选择一家信息安全厂商？遵循以下实践

在雇用信息安全服务厂商时，企业客户必须关注一项基本事实——对方将能够访问我们的敏感系统及数据。

安全事故指数的持续攀升让众多企业客户开始雇佣安全顾问帮助自身完成审计、渗透测试以及其它系统安全评估工作。但换个角度来看，这些第三方安全专家同时也能够访问到企业客户内部最为敏感的系统及数据，因此我们必须对他们同样抱有谨慎的态度——然而遗憾的是，实际情况往往并非如此。

通常来讲，企业客户往往急于推进上述评估工作，但却未能捋顺最为基本的合同条款。这不仅会带来预算超支，更可能导致安全顾问带来而非解决更多安全隐患。

有鉴于此，在选择安全顾问厂商时，大家应当始终秉持以下几项最佳实践：

使用RFP。如果时间允许，建议大家使用征求建议书(简称RFP)流程，这将帮助企业客户在获取最具创意建议的同时，以最理想的价格及条款签订合同内容。在建议书的支持下，安全方案供应商会意识到自身面对其它竞争对手，从而更为专注地改进合同内容以争取客户。

尽职水平。无论是否使用RFP，大家应该花点时间对目标安全厂商的尽职水平进行调查，具体包括联系原有及当前客户(最好自主联系，而非单纯参考由厂商提供的客户清单)。

与每一家重要厂商进行谈判。企业客户在考量安全顾问协议时，往往不像对待其它重要合作协议那么慎重。这一点必须得到有效解决——否则轻者导致预算超支，重者令企业需要保护的业务数据面临泄露风险。

举例来说，某家知识安全厂商在协议条款中规定，其有权在未经客户许可的情况下移除或者保存客户系统中的数据，包括持卡人及其它高度敏感的个人信息。协议中未包含任何与系统支持合规性相关的要求，而在数据管理违规后该厂商只需承担极低责任，甚至对被删除的数据不负任何义务。这显然不合理亦不应被接受。

下面来看安全顾问协议当中应当包含的保护性措施，各关键性条目包括：

· 项目定义。协议中应明确规定安全评估范围(包括设施、系统、服务器、网络等等)。这意味着需要起草一份详尽的工作说明，并对各方所承担之任务作出明确规定。