Khi một hệ thống thông tin được giao cho một hoặc nhiều bên cung cấp dịch vụ, quá trình bảo mật phải đi cùng với việc bảo vệ dữ liệu, cũng như giảm nhẹ tất cả rủi ro bảo mật liên quan tới dự án hoặc dịch vụ công nghệ thông tin.
Dưới đây là những phạm vi cần được chú ý:
1. Khi chuẩn bị một hợp đồng thuê ngoài dịch vụ, doanh nghiệp nên miêu tả yêu cầu bảo mật thông tin một cách rõ ràng, ví dụ như tất cả các thông tin cá nhân hoặc thông tin nhạy cảm nên được xử lý như thế nào thông qua hợp đồng. Những điều kiện này sẽ hình thành nền móng của hợp đồng và trở thành một thước đo hiệu suất.
2. Hợp đồng thuê ngoài nên bao gồm cả những yêu cầu dành cho tất cả nhân viên trực thuộc bên cung cấp dịch vụ và các nhà cung cấp phải ký vào thoả thuận không tiết lộ thông tin (NDA) với mục đích bảo vệ những thông tin nhạy cảm. Hợp đồng cũng nên bao gồm những thoả thuận về cấp độ dịch vụ (SLAs). SLAs được dùng để định nghĩa những mong muốn trong tương lai đối với những yêu cầu kiểm soát an ninh thông tin, diễn tả được đầu ra, và xác định được những biện pháp khắc phục đối với những trường hợp không tuân thủ hợp đồng. Để định nghĩa rõ hơn về SLAs, hợp đồng nên đưa ra quy trình giải quyết vấn đề và sự cố gồm nhiều bước kiểm soát, để những sự cố đó có thể được giải quyết theo các trình tự được đề ra từ trước với mục đích tối thiểu hoá các tác động gây ảnh hưởng tới cơ quan doanh nghiệp.
3. Khi tìm kiếm nhà cung cấp dịch vụ thuê ngoài công nghệ thông tin, doanh nghiệp nên đảm bảo rằng các nhân viên của nhà cung cấp dịch vụ sẽ được kiểm soát an ninh một cách đầy đủ theo các chính sách bảo vệ thông tin của chính doanh nghiệp đó đề ra, rộng hơn các yêu cầu thông thường (ví dụ như yêu cầu của cơ quan tiền tệ về các khu vực ngân hàng) hoặc những yêu cầu thực tiễn nhất trong ngành. Các công ty cung cấp dịch vụ nên tập trung vào những yêu cầu bảo mật thông tin như vậy và có cùng trách nhiệm bảo mật thông tin như là bảo mật thông nội bộ nhân viên.
4. Sự tuân thủ những quy định về bảo mật thông tin giữa công ty cung cấp dịch vụ và người dùng nên được theo dõi và xem xét tích cực định kỳ. Doanh nghiệp phải đảm bảo có được quyền kiểm soát về những trách nhiệm được nêu trong thoả thuận, và những quyền kiểm soát đó được thi hành bởi một bên thứ 3.
5. Doanh nghiệp nên đảm bảo tính đầy đủ của kế hoạch dự phòng và các quy trình sao lưu được cung cấp bởi nhà cung cấp dịch vụ.
6. Vai trò và trách nhiệm bảo mật của nhà cung cấp dịch vụ, nội bộ nhân viên và những người có liên quan đối với hệ thống thông tin nên được xác định và tạo tài liệu một cách rõ ràng.
7. Cần thiết phải đảm bảo rằng tất cả các dữ liệu được xử lý bởi đội ngũ thuê ngoài cần phải rõ ràng và phân loại đúng cách, và các quyền truy cập chỉ nên được đăng ký khi nó cần thiết đối với hiệu suất công việc của họ hoặc để thực hiện nghĩa vụ của hợp đồng.
8. Mặc dù hệ thống thông tin có thể được thuê ngoài, toàn bộ trách nhiệm pháp lý đối với bất kỳ vi phạm nào về dữ liệu cá nhân hoặc dữ liệu nhạy cảm vẫn hoàn toàn thuôc về doanh nghiệp.
Nguồn : IT Outsourcing Security
Biên dịch: MP Telecom
