Google、Salesforce等业者建立第三方服务安全基准，协助企业采购评估

Google、Salesforce、Slack等业者本周联合发布名为“最低可用安全产品”（Minimum Viable Secure Product，MVSP）的中立安全基准，借此简化企业采购B2B产品或流程委外服务时的评估工作。

MVSP是业界服务业者包括Google、Salesforce、Okta和Slack等厂商联合设计的一组不偏袒任何厂商的安全基准，借由建立最低可接受的门槛，旨在减轻企业采购、RFP及厂商遴选过程中繁复而耗时的安全评估作业。

Google安全部门副总裁Royal Hansen指出，委外第三方厂商可帮助企业节省成本、提升效率，是今天重要的业务策略，但是根据一项调查，有6成企业曾发生因委外厂商或其他业者而起的资料外泄。因为这些厂商可存取企业的关键系统和客户资料，这使得业者的安全重要性不下于企业本身。

然而到目前为止，企业采购委外服务或产品前都必须设计他们自己的安全基准，然而对企业而和厂商来说都是一大挑战，因为可能有上千项要求要考量。

MVSP就是为了解决这个问题而建立。MVSP着重在B2B软件及业务流程委外供应商的最低安全要求。他们相信利用MVSP，可提升服务产业采购每个阶段的透明度，帮助甲、乙两方达成目标，又能缩短几个星期甚至几个月的筹备及销售时间。

为求简单化，MVSP只包含实现合理安全性的必要控件，涵括业务、应用设计、应用实作及操作控件。MVSP形式上即一个最低基准线的检查清单，方便企业用来验证方案的安全性。

Google强调，MVSP确保厂商遴选及RFP包含了业界通用的基准，利用这个清单，不但安全部门可用来评断候选的产品及服务，内部团队也可以用来了解现有环境产品服务的安全是否需改善。此外，采购人员、法务及法遵部门也都能从这个清单取得想要的资讯。

不过即使是知名委外业者，也依然可能连累客户资料外泄。今年内就有奔驰、福斯因系统外包商被骇所累而外流资料。5月间日本IT大厂富士通代管平台被骇，导致多个日本-单位如内阁官房网络安全中心（NISC）、国土交通省、外务省等的IT资料及用户个人资料、电子邮件等疑似外泄。去年则有文件管理委外服务商Canon Business Process Services被骇，致使其客户奇异（GE）为数不详的员工资讯外流。