随着网络安全已成为企业最重要的战略任务之一,人们越来越担心第三方IT服务提供商如何保护企业数据。因此,网络安全和数据隐私问题的谈判已成为IT外包合同谈判中最具挑战性的领域之一,Mayer Brown律师事务所芝加哥办事处合伙人丽贝卡•艾斯纳(Rebecca Eisner)表示。
艾斯纳表示:“供应商担心不支付与收入不成比例的损害赔偿,这是可以理解的,因此他们寻求限制或放弃责任。”“客户也同样关心,特别是在供应商没有与客户同样的动机来保护客户数据的情况下,因为安全事件的负面影响通常对客户远比对供应商重要。”更重要的是,网络安全监管环境正在迅速演变,使得双方都难以识别风险。
日益复杂和地理上分散的IT环境也使问题复杂化。当公司数据位于一个或多个中心数据中心时,公司或其供应商更容易使用防火墙、物理安全和受控逻辑访问等手段来2020欧洲杯预赛保护外围。今天,首先,数据分散在数据中心、云和移动设备中。2020欧洲杯预赛伊斯纳说:“随着这个不断扩张的生态系统,接入点和潜在的安全故障点成倍增加。”“此外,许多这些系统是由第三方供应商提供或管理的。”
出于这些原因,cio必须采取风险管理方法来选择、与IT服务提供商订立合同并监控他们公司的IT服务提供商。根据艾斯纳的说法,IT领导者可以采取六个步骤来加强其IT供应商关系中的数据隐私和网络安全保护:
1.了解哪些供应商处理或访问了公司最敏感的个人或监管数据,以及代表公司“皇冠上的宝石”的数据。
2.与公司的安全、供应商管理和法律团队合作,以确定哪些供应商关系会给公司带来最大的风险,以便将适当的注意力和资源集中在外包供应商组上。
3.通过公司最新的、定义良好的网络安全和数据隐私要求的镜头,查看一下现有的IT服务提供商协议。修改这些合同以弥补任何缺口。
4.确保IT的供应商管理、合规或安全团队监控高风险供应商,包括每年或每两年更新一次供应商安全评估问卷;审核审计报告、认证和渗透测试;在适当的情况下,进行现场访问和年度安全审查。
5.定期与法律顾问一起审查公司的标准安全和隐私合同条款,以确保这些基本要求是最新的。伊斯纳说:“鉴于美国和世界各地隐私监管的迅速发展,这尤其有必要。”例如,将于2018年生效的新《欧洲一般数据保护条例》(European General Data Protection Regulation)将要求就欧盟个人数据的处理和转移在操作、政策和合同方面做出改变。
6.花些时间教育公司的董事会、管理人员和员工,让他们了解安全和隐私风险,包括那些与第三方关系相关的风险,并帮助他们了解可以采取哪些步骤来减轻这些风险。
这篇题为“在外包交易中增加网络安全保护的6种方法”的文章最初发表于首席信息官 .