。
聘佣安全顾问时更加积极主动可以使公司保证自己收获期望的专家建议,同时保护自身系统和数据的安全,以及控制成本。公司应当期待得到这些基本的保护,而信誉良好的安全公司也理应提供这些保护。
作者:nana
来源:51CTO
