选择一家信息安全厂商？遵循以下实践

· 成本控制。合同内容应包含明确预算，且将所有支出涵盖在内。顾问方在未经客户书面授权的情况下不得超预算操作。若供应商无法提供详尽的预算清单，需“根据推进情况作出评估”并纳入相对有限的初始工作表。工作报表的结果应为一套用于实施安全评估的详尽预算说明。

· 详尽的安全性及保密性保障。安全咨询协议当中很少甚至完全不提供任何详尽的安全及保密措施。更糟糕的是，即使对此作出明确规定，顾问方在违反条款后也几乎无需承担任何责任。考虑到厂商将有机会接触到客户最为敏感的数据及系统中的高度机密信息，合同中应明确规定需要配合使用的安全手段(例如严格控制数据提取、数据加密传输以及禁止数据流出至本土之外等)，并对厂商在出现违规情况时需要担负的责任作出说明。

· 厂商人员控制。鉴于涉及敏感数据，协议当中应当规定厂商方面将任务分包给第三方的具体细则。协议同样应要求厂商对相关人员进行背景调查，包括犯罪活动记录，特别是与信托义务相关的背景资料(包括偷盗、窃取以及内幕交易等等)。

· 保障协议。尽管安全厂商并无确保客户系统完全遵循审计要求的义务，但其仍然应当提供相关保障，旨在帮助客户最大程度符合安全行业评估标准中的法律法规及最佳实践。

· 相关责任。大部分安全厂商会严格限制自身服务所须承担的责任。虽然并非不能理解，但大家还是应该向厂商提出期望，要求对方负起相关责任——至少是某些关键性层面的责任。

· 通过背景信息查询实现审计报告保护。考虑到最终审计报告当中可能包含大量敏感信息，大家需要谨慎选择相关律师，从而实现审计报告内容保护——具体包括查询其客户意见以及工作处理原则。

总而言之，通过雇用安全顾问，企业客户能够确保在获取专业建议的同时，使自身系统、数据以及成本控制机制得到保护。而企业客户则应当坚持这些基本保护效果，并选择那些乐于提供合理方案且信誉出色的安全厂商。