Google、Salesforce、Slack等業者本周聯合發布名為「最低可用安全產品」(Minimum Viable Secure Product,MVSP)的中立安全基準,藉此簡化企業採購B2B產品或流程委外服務時的評估工作。

MVSP是業界服務業者包括Google、Salesforce、Okta和Slack等廠商聯合設計的一組不偏袒任何廠商的安全基準,藉由建立最低可接受的門檻,旨在減輕企業採購、RFP及廠商遴選過程中繁複而耗時的安全評估作業。

Google安全部門副總裁Royal Hansen指出,委外第三方廠商可幫助企業節省成本、提升效率,是今天重要的業務策略,但是根據一項調查,有6成企業曾發生因委外廠商或其他業者而起的資料外洩。因為這些廠商可存取企業的關鍵系統和客戶資料,這使得業者的安全重要性不下於企業本身。

然而到目前為止,企業採購委外服務或產品前都必須設計他們自己的安全基準,然而對企業而和廠商來說都是一大挑戰,因為可能有上千項要求要考量。

MVSP就是為了解決這個問題而建立。MVSP著重在B2B軟體及業務流程委外供應商的最低安全要求。他們相信利用MVSP,可提升服務產業採購每個階段的透明度,幫助甲、乙兩方達成目標,又能縮短幾個星期甚至幾個月的籌備及銷售時間。

為求簡單化,MVSP只包含實現合理安全性的必要控制項,涵括業務、應用設計、應用實作及操作控制項。MVSP形式上即一個最低基準線的檢查清單,方便企業用來驗證方案的安全性。

Google強調,MVSP確保廠商遴選及RFP包含了業界通用的基準,利用這個清單,不但安全部門可用來評斷候選的產品及服務,內部團隊也可以用來了解現有環境產品服務的安全是否需改善。此外,採購人員、法務及法遵部門也都能從這個清單取得想要的資訊。

不過即使是知名委外業者,也依然可能連累客戶資料外洩。今年內就有賓士福斯因系統外包商被駭所累而外流資料。5月間日本IT大廠富士通代管平臺被駭,導致多個日本政府單位如內閣官房網路安全中心(NISC)、國土交通省、外務省等的IT資料及用戶個人資料、電子郵件等疑似外洩。去年則有文件管理委外服務商Canon Business Process Services被駭,致使其客戶奇異(GE)為數不詳的員工資訊外流。

熱門新聞

Advertisement