不管你作何感想，最终都需要外包某些IT服务。IT外包问题有利有弊，每家公司都需要制定安全策略，协助减少固有的危险。说起来容易，“我信任IT供应商”或者“我们的确没有任何问题”，但是问题不在于你是否信任供应商，而是要为公司完成恰当的任务，保证具有合理的保护机制，减少威胁。

　　下文提供了六大安全策略，用以对付外部服务供应商。你可以创建独立的安全策略，也可以将这些策略融入现有的安全策略，或者制定一套外包策略，解决这些问题。

　　1.可以接受的使用范围

　　安全策略通常会要求员工做到这一点，但是外部人员可能就未必重视。将其作为一项策略，任何连接网络的人员都必须遵循规则——没有恶意材料，没有未授权的安全测试工具，没有版权问题，没有不安全的无线系统等等。咨询人员、审计人员、系统集成人员等都容易带来安全问题。保证接触系统的员工了解哪些范围不能使用，尤其是审计员和承包商，因为他们会在较长时间内与你合作。拥有的技术越多，所做的努力就越少，流程执行就越透明。创建可控制的环境有种很好的办法，就是将公司的某台电脑借给这些用户。

　　2.信息访问

　　信息访问策略应具备可靠的信息分类体系。明确哪些信息外部供应商能够共享和访问，哪些信息不能。任何人访问关键服务器，都会接触敏感信息。应确保获权的访问人员了解这项策略，这样他们就能在访问尽可能少的情况下完成工作。

　　3.信息损坏

　　信息——无论是软件信息还是硬件信息——会使公司处于未获权的状态，这是一项很大的漏洞，因此你应该加倍小心。将其作为一项策略，在你接触第三方供应商时，该策略应成为保密或未公开文件的一部分。要求所有的信息都不会返回，也不会遭到破坏。

　　4.入职和离职

　　为新来的咨询人员或技术人员设定计算机和网络帐户，这一点不容小视（尽管通常被忽视）。遵循需要了解和必须了解的规则，务必保证一旦用户不再需要访问网络，帐户就会失效。不要忘记其它的管理密码，如路由器、本地管理帐户、Web应用程序的密码，防止在于外部人员交流时泄露密码。有可能的话就在项目完成后更改密码。

　　5. 移除设备

　　有一点很重要，必须记住：笔记本、硬盘或网络图等设备、介质、硬盘信息离线后就不再受你控制，必须加以合理的保护。将其作为一项策略，随时保护这些设备，项目完成后取回这些设备。

　　6.计算机的最低需求

　　另外还存在一项严重的漏洞，即允许第三方计算机在你的网络中运行，而且没有保证网络受到合理的保护，或者不受病毒、间谍软件等恶意软件的感染。将其作为一项策略，要求在网络中运行的外部计算机及时更新补丁、反病毒签名、实时软件保护（此处的病毒指存储器、电子邮件、Web浏览器等检测出的病毒，而不仅仅是硬盘扫描到的病毒），必要时还应更新个人防火墙。如果你提供VPN、Citrix、Terminal Server等远程访问功能，这一点就格外重要，因为第三方软件很容易连接不安全的计算机。如果一台受感染或不安全的计算机将你的网络完全暴露给外部世界，那么后果不堪设想。

　　如果你的公司认真对待这些安全策略，那就很容易将与外包相关的策略集成到环境中。我不是一名律师，因此在将这些安全策略付诸实施之前，请先咨询法律顾问。最后，保证应付外部IT供应商的员工（网络管理员、安全经理、采购与采办人员）都能了解这些策略，保证达到最佳效果。