觀點

委外廠商查核也是要認真的!

2016 / 09 / 14
編輯部
委外廠商查核也是要認真的!
又到了定期的委外廠商查核,經過了幾年,大部分的委外業務的廠商都走了一圈,想想還有一些是配合專案,長期在組織內協助程式開發的廠商,今年就換個查核方向,針對這些駐點的委外廠商做個瞭解。

沒想到訪談之後才知道,雖然給他們切了單獨的網段,而且人員進出也是配合組織的門禁管制,但似乎只在意合約文件需要交付的項目,其他的例如,存取權限也沒管控,備份作業也是想到就做,居然還把開發的軟體直接放在外面的公有雲上。其他還有一堆未盡理想的地方,只見對方的負責人臉色越來越難看,一下子和我們抱怨修補程式的更新會影響到程式,又說都要委外廠商去做,已經入不敷出了。正在討論到一半的時候手機響了,看一看正好就是業務單位的主管,也就是負責這項委外業務的主辦單位。

「你們現在做委外廠商查核,在查那個XX廠商是不是?」
「對阿,這也是例行性的查核,是有什麼事嗎?」
「就他們公司打電話來抱怨啊,說配合那麼久了,以前從來就沒有查過,大家關係都那麼好,何必來做查核呢? 而且,人都已經在我們公司了,他們的成本也增加了,這樣子就是不信任他們,他們希望你能夠暫停這次的查核。」
「這怎麼可能呢?我們都查到一半,現在要結束未免也太草率了吧!」
「對啊,我也有這樣和他們說,但他們就一直和我吵,說都是我們公司的要求,這樣子以後很難配合。他們也說,如果真的要做委外查核,看看有沒有什麼問卷之類的,讓他們填一填就好,還是形式上走馬看花,大家做做樣子就好,反正保密協議都簽了,何必這樣真槍實彈的弄,大家以後很難碰面耶。」
「我這個查核是一定要完成的,我們的查核發現,都會先和他們溝通,至於說細節的部分,我們內部再來做個討論。」

資安的事情平常已經多的管不完,但從近期發現許多的案例發現是和委外廠商有關,如果沒有對委外廠商進行查核,到時候發生了事情又全部怪到負責資安的單位頭上,誰會想把全部的事情都攬在自己的身上,只是資安的工作一定要大家合作,絕不是只有負責資安的單位一頭熱。同時好不容易和業務單位建立起來的一點點信任,可能因為一次的委外查核又要從頭開始,但我真的弄不清楚,以後是不是每一項需要委外廠商注意的事項,都要在雙方的合約中條列清楚,如果沒有列的就可以不管,如果真的是這樣的話,那我可能要和法務借調一名法律專才到我們部門了。