委外廠商查核也是要認真的!

2016 / 09 / 14

編輯部

又到了定期的委外廠商查核，經過了幾年，大部分的委外業務的廠商都走了一圈，想想還有一些是配合專案，長期在組織內協助程式開發的廠商，今年就換個查核方向，針對這些駐點的委外廠商做個瞭解。

沒想到訪談之後才知道，雖然給他們切了單獨的網段，而且人員進出也是配合組織的門禁管制，但似乎只在意合約文件需要交付的項目，其他的例如，存取權限也沒管控，備份作業也是想到就做，居然還把開發的軟體直接放在外面的公有雲上。其他還有一堆未盡理想的地方，只見對方的負責人臉色越來越難看，一下子和我們抱怨修補程式的更新會影響到程式，又說都要委外廠商去做，已經入不敷出了。正在討論到一半的時候手機響了，看一看正好就是業務單位的主管，也就是負責這項委外業務的主辦單位。

「你們現在做委外廠商查核，在查那個XX廠商是不是?」
「對阿，這也是例行性的查核，是有什麼事嗎?」
「就他們公司打電話來抱怨啊，說配合那麼久了，以前從來就沒有查過，大家關係都那麼好，何必來做查核呢? 而且，人都已經在我們公司了，他們的成本也增加了，這樣子就是不信任他們，他們希望你能夠暫停這次的查核。」
「這怎麼可能呢?我們都查到一半，現在要結束未免也太草率了吧!」
「對啊，我也有這樣和他們說，但他們就一直和我吵，說都是我們公司的要求，這樣子以後很難配合。他們也說，如果真的要做委外查核，看看有沒有什麼問卷之類的，讓他們填一填就好，還是形式上走馬看花，大家做做樣子就好，反正保密協議都簽了，何必這樣真槍實彈的弄，大家以後很難碰面耶。」
「我這個查核是一定要完成的，我們的查核發現，都會先和他們溝通，至於說細節的部分，我們內部再來做個討論。」

資安的事情平常已經多的管不完，但從近期發現許多的案例發現是和委外廠商有關，如果沒有對委外廠商進行查核，到時候發生了事情又全部怪到負責資安的單位頭上，誰會想把全部的事情都攬在自己的身上，只是資安的工作一定要大家合作，絕不是只有負責資安的單位一頭熱。同時好不容易和業務單位建立起來的一點點信任，可能因為一次的委外查核又要從頭開始，但我真的弄不清楚，以後是不是每一項需要委外廠商注意的事項，都要在雙方的合約中條列清楚，如果沒有列的就可以不管，如果真的是這樣的話，那我可能要和法務借調一名法律專才到我們部門了。