www.e4938.cn-老师你下面太紧了拔不出来,99re8这里有精品热视频免费,国产第一视频一区二区三区,青青草国产成人久久

<button id="60qo0"></button>

<strike id="60qo0"></strike>
<del id="60qo0"></del>
<fieldset id="60qo0"><menu id="60qo0"></menu></fieldset>
  • 想找到安全可靠的信息安全咨詢(xún)?試試這些最佳實(shí)踐吧

    2015-09-10 09:40:08 大云網(wǎng)  點(diǎn)擊量: 評(píng)論 (0)
    外包工作涉及到有可能賦予承包商或合作伙伴敏感信息和系統(tǒng)的訪問(wèn)權(quán)時(shí),企業(yè)應(yīng)該特別謹(jǐn)慎。安全事件激增的今天,令很多企業(yè)膽顫心驚,唯恐成為下一個(gè)新聞?lì)^條。如何在保障安全的同時(shí)將業(yè)務(wù)理順并發(fā)展壯大,已經(jīng)成
    外包工作涉及到有可能賦予承包商或合作伙伴敏感信息和系統(tǒng)的訪問(wèn)權(quán)時(shí),企業(yè)應(yīng)該特別謹(jǐn)慎。
     
     
     
    安全事件激增的今天,令很多企業(yè)膽顫心驚,唯恐成為下一個(gè)新聞?lì)^條。如何在保障安全的同時(shí)將業(yè)務(wù)理順并發(fā)展壯大,已經(jīng)成為企業(yè)的頭等大事。這時(shí),越來(lái)越多的企業(yè)逐漸將目光轉(zhuǎn)向聘請(qǐng)優(yōu)秀的安全咨詢(xún)公司來(lái)進(jìn)行審計(jì)、滲透測(cè)試和系統(tǒng)的評(píng)估。這種選擇無(wú)疑是非常有益的,值得任何謹(jǐn)慎行事的企業(yè)加以考慮。但在正式開(kāi)展工作的時(shí)候,要在賦予企業(yè)敏感系統(tǒng)和數(shù)據(jù)訪問(wèn)權(quán)的時(shí)候,多加考慮、小心謹(jǐn)慎。
     
    很多時(shí)候,在匆匆實(shí)施這些安全評(píng)估之時(shí),企業(yè)沒(méi)有充分處理好最基本的合同條款。不用說(shuō)預(yù)算超支這種常有的事,甚至在一些案例里,安全顧問(wèn)帶來(lái)的風(fēng)險(xiǎn)比解決的都要多。
     
    如何聘用安全可靠的安全顧問(wèn)呢?企業(yè)應(yīng)該考慮以下最佳實(shí)踐:
     
    1. 使用征求意見(jiàn)書(shū)(RFP)
     
    如果時(shí)間允許,RFP過(guò)程將幫助公司收獲最具創(chuàng)新性的意見(jiàn),連同最好的報(bào)價(jià)和合同條款。知道自己要跟其他應(yīng)征者競(jìng)爭(zhēng)的廠商遠(yuǎn)比篤定已經(jīng)手握合同的那些更傾向于協(xié)商。
     
    2. 做盡職調(diào)查
     
    無(wú)論用不用RFP,花點(diǎn)時(shí)間對(duì)任何有意向的安全廠商進(jìn)行盡職調(diào)查,包括聯(lián)系以前和現(xiàn)在的客戶,而不僅僅是廠商提供的推薦參考名單上的那些。
     
    3. 像與關(guān)鍵供應(yīng)商談判一樣與安全顧問(wèn)協(xié)商
     
    理想是豐滿的,現(xiàn)實(shí)卻總是很骨感。大多數(shù)公司簽訂安全顧問(wèn)協(xié)議時(shí)往往沒(méi)有拿出與其他關(guān)鍵供應(yīng)商談判一樣的謹(jǐn)慎態(tài)度。這種狀況,往好了說(shuō),會(huì)導(dǎo)致嚴(yán)重超支。往壞了說(shuō),公司千方百計(jì)試圖避免的敏感商業(yè)數(shù)據(jù)泄露事件就有可能發(fā)生。
     
    舉個(gè)例子。一家著名安全廠商在正式協(xié)議中包含了一個(gè)條款:廠商可以不經(jīng)客戶同意就將數(shù)據(jù)從客戶系統(tǒng)中轉(zhuǎn)儲(chǔ)到自己的系統(tǒng)里,并將數(shù)據(jù)從客戶系統(tǒng)中刪除。這些數(shù)據(jù)可能包括持卡人和其他個(gè)人敏感隱私信息。廠商的協(xié)議沒(méi)有涉及支付卡行業(yè)(PCI)和數(shù)字簽名標(biāo)準(zhǔn)(DSS)合規(guī)問(wèn)題,只有一兩句話談到安全,如果廠商損害了數(shù)據(jù)幾乎不需要負(fù)責(zé),甚至沒(méi)有在使用完畢后刪除數(shù)據(jù)的義務(wù),這怎么能讓人接受呢?但這種情況的確是事實(shí)。
     
    適當(dāng)?shù)暮贤Wo(hù)在每個(gè)安全顧問(wèn)協(xié)議中都應(yīng)該協(xié)商好。應(yīng)解決的關(guān)鍵點(diǎn)如下列所示:
     
    1. 定義項(xiàng)目
     
    合同應(yīng)清晰定義進(jìn)行安全評(píng)估的范圍(如:設(shè)備、系統(tǒng)、服務(wù)器、網(wǎng)絡(luò)等等)。這意味著要起草一份詳細(xì)的工作明細(xì)單,各方負(fù)責(zé)的任務(wù)都要明確列出。
     
    2. 控制成本
     
    合同應(yīng)包含明確的預(yù)算,所有費(fèi)用都要定好。顧問(wèn)沒(méi)有經(jīng)過(guò)客戶的書(shū)面授權(quán)不能超支。如果廠商以“隨評(píng)估進(jìn)程事態(tài)可能升級(jí)”為由不能提供一份詳細(xì)的預(yù)算,可以考慮用一份更有限制性的初始工作說(shuō)明書(shū)來(lái)更好地界定任務(wù)。工作說(shuō)明書(shū)所產(chǎn)出的應(yīng)該是對(duì)完整安全評(píng)估的一份更詳細(xì)的預(yù)算。    
     
    3. 細(xì)化安全和保密
     
    很多情況下,安全顧問(wèn)協(xié)議幾乎不提供或只提供粗略的對(duì)所用安全和保密措施的描述。更糟的是,即使這些措施定義良好,顧問(wèn)沒(méi)執(zhí)行也不會(huì)有什么責(zé)任。因?yàn)轭檰?wèn)將對(duì)客戶最重要的敏感數(shù)據(jù)和有關(guān)其系統(tǒng)安全的機(jī)密信息擁有訪問(wèn)權(quán),合同中應(yīng)清晰定義將用到的安全措施(如:控制從客戶系統(tǒng)中對(duì)數(shù)據(jù)的刪除行為、加密、限制將客戶數(shù)據(jù)傳輸出國(guó)等等)、詳細(xì)的機(jī)密保護(hù)措施,以及避免以任何限制或免除責(zé)任的條款違反這些要求。    
     
    4. 控制廠商人員
     
    鑒于該項(xiàng)工作的敏感性,協(xié)議中應(yīng)包括對(duì)廠商將工作外包給第三方的控制條款。協(xié)議還應(yīng)要求廠商對(duì)其人員進(jìn)行背景調(diào)查,調(diào)查內(nèi)容包括犯罪活動(dòng),尤其是那些涉及背信行為的罪行(如:小偷小摸、盜竊、內(nèi)幕交易等等)。
     
    5. 保證條款
     
    盡管沒(méi)有安全廠商能夠保證客戶的系統(tǒng)一定能通過(guò)審計(jì),安全廠商也應(yīng)該要承諾在評(píng)估中將遵守所有安全業(yè)內(nèi)適用的法律法規(guī)和最佳實(shí)踐。
     
    6. 責(zé)任
     
    大多數(shù)安全廠商在其服務(wù)中嚴(yán)格限制自己承擔(dān)的責(zé)任。這種做法沒(méi)有任何不對(duì),但也不能放任廠商規(guī)避責(zé)任以致不用承擔(dān)違反保密或自身重大過(guò)失或?yàn)^職的責(zé)任。絕大多數(shù)案例中,客戶應(yīng)預(yù)期廠商在這些領(lǐng)域預(yù)設(shè)無(wú)限,或者,至少,非常重要的責(zé)任。    
     
    7. 考慮保護(hù)審計(jì)報(bào)告免遭公開(kāi)
     
    鑒于最終審計(jì)報(bào)告的潛在敏感性,讓商業(yè)律師以律師-當(dāng)事人特權(quán)或工作成果保護(hù)原則來(lái)保證審計(jì)報(bào)告不被公開(kāi)。
     
    聘?jìng)虬踩檰?wèn)時(shí)更加積極主動(dòng)可以使公司保證自己收獲期望的專(zhuān)家建議,同時(shí)保護(hù)自身系統(tǒng)和數(shù)據(jù)的安全,以及控制成本。公司應(yīng)當(dāng)期待得到這些基本的保護(hù),而信譽(yù)良好的安全公司也理應(yīng)提供這些保護(hù)。
    大云網(wǎng)官方微信售電那點(diǎn)事兒

    責(zé)任編輯:大云網(wǎng)

    免責(zé)聲明:本文僅代表作者個(gè)人觀點(diǎn),與本站無(wú)關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí),對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾,請(qǐng)讀者僅作參考,并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。
    我要收藏
    個(gè)贊
    ?
    久久久久久久久久国产精品免费| S级爆乳玩具酱国产vip皮裤| 性少妇videosexfreexxxx片| 97在线观看视频免费公开| 片多多影视剧免费观看在线观看| 国产成人精品久久一区二区| 三年在线观看免费完整版中文| 国产精品无码久久久久高潮| 人禽杂交18禁网站免费| GOGOGO高清免费完整版|