歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
委外廠商查核也是要認真的!
2016 / 09 / 14
編輯部
又到了定期的委外廠商查核,經過了幾年,大部分的委外業務的廠商都走了一圈,想想還有一些是配合專案,長期在組織內協助程式開發的廠商,今年就換個查核方向,針對這些駐點的委外廠商做個瞭解。
沒想到訪談之後才知道,雖然給他們切了單獨的網段,而且人員進出也是配合組織的門禁管制,但似乎只在意合約文件需要交付的項目,其他的例如,存取權限也沒管控,備份作業也是想到就做,居然還把開發的軟體直接放在外面的公有雲上。其他還有一堆未盡理想的地方,只見對方的負責人臉色越來越難看,一下子和我們抱怨修補程式的更新會影響到程式,又說都要委外廠商去做,已經入不敷出了。正在討論到一半的時候手機響了,看一看正好就是業務單位的主管,也就是負責這項委外業務的主辦單位。
「你們現在做委外廠商查核,在查那個XX廠商是不是?」
「對阿,這也是例行性的查核,是有什麼事嗎?」
「就他們公司打電話來抱怨啊,說配合那麼久了,以前從來就沒有查過,大家關係都那麼好,何必來做查核呢? 而且,人都已經在我們公司了,他們的成本也增加了,這樣子就是不信任他們,他們希望你能夠暫停這次的查核。」
「這怎麼可能呢?我們都查到一半,現在要結束未免也太草率了吧!」
「對啊,我也有這樣和他們說,但他們就一直和我吵,說都是我們公司的要求,這樣子以後很難配合。他們也說,如果真的要做委外查核,看看有沒有什麼問卷之類的,讓他們填一填就好,還是形式上走馬看花,大家做做樣子就好,反正保密協議都簽了,何必這樣真槍實彈的弄,大家以後很難碰面耶。」
「我這個查核是一定要完成的,我們的查核發現,都會先和他們溝通,至於說細節的部分,我們內部再來做個討論。」
資安的事情平常已經多的管不完,但從近期發現許多的案例發現是和委外廠商有關,如果沒有對委外廠商進行查核,到時候發生了事情又全部怪到負責資安的單位頭上,誰會想把全部的事情都攬在自己的身上,只是資安的工作一定要大家合作,絕不是只有負責資安的單位一頭熱。
同時好不容易和業務單位建立起來的一點點信任,可能因為一次的委外查核又要從頭開始,但我真的弄不清楚,以後是不是每一項需要委外廠商注意的事項,都要在雙方的合約中條列清楚,如果沒有列的就可以不管,如果真的是這樣的話,那我可能要和法務借調一名法律專才到我們部門了。
最新活動
2025.06.18
資安人講堂:四大面向打造「無邊界・零信任」極致安全架構
2025.06.25
資安人講堂:構築製造業資安核心 – 零信任架構的落地實戰
2025.06.17
打造未來資安:從零信任到雲骨幹的全方位企業防禦實戰
2025.06.19
掌握 EOS 風險與升級攻略:別讓舊系統成為資安破口
2025.06.24
漢昕科技X線上資安黑白講【檔案安全新防線,資料外洩零容忍——企業資安全面升級】2025/6/24全面開講!
2025.06.25
拆解 ISO 27001 報價公式:控好預算、加速資安合規
2025.06.27
以資安及風險角度重塑企業韌性
2025.06.27
以資安及風險角度重塑企業韌性
2025.07.09
AI應用下的資安風險
看更多活動
大家都在看
3.5萬套太陽能發電系統暴露於網路成駭客攻擊目標
中國駭客集團發動「ShadowPad」與「PurpleHaze」雙重攻擊,資安商成目標
OneDrive檔案選擇器漏洞 使第三方應用程式可完整存取使用者雲端硬碟
瀏覽器中間人攻擊如何在數秒內 竊取使用者連線憑證
AI 重新定義雲端資安:從實際案例看主動防禦新戰略
資安人科技網
文章推薦
Microsoft 推出 2025年6月 Patch Tuesday 每月例行更新修補包
Mirai 殭屍網路鎖定 Wazuh 開源資安平台漏洞發動攻擊
大規模暴力破解攻擊鎖定 Apache Tomcat 管理介面