如何向雇主的客户传达您的系统有多安全

Question

企业必须收集有关客户的信息，客户通常希望确保他们的信息是安全的。在传输和存储客户端数据的系统有多安全的情况下，有什么可接受的方法来简洁和清晰地通信？据我所知，在与安全专业人士交谈时，似乎引用遵守安全标准(如ISO27001)的做法是可行的(对吗？)但是，是否有人有经验成功地向一个对信息安全几乎不了解的“外行”人员解释你的系统有多安全？仅仅是“我们的业务达到或超过了我们行业公认的安全标准”？这些信息够吗？根据你的经验，大多数人想要多少细节？

背景信息:我们的业务收集有关客户的敏感数据，作为他们想要获得第三方资格的认证过程的一部分。这些客户大多是小企业主，如水管工、牙医、餐馆老板等。

这个问题可能是主观的，但它属于“好主观性”的范畴。

编辑

这不是如何获得安全项目的高层管理支持？的复制。这篇文章涉及的是与组织内其他人的沟通，而这个问题是关于与组织之外的人沟通的，这要敏感得多。你可以向上级解释为什么你的系统不是"100%安全的“，但你必须对客户更加外交，同时还要保持简洁。

Answer 1

你问题的答案取决于许多因素，包括，

• “谁是你的客户”--不同的公司会想要不同程度的保证，例如，一家银行发送财务数据(希望)比咖啡店共享菜单更需要保证。
• “你正在为你的客户处理什么数据”

话虽如此，但你可以使用许多策略，其中没有一个(在我看来)是完美的。

• ISO27001。这是一个普遍的问题，因为它是国际公认的。当你这样做的时候，你可能会发现魔鬼就在细节上，比如你认证的业务的范围将极大地影响它实现的容易程度。另外，请注意，ISO27001可能更多地是记录您做得很好的事情，而不是做所有正确的事情，我要说的是，这一点是众所周知的。
• 第三方保险。您可以让第三方进行安全检查，并提供这些内容的摘要，您可以提供给客户。这在技术安全领域(如钢笔测试报告)和其他地方(例如SAS-70)中都很常见。这些测试的说服力可能取决于您实际做了哪些测试，以及您的客户有多精明(也就是说，他们能分辨出详细测试和快速表面测试之间的区别吗？)
• 让你的客户对你进行审计。可以适合(甚至强制)大客户。有好处的是，他们能够准确地测试什么对他们重要，以及让一组审计师成群结队地定期问一些令人尴尬的问题。

然而，最终，所有这些都不适用于不精明的客户。在安全领域有一个巨大的"柠檬市场“，消费者无法分辨两家公司的不同之处，因为他们都声称拥有完美的安全性(曾经见过一个网站说”安全性对我们来说没那么重要，但无论如何给我们你的数据“)，而且也没有强制规定的有效的公正标准。

对于一个精明的客户，我建议问他们安全对他们有什么重要，以及他们希望如何证明这一点。