在雇用信息安全服务厂商时，企业客户必须关注一项基本事实——对方将能够访问我们的敏感系统及数据。

　　安全事故指数的持续攀升让众多企业客户开始雇佣安全顾问帮助自身完成审计、渗透测试以及其它系统安全评估工作。但换个角度来看，这些第三方安全专家同时也能够访问到企业客户内部最为敏感的系统及数据，因此我们必须对他们同样抱有谨慎的态度——然而遗憾的是，实际情况往往并非如此。

　　通常来讲，企业客户往往急于推进上述评估工作，但却未能捋顺最为基本的合同条款。这不仅会带来预算超支，更可能导致安全顾问带来而非解决更多安全隐患。

　　有鉴于此，在选择安全顾问厂商时，大家应当始终秉持以下几项最佳实践：

　　使用RFP。如果时间允许，建议大家使用征求建议书(简称RFP)流程，这将帮助企业客户在获取最具创意建议的同时，以最理想的价格及条款签订合同内容。在建议书的支持下，安全方案供应商会意识到自身面对其它竞争对手，从而更为专注地改进合同内容以争取客户。

　　尽职水平。无论是否使用RFP，大家应该花点时间对目标安全厂商的尽职水平进行调查，具体包括联系原有及当前客户(最好自主联系，而非单纯参考由厂商提供的客户清单)。

　　与每一家重要厂商进行谈判。企业客户在考量安全顾问协议时，往往不像对待其它重要合作协议那么慎重。这一点必须得到有效解决——否则轻者导致预算超支，重者令企业需要保护的业务数据面临泄露风险。

　　举例来说，某家知识安全厂商在协议条款中规定，其有权在未经客户许可的情况下移除或者保存客户系统中的数据，包括持卡人及其它高度敏感的个人信息。协议中未包含任何与系统支持合规性相关的要求，而在数据管理违规后该厂商只需承担极低责任，甚至对被删除的数据不负任何义务。这显然不合理亦不应被接受。

　　下面来看安全顾问协议当中应当包含的保护性措施，各关键性条目包括：

　　· 项目定义。协议中应明确规定安全评估范围(包括设施、系统、服务器、网络等等)。这意味着需要起草一份详尽的工作说明，并对各方所承担之任务作出明确规定。

　　· 成本控制。合同内容应包含明确预算，且将所有支出涵盖在内。顾问方在未经客户书面授权的情况下不得超预算操作。若供应商无法提供详尽的预算清单，需“根据推进情况作出评估”并纳入相对有限的初始工作表。工作报表的结果应为一套用于实施安全评估的详尽预算说明。

　　· 详尽的安全性及保密性保障。安全咨询协议当中很少甚至完全不提供任何详尽的安全及保密措施。更糟糕的是，即使对此作出明确规定，顾问方在违反条款后也几乎无需承担任何责任。考虑到厂商将有机会接触到客户最为敏感的数据及系统中的高度机密信息，合同中应明确规定需要配合使用的安全手段(例如严格控制数据提取、数据加密传输以及禁止数据流出至本土之外等)，并对厂商在出现违规情况时需要担负的责任作出说明。

　　· 厂商人员控制。鉴于涉及敏感数据，协议当中应当规定厂商方面将任务分包给第三方的具体细则。协议同样应要求厂商对相关人员进行背景调查，包括犯罪活动记录，特别是与信托义务相关的背景资料(包括偷盗、窃取以及内幕交易等等)。

　　· 保障协议。尽管安全厂商并无确保客户系统完全遵循审计要求的义务，但其仍然应当提供相关保障，旨在帮助客户最大程度符合安全行业评估标准中的法律法规及最佳实践。

　　· 相关责任。大部分安全厂商会严格限制自身服务所须承担的责任。虽然并非不能理解，但大家还是应该向厂商提出期望，要求对方负起相关责任——至少是某些关键性层面的责任。

　　· 通过背景信息查询实现审计报告保护。考虑到最终审计报告当中可能包含大量敏感信息，大家需要谨慎选择相关律师，从而实现审计报告内容保护——具体包括查询其客户意见以及工作处理原则。

　　总而言之，通过雇用安全顾问，企业客户能够确保在获取专业建议的同时，使自身系统、数据以及成本控制机制得到保护。而企业客户则应当坚持这些基本保护效果，并选择那些乐于提供合理方案且信誉出色的安全厂商。

　　责任编辑：DJ编辑